По словам экспертов, загруженный файл посредством компонента Windows Scripting Host устанавливает в систему дополнительные файлы — manifest.json, bg.js, autoit.exe — и скрипты для их установки. Все они при загрузке имеют расширение jpg, по всей видимости, чтобы не вызывать подозрений.
Файлы manifest.json и bg.js представляют собой расширение для браузера Chrome, через который происходит распространение вируса. Поэтому во время установки файлов все ярлыки в системе к другим браузерам заменяются на ярлык к браузеру Chrome.
Специалисты указывают, что получение подобного сообщения говорит о том, что компьютер его друга по Facebook был заражен, и рекомендуют сообщить об этом ему и в службу технической поддержки социальной сети.
Злоумышленники используют Chrome и Facebook для распространения вируса