Hampir dua minggu setelah melakukan aksinya Facebook, "Gadis Mabuk" masih tetap bertahan di banyak wall akun Facebook korbannya. Administrator Facebook yang selama ini cekatan dan tanggap mencegah aksi autopost inipun dibuat tidak berdaya karena malware ini tidak memanfaatkan apps di Facebook untuk menyebarkan dirinya melainkan memanfaatkan aplikasi / apps bawaan peramban yang lebih dikenal dengan nama "extension". Pada versi awal aksinya Gadis Mabuk 1.0 dan 2.0 memanfaatkan extensi Google Chrome, langsung berhenti setelah akstensi Atas Berita di uninstal. Namun pembuat malware ini masih melanjutkan aksinya dan pada tanggal 13 Desember 2014 mengeluarkan varian baru dan kali ini yang dieksploitasi adalah ekstensi Firefox. Dalam artikel ini Vaksincom akan memberikan informasi ekstensi Firefox tersebut dan langkah menghapus ekstensi bagi anda yang sudah terinfeksi.
Semua ini diawali oleh ketertarikan pengguna Facebook atas posting yang cukup provokatif, posting ini bisa ditemui di wall teman atau wall pengguna Facebook yang mendapatkan tag dari foto yang di posting.
Jika korbannya memakan umpan yang disodorkan, maka ia akan diarahkan ke situs phishing yang mirip dengan Youtube yang beralamat beritavideo.info/gadis. Tujuan membuat situs phishing ini adalah supaya korbannya mengira bahwa ia sedang mengunjungi situs Youtube dan dikelabui untuk menginstal plugin jika ingin menonton video tersebut (lihat gambar 2). Padahal jika diperhatikan dengan seksama, alamat situs yang dikunjungi jelas-jelas adalah beritavideo.info, namun layout dan tampilan serta beberapa link videonya dibuat sangat mirip dengan Youtube.
Jika korbannya mengklik plugin, maka ia akan mendapatkan peringatan dari Firefox bahwa beritavideo.info ingin melakukan instalasi software pada komputernya. Namun kebanyakan pengguna komputer akan mengabaikan peringatan tersebut dan mengklik [Allow]
Karena peringatan tersebut diabaikan, maka proses instalasi berlanjut dan akan muncul konfirmasi instalasi Add on dengan nama "Full Screen" . Sebenarnya layar pada gambar 4 isinya adalah peringatan "Install Add-ons only from authors whom you trust. Malicious software can damage your computer or violate your privacy". Namun kebanyakan korban akan mengklik tombol [Install Now]
Setelah proses instalasi selesai, Firefox akan meminta restart untuk mengaktifkan ekstensi dan malware ini akan aktif dan melakukan posting menggunakan kredensial Facebook anda di Firefox.
Cara uninstal
Untuk menghentikan aksi malware melakukan posting dan autotagging ke seluruh kontak Facebook langkah yang harus anda lakukan adalah :
1. Buka peramban Firefox.
2. Ketik: about:addons dan anda akan membuka layar extensions Firefox
3. Cari ekstensi dengan nama "Full Screen 4.0" dan klik tombol remove, anda akan langsung mendapatkan konfirmasi: "Full Screen has been removed. Restart now" klik tulisan Restart now dan biarkan Firefox anda melakukan restart. Jika tidak restart, matikan semua jendela Firefox yang terbuka dan buka kembali.
4. Untuk mengindari kemungkinan pencurian kredensial, Vaksincom menyarankan anda untuk mengganti password Facebook anda.
Mencegah posting autotag muncul di wall Facebook
Jika anda ingin menjaga wall Facebook anda dari auto tag tidak bertanggung jawab, baik dair autotag Gadis mabuk atau autotag iklan jualan atau toko online abal-abal, aktifkan fitur "Timeline and Tagging Settings" dari Facebook. Caranya adalah, login ke akun Facebook anda, lalu masuk ke alamat https://www.facebook.com/settings?tab=timeline untuk membuka "Timeline and Tagging Settings"
Lalu pada :
Who can add things to my timeline?
Who can post on your timeline? Klik [Edit] dan pilih "Friends"
Review posts friends tag you in before they appear on your timeline ? Klik [Edit] dan pilih [Enabled]
How can I manage tags people add and tagging suggestions?
Review tags people add to your own post before the tags appear on Facebook? Klik [Edit] dan pilih [Enabled]