Mã độc mới xuất hiện trên ứng dụng Messenger này lây lan bằng cách tự động gửi một tập tin nén có đuôi .zip, đặt tên giống như một video được nén lại. Với tâm lý tò mò thường mở các video, hình ảnh lạ ra xem mà không thận trọng đề phòng, mã độc này đã lây lan một cách chóng mặt.
Mã độc này được viết bằng ngôn ngữ AutoIT, với cách hoạt động như sau: Đầu tiên, nó gửi thông tin từ máy của nạn nhân về trang hxxp://ojoku.bigih.bid/api/cherry/login.php. Tiếp đó mã độc thực hiện một số hoạt động cài cắm trong máy của nạn nhân để tùy chỉnh trình duyệt Chrome sao cho máy tính đó luôn trong tình trạng đào các loại tiền mã hóa.
Khi lây nhiễm vào máy của nạn nhân thành công, mã độc sẽ tự động tiếp tục gửi tin nhắn đến tất cả những người bạn trong danh sách bạn bè của Facebook Messenger. Chính vì tin nhắn được gửi từ danh sách bạn bè dẫn đến việc người dùng ít đề phòng, thường tải tập tin về và mở ra xem ngay và tạo điều kiện cho mã độc này lây lan rất nhanh.
Theo chuyên gia an ninh mạng Võ Đỗ Thắng - Giám đốc trung tâm Athena, file nén chứa mã độc này thường được đặt tên dạng “video_” + 4 con số ngẫu nhiên (ví dụ video_5114.zip). Nếu người dùng nào sử dụng Facebook tại Việt Nam nhận được những file video có đuôi .zip dạng này thì không nên mở ra.
Còn nếu trong trường hợp muốn mở thì nên đưa link có chứa file video này lên hệ thống kiểm tra mã độc tại địa chỉ http://virustotal.com để kiểm tra trước khi mở.
Dấu hiệu để nhận ra máy tính của người dùng đã dính mã độc này đó là việc bị lag, giật liên tục mà không hiểu tại sao. Trong trường hợp người dùng đã lỡ tay bấm mở tập tin mã độc, cách duy nhất để dừng mã độc này lại là sửa thông tin trong tập tin hosts như sau:
127.0.0.1 ojoku.bigih.bid
127.0.0.1 plugin.ojoku.bigih.bid
Cách sửa này là tạm thời và để tránh tình trạng dính phải mã độc khác, người dùng không nên bấm vào bất kì tập tin lạ nào từ Facebook Messenger. Ngoài ra người dùng cũng có thể cài các chương trình diệt Virus để chúng tiến hành quét dọn.
Trước đây, người dùng Việt Nam đã nhiều lần dính virus qua Facebook Messenger. Theo thông tin từ các diễn đàn bảo mật, những mã độc dạng này thường nhắm vào người dùng trình duyệt Chrome do chính sách kiểm duyệt còn nhiều kẽ hở của Chrome Web Store.