Subscribe via RSS Feed Connect with me on LinkedIn Connect with me on Flickr

Virus prin Yahoo Messenger

Un mesaj instant care conţine un link foto, care pare a fi de la o persoană din lista ta de contacte, este noua variantă, agresivă, a unui virus mai vechi care se răspândeşte prin Yahoo Messenger şi permite atacatorului să preia controlul asupra computerului tău.

Utilizatorii serviciului Yahoo Messenger sunt ţintele unui virus foarte periculos. Este noua variantă, una agresivă, a unui virus care s-a răspândit prin Yahoo Messenger şi în trecut.

“Se extinde ca un foc de pădure” 🙂  , a spus Cătălin Cosoi, de la BitDefender. El a spus că virusul prin Yahoo Messenger a infectat numeroase calculatoare româneşti după 1 Mai. “Oamenii aşteaptă să vadă poze de la prieteni, colegi, după o zi de sărbătoare”, spune Cosoi. Crezând că un prieten îi trimite poze, utilizatorul de Yahoo Messenger accesează link-ul.

Virusul ar putea infecta şi calculatoarele din străinătate, spune specialistul român. După ce a infectat computerul tău, întreaga listă de prieteni va primi acelaşi link. Acest virus este cunoscut ca Palevo (de Bitdefender), W32.Ymfocard.fam.Botnet (de BKIS) şi W32.Yimfoca (de Symantec).
Link-ul este asemănător unuia spre un fişier JPG, GIF sau PHP. Dar utilizatorul poate cotrola situaţia. În fapt, link-ul duce spre un fişier .exe, iar dacă utilizatorul nu îl rulează, virusul nu afectează calculatorul. Potrivit Symantec, dacă fişierul acesta este rulat, el se adaugă listei Windows Firewall şi opreşte serviciul Windows Update. Mai departe, uşor de înţeles, răufăcătorii preiau controlul computerului şi pot face absolut orice, de la furat parole la şters fişiere.
“Natura atacului nu este nouă, deoarece această cale de atac a fost folosită anterior de alţi viruşi. Totuşi, este foarte periculoasă pentru utilizatori”, spun şi cei de la BKIS.

Pot fi link-uri ca cele de mai jos, precedate de un text:

fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php
foto: http://facrebook-img.net/photo.php
foto: http://lmg001.com/getimage.php
foto: http://spacelmagesfor.com/getimage.php
foto: http://www.flaceboolk-img.com/image.php
foto: http://forestphotos.net/getimage.php
foto: http://myspacee-img.com/getimage.php
foto: http://fotolmg.com/getimage.php
foto: http://easyuploadphoto.com/getimage.php
foto: http://emoticlmages.com/getimage.php
foto: http://onlinelmages.com/getimage.php
foto: http://lmages4vip.com/image.php
foto: http://lmages1.com/image.php
foto: http://205.234.171.116/suspended.page/IMAGE-www.facebook.com-0412478-JPG.exe
foto: http://moourl.com/0r0xm
foto: http://flacksbooks.com/image.php
foto: http://qwx.si/a7t
foto: http://cubaslmages.com/image.php
foto: http://i.phatobuckats.com/image.php
foto: http://drm-lmages.com/image.php
foto: http://urlmages.com/image.php
foto: http://ficasebokse.com/image.php
foto: http://photos4vpspace.com/image.php
foto: http://bflmages.com/image.php
foto: http://dlmages.com/image.php
foto: http://space4l.com/image.php
foto: http://imsn-lmages.com/image.php
foto: http://space4foto.com/image.php
foto: http://phlmages.com/image.php
foto: http://viplmages.com/image.php
foto: http://discophotos.net/image.php
foto: http://fotolucky.net/image.php
foto: http://walletimages.com/image.php
foto: http://privfotos.com/image.php
foto: http://photo4urspace.com/image.php
foto: http://lmagesspot.com/image.php
foto: http://keralawebhosting.biz/image.php
foto: http://memorylmages.com/image.php
foto: http://mbi-photos.com/image.php
foto: http://wallerimages.com/image.php
foto: http://foto-spaces.com/image.php
foto: http://joblin.co.nz/image.php
foto: http://margaretiamges.com/image.php
foto: http://beautyphotoson.com/image.php
foto: http://photos-fb.com/image.php
foto: http://facebook-lmg.com/image.php
foto: http://lmagesbucket.com/image.php
foto http://facebook-lmages.com/image.php
foto: http://facebook-imb.com/image.php
foto: http://lmb-space.com/image.php
foto: http://myspace-imb.biz/image.php
foto: http://lmages-space.com/image.php
foto: http://yungimages.net/image.php
foto: http://mimapic.com/image.php
foto: http://post-photos.com/image.php
foto: http://limpskr.com/image.php
foto: http://kompnk.com/image.php
foto: http://yunphotos.net/image.php
foto: http://domeimg.com/image.php
foto: http://vertiphotos.com/image.php
foto: http://twittersphoto.com/image.php
foto: http://myphotoarchives.net/image.php
foto: http://mycomimg.com/image.php
foto: http://funwiththisguy.com/image.php
foto: http://red-myspace.com/image.php
foto: http://ariafotos.com/image.php
foto: http://zhelefun.com/image.php
foto: http://tviceimg.com/image.php
foto: http://tuesimages.com/image.php
foto: http://ceceliaimg.com/image.php

Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:

IM56245.JPG-www.myspace.com.exe

Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)

Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:

Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.

Metoda 2: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.

Metoda 3:
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.

Metoda 4: Faceti un log HijackThis, trimiteti-mi-l prin e-mail si va voi da solutia manuala de dezinfectie, adaptata fiecarui utilizator in parte.
Este nevoie uneori si de aceasta solutie, fiindca virusul creeaza denumiri aleatorii ale fisierelor.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:

%Windir%\infocard.exe (acesta va fi si procesul activ; sunt folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]

Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.

zp8497586rq

Tags: , , , , , , , ,

Category: Uncategorized

About the Author: Madd Electronics Iasi - Magazin Strada Pacurari Nr.142

Leave a Reply

You must be logged in to post a comment.