miercuri, 1 iunie 2011

Virusii se raspandesc pe internet - messenger, mail

Zeroll, virusul care ataca programe de tip messenger

Zeroll este un virus care se raspândeste prin intermediul a numeroase programe de tip messenger si transmite text în mai multe limbi.
 Expertii Kaspersky Lab au descoperit pâna acum patru versiuni Zeroll, a carui familie a fost denumita IM-Worm.Win32.Zeroll. Imediat ce patrunde în computer, acesta cauta lista de contacte din programul IM si se autotransmite catre toate adresele pe care le gaseste. Infectia se produce în momentul în care utilizatorul acceseaza un link dintr-un mesaj instant primit, despre care crede ca îi va afisa o fotografie interesanta. În locul fotografiei, utilizatorul este directionat catre un fisier infectat care se descarca automat în sistem.
 IM-Worm.Win32.Zeroll are si functionalitate de backdoor, adica poate prelua controlul asupra unui computer, fara ca utilizatorul sa stie acest lucru. Dupa ce intra în sistem, viermele contacteaza un centru (server) de comanda si control, iar dupa ce primeste comenzile prin IRC începe sa descarce în sistem alte programe periculoase. Interesant este faptul ca acest vierme se conecteaza la diferite canale IRC, în functie de tara si de programul de mesagerie instant existent pe computerul infectat. Potrivit expertilor BitDefender, acest lucru este avantajos pentru hackeri, deoarece pot controla si clasifica sistemele infectate în functie de tara si de clientul de mesagerie instant folosit, permitând apoi trasmiterea de comenzi personalizate, utile atunci când se lanseaza mesaje spam care tintesc un anumit public.
Capacitatea de a trimite mesaje compuse în multe limbi diferentiaza acesti viermi de majoritatea celor transmisi prin IM. IM-Worm.Win32.Zeroll foloseste 13 limbi diferite, inclusiv engleza, germana, spaniola si portugheza.

[Solutie] Virus Yahoo! Messenger – Virusii de tip image.php


De cateva zile circula pe Yahoo! messenger un nou virus (denumit Palevo) care trimite cateva link-uri ca cele de mai jos, precedate de un text:
fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php
foto: http://facrebook-img.net/photo.php
foto: http://lmg001.com/getimage.php
foto: http://spacelmagesfor.com/getimage.php
foto: http://www.flaceboolk-img.com/image.php
foto: http://forestphotos.net/getimage.php
foto: http://myspacee-img.com/getimage.php
foto: http://fotolmg.com/getimage.php
foto: http://easyuploadphoto.com/getimage.php
foto: http://emoticlmages.com/getimage.php
foto: http://onlinelmages.com/getimage.php
foto: http://lmages4vip.com/image.php
foto: http://lmages1.com/image.php
foto: http://205.234.171.116/suspended.page/IMAGE-www.facebook.com-0412478-JPG.exe
foto: http://moourl.com/0r0xm
foto: http://flacksbooks.com/image.php
foto: http://qwx.si/a7t
foto: http://cubaslmages.com/image.php
foto: http://i.phatobuckats.com/image.php
foto: http://drm-lmages.com/image.php
foto: http://urlmages.com/image.php
foto: http://ficasebokse.com/image.php
foto: http://photos4vpspace.com/image.php
foto: http://bflmages.com/image.php
foto: http://dlmages.com/image.php
foto: http://space4l.com/image.php
foto: http://imsn-lmages.com/image.php
foto: http://space4foto.com/image.php
foto: http://phlmages.com/image.php
foto: http://viplmages.com/image.php
foto: http://discophotos.net/image.php
foto: http://fotolucky.net/image.php
foto: http://walletimages.com/image.php
foto: http://privfotos.com/image.php
foto: http://photo4urspace.com/image.php
foto: http://lmagesspot.com/image.php
foto: http://keralawebhosting.biz/image.php
foto: http://memorylmages.com/image.php
foto: http://mbi-photos.com/image.php
foto: http://wallerimages.com/image.php
foto: http://foto-spaces.com/image.php
foto: http://joblin.co.nz/image.php
foto: http://margaretiamges.com/image.php
foto: http://beautyphotoson.com/image.php
foto: http://photos-fb.com/image.php
foto: http://facebook-lmg.com/image.php
foto: http://lmagesbucket.com/image.php
foto http://facebook-lmages.com/image.php
foto: http://facebook-imb.com/image.php
foto: http://lmb-space.com/image.php
foto: http://myspace-imb.biz/image.php
foto: http://lmages-space.com/image.php
foto: http://yungimages.net/image.php
foto: http://mimapic.com/image.php
foto: http://post-photos.com/image.php
foto: http://limpskr.com/image.php
foto: http://kompnk.com/image.php
foto: http://yunphotos.net/image.php
foto: http://domeimg.com/image.php
foto: http://vertiphotos.com/image.php
foto: http://twittersphoto.com/image.php
foto: http://myphotoarchives.net/image.php
foto: http://mycomimg.com/image.php
foto: http://funwiththisguy.com/image.php
foto: http://red-myspace.com/image.php
foto: http://ariafotos.com/image.php
foto: http://zhelefun.com/image.php
foto: http://tviceimg.com/image.php
foto: http://tuesimages.com/image.php
foto: http://ceceliaimg.com/image.php
Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:
IM56245.JPG-www.myspace.com.exe
Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)
Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:
Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malwaresi Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasatiRemove Selected.
La final va solicita restartarea PC-ului.


Metoda 2: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.
Metoda 3: 
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.
Metoda 4: Faceti un log HijackThis, trimiteti-mi-l prin e-mail si va voi da solutia manuala de dezinfectie, adaptata fiecarui utilizator in parte.
Este nevoie uneori si de aceasta solutie, fiindca virusul creeaza denumiri aleatorii ale fisierelor.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%\infocard.exe (acesta va fi si procesul activ; sunt folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg
De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

[Solutie] Virusii http://paidly.com/**** si is this your photo? http://turl.ca/photos333 pentru Yahoo! messenger


De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo.
Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul si dupa click i se ofera un virus spre descarcare.
Mesajul este urmatorul:

Foto :D http://paidly.com/2dRUpM
is this your photo? http://turl.ca/photos333
Ultimele 4 caractere din link, de dupa paidly.com si turl.ca, sunt generate aleator si se schimba mereu.
Fisierul descarcat pretinde ca este o poza, dar are extensia finala .exe si doar icon-ul imita pe cel al unei poze.
Are denumirea: imagesnew.jpg.exe
Odata rulat creeaza fisierul C:\WINDOWS\jusched.exe, care va porni odata cu PC-ul si va trimite mesaje in mod automat tuturor prietenilor din lista Yahoo! messenger.

Detectia lui este una mica: doar 11 din 40 de Antivirusi de pe VirusTotal.
Iata care sunt solutiile pentru DEVIRUSARE:
1. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.
2.Descarcati ComboFixhttp://download.bleepingcomputer.com/sUBs/ComboFix.exe
Creati un fisier nou de tip .txt cu Notepad si scrieti in el ce e mai jos in citat:
File::
C:\Users\Public\jusched.exe
C:\WINDOWS\jusched.exe
Denumiti-l CFScript.txt si trageti-l peste ComboFix, asa cum este aratat in poza de mai jos:
jusched.exe poza






Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc)
Dezactivati temporar protectia Antivirus!
Rulati apoi ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

[Solutie] Virusul Foto http://ho.io/pz97 pentru Yahoo! messenger


De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo.
Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul si dupa click i se ofera un virus spre descarcare.
Mesajul este urmatorul:

Foto http://ho.io/pz97
Ultimele 4 caractere din link, de dupa ho.io, sunt generate aleator si se schimba mereu.
Fisierul descarcat pretinde ca este o poza, dar are extensia finala .exe si doar icon-ul imita pe cel al unei poze.
Are denumirea: PIC976242742133-JPG-www.facebook.com.exe
Odata rulat creeaza fisierul C:\WINDOWS\jusched.exe, care va porni odata cu PC-ul si va trimite mesaje in mod automat tuturor prietenilor din lista Yahoo! messenger.

Detectia lui este una buna si de aici e suspect faptul ca inca se propaga: 23 din 42 de Antiviruside pe VirusTotal.
Iata care este solutia pentru DEVIRUSARE:
1. Daca aveti un Antivirus din lista celor 23 care au detectie, actualizati-l si scanati PC-ul cu el.
2. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

FedEx System ticket – Spam cu atasamente infectate


Am primit un e-mail (aparent din partea FedEx) care are urmatorul atasament: FedEx mail.zip
FedEx Spam

Am descarcat arhiva si am scanat fisierul FedEx mail.exe pe VirusTotal:Doar  11 din 42 de antivirusi il detecteaza ca W32/FraudLoad.OR!tr.dldr sau o varianta de Bredolab.
Detalii amanuntite despre activitatea virusului in PC gasiti aici.
In poza de mai sus puteti observa un tab UPS System ticket care este un alt mail primit acum 4 zile din partea acelorasi spammeri si despre care a scris si Radu cu ceva timp in urma. Fisierul pastreaza iconita unui PDF dar este un executabil menit sa sustraga parolele diferitelor conturi.
Virusul are noi si noi versiuni pentru a evita detectia Norton, antivirusul folosit de Yahoo! pentru scanarea atasamentelor.
Norton Antivirus
Am trimis un e-mail cu virusul companiilor antivirus care nu-l detecteaza.
Pentru devirusare folositi Malwarebytes Anti-Malware care are detectie generica asupra variantelor virusului.

[Solutie] United Parcel Service notification ow – Email-urile virusate revin


Se raspandeste o serie de email-uri cu atasament infectat, care au subiectul: United Parcel Service notification. United Parcel Service este denumirea completa a firmei de curierat international ups. Acest tip de email-uri le urmeaza pe cele care vizau clientii FedEx.
Mesajul lor suna astfel:
UPS Express Delivery
tracking number # 7428528
Good morning
Parcel notification
The parcel was sent your home adress.
And it will arrive within 5 buisness days.
More information and the parcel tracking number are attached in document below.
Thank you
UPS Express Delivery system (c)
Copyright © 1994-2011 United Parcel Service of America, Inc! All rights reserved!.
Atasamentul inclus se numeste: document1.exe si are icon-ul unui fisier PDF.
Virusii se schimba zilnic si detectia lor este medie pe VirusTotal in momentul trimiterii.
Odata rulat fisierul va descarca alti virusi (http://91.217.162.24/lol2.exe si
http://91.217.162.24/pod.exe) si va fura parolele din calculatorul d-voastra.
Va crea fisierele: %Temp%\pod.exe, %AppData%\dwm.exe, %Temp%\csrss.exe, %AppData%\Microsoft\conhost.exe, %Temp%\spm.exe, %System%\mevmkbxj.dll, %System%\mhhbohxy.dll, %AppData%\E11E.576, %Temp%\1.tmp, %Temp%\2.tmp, %System%\tmp.tmp.
Iata care sunt solutiile pentru DEVIRUSARE:
1. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.
2.Descarcati Dr.Web Cureit! si scanati PC-ul:
http://www.freedrweb.com/cureit/?lng=en
Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox etc)
Dezactivati temporar protectia Antivirus!
Rulati apoi ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.


Se pare ca recent au fost lansati foarte multi virusi pe internet, in special pe retele de socializare. Am "preluat" cateva articole pentru dumneavoastra si sursa saitului unde veti putea citi mult mai multe la asemenea subiecte.