• hi, how are you?
• Wanna laugh?
• It is you on the video? )) want to see?

Devirusare “It is you on the video”

Avand in vedere ca marea majoritate a antivirusilor il detecteaza nu ar mai trebui sa fie vreo problema in a va remedia aceasta problema.

In cazul in care nu dispuneti de vreun antivirus cel mai usor mod de a scapa de acest virus luat de pe Facebook este sa descarcati Malwarebytes de aici.

Dupa instalarea care este una extrem de usoara gen: next next next si finish lasati-l sa isi faca update, dupa care dati o scanare Quick eventual, apasati pe Remove Selected (un buton cu negru undeva in dreapta jos) apoi un restart pentru a sterge tot ce a gasit si nu a putut sa stearga in modul activ al windows-ului.

Virus – Nu mai pot accesa Facebook-ul

• %windir%\system32\drivers\etc\
• unde %windir% reprezinta calea catre folderul windows, care de obicei C:\Windows\
• de asemenea pentru a naviga mai repede catre aceea destinatie copiati calea de mai sus si introduceti-o in RUN (start –> RUN) –> OK

In cazul in care aveti Windows 7 si din diverse motive nu va lasa sa stergeti fisierul hosts va trebui sa dezactivati UAC-ul (start –> scrieti uac numai daca e in engleza windows-ul, in noua fereastra trageti de bara in jos de tot si dati OK), dati restart si acum ar trebui sa va lase, dupa care de preferat ar fi sa activati din nou UAC-ul.

Date tehnice virus Facebook

Creaza in folderul %windir% urmatoarele fisiere si foldere, dintre care

%windir%\btc_client_iplist.txt
%windir%\ddh_iplist.txt
%windir%\front_ip_list.txt
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\iecheck_iplist.txt
%windir%\info1
%windir%\iplist.txt
%windir%\l1rezerv.exe
%windir%\phoenix
%windir%\phoenix.rar
%windir%\proc_list1.log
%windir%\rpcminer
%windir%\rpcminer.rar
%windir%\services32.exe
%windir%\sysdriver32.exe
%windir%\sysdriver32_.exe
%windir%\systemup.exe
%windir%\ufa
%windir%\ufa.rar
%windir%\unrar.exe
%windir%\update.1
%windir%\update.2
%windir%\update.5.0

Virusul creaza in folderul %temp% urmatoarele fisiere:

55033_myunrar2.exe
2136041.exe
7637544.exe

Deci, pentru cei care vor sa isi deviruseze calculatorul manual va trebui sa stearga fisierele indicate mai sus.

Aveti grija ca in folderele update.1 …update.5.0 exista virusi cu denumirea de svchost.exe ce ruleaza cu drepturi de SYSTEM lucru va face imposibil deosebirea virusului in Task Manager de svchost-urile bune ale windows-ul.

Pentru acest lucru va sfatuiesc sa folositi in loc de Task Manager soft-ul Process Explorer de la Microsoft in combinatie cu Autoruns (aveti grija ce stergeti cu acesta din urma).

De preferat ar fi sa nu rulati aceste fisiere, insa daca a-ti facut-o ceea ce asa cred, pentru ca altfel nu a-ti fi ajuns aici, iata cum puteti sa scapati de acest tip de malware:

O data ce rulati acel executabil in calculatorul vostru incepe sa ruleze un antivirus fals asemanator ca si denumirea celor de mai jos:

• Xp antivirus 2011
• Xp security 2011
• Xp internet security 2011
• Win 7 antivirus
• Xp Anti-Spyware 2011
  

Dupa rularea acestui fals antivirus veti fi intampinati de diferite mesaje cum ca aveti calculatorul infectat, insa chiar el este virusul.

Xp security antivirus 2011

Specificatiile generale xp antivirus 2011, xp security 2011 si xp internet security 2011:

• o data rulat acest fals antivirus se copiaza in %AppData%\Local\[aleator].exe si ruleaza in taskmanager sub denumirea [aleator.exe]. De obicei [aleator] inseamna 3 litere .exe (nu confundati cu alg.exe)
• creaza urmatoarele chei de registri:

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\.exe\shell
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start\command
HKEY_CURRENT_USER\Software\Classes\pezfile
HKEY_CURRENT_USER\Software\Classes\pezfile\DefaultIcon
HKEY_CURRENT_USER\Software\Classes\pezfile\shell
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\runas
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\runas\command
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\start
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\start\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | @ = “”%AppData%\yun.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | IsolatedCommand = “”%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe | @ = “pezfile”
HKEY_CURRENT_USER\Software\Classes\.exe | Content Type = “application/x-msdownload”
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command | @ =”%AppData%\yun.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\pezfile\shell\open\command | IsolatedCommand =”"%1″ %*”

Internet Security 2011

Devirusare Xp Antivirus 2011, Xp Anti-Spyware 2011

Iata ce trebuie sa faceti pentru a devirusa calculatorul infectat cu xp antivirus 2011, xp internet security 2011 sau xp security 2011:

• in primul rand trebuie sa stergeti urmatoarele key de registri:

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\exefile

• stergeti fisierul creat de virus, acesta poate fi gasit in calea: %AppData%\[aleator].exe, dar aveti grija el este ascuns

Daca stiti ca aceste lucruri nu le puteti duce la bun sfarsit si in deplina siguranta pentru sistemul vostru de operare mai jos aveti un utilitar creat de mine special  pentru acest tip de malware.

Download xp security antivirus 2011 remover

Atentie: Utilitarul este facut in asa fel incat acesta sterge toate fisierele .exe din folderul %AppData%. De obicei aici nu ar trebui sa existe nici un executabil, insa daca stiti ca aveti ceva salvat pe acolo ar fi bine sa il copiati in alta parte

In cazul in care antivirusul a sters acest antivirus fals, iar atunci cand  rulati orice executabil sunteti intampinati de fereastra de mai jos, va trebui sa stergeti cheile de registri indicate mai sus ruland utilitarul regedit.exe din windows cu click dreapta si run as apoi click direct pe OK, ori ruland Xp Anti-Spyware 2011 remover.

Virusul nu afecteaza doar rularea programelor la dublu click, lasand posibilitatea utilizatorului sa ruleze orice program numai cu functia RUN AS.

Xp antivirus 2011 open with

PS: acestea sunt toate ip-urile site-urilor celor care raspandesc acest fals antivirus. Nu dati curs nici unei comenzi chiar daca pare tentanta. Calculatoarele din spatele ip-urilor listate mai jos au toate ca si sistem de operare linux-ul (de obicei CENTOS) si SSH-ul activat ceea ce ma face sa cred ca acest lucru a fost posibil datorita unui bug in cadrul sistemului de operare neacoperit de catre proprietarii acestor servere.

208.43.137.17
173.193.161.106
173.193.161.104
173.193.161.105
173.193.161.70
208.43.137.18
208.43.231.77
174.37.179.36
208.43.231.79
209.97.213.9
50.23.166.50
208.43.231.76
50.22.211.145
209.97.213.11
208.43.231.78
50.22.211.146
209.97.213.8
50.22.211.147
209.160.42.96
174.37.179.37
208.43.137.16
174.37.179.38
209.160.41.178
50.23.166.53
209.160.42.91
209.160.42.89
208.43.231.79
208.43.231.77
50.23.166.53
208.43.231.76
174.37.179.38
174.37.179.36
208.110.67.102
50.23.166.50
208.43.231.78
208.110.67.119
174.37.179.37
50.22.211.146
208.43.137.16
64.46.38.130
50.22.211.144
65-254-54-77
208.110.67.121
64.46.38.145
64.46.38.129
208.110.67.122
50.22.211.147
209.97.213.9
50.22.211.145
209.97.213.8
209.97.213.11
209.97.213.9
50.23.166.53
208.43.231.77
208.43.231.79
208.43.231.78
50.23.166.50
174.37.179.36
174.37.179.38
174.37.179.37
208.43.137.16
208.43.231.76
209.97.213.9
50.22.211.145
50.22.211.147
50.22.211.146
64.46.38.145
50.22.211.144
209.97.213.8
64.46.38.130
208.110.67.102
64.46.38.129
208.110.67.119
208.110.67.121
65-254-54-77
208.110.67.122
209.97.213.11

De ce?

Pai a aparut o noua varianta a acestui virus, care chiar daca se raspandeste prin Yahoo messenger de data aceasta se foloseste de o aplicatie de facebook care cu ceva timp in urma putea fi accesata la urmatoarea adresa: http://apps.facebook.com/laslenas/photo.php?=100001765568988

Atentie - pe viitor este posibil sa apara noi aplicatii de acest gen ce vor raspandii malware, iar de aceea este bine ca de fiecare daca cand descarcati ceva sa va uitati cu atentie la ce extensie are fisierul. Virusii de windows au extensii ca: exe, pif, com, scr, etc

Dupa accesarea acestei aplicatii vi se va oferii descarcarea urmatorului fisier ce contine acest virus hxxp://laslenas.net/images/facebook-pic000934519.exe iar apoi se va deschide o pagina de Myspace.

Componenta virusului de Facebook

Creeaza fisierul executabil nvsvc32.exe  in folderul de windows pe care apoi il ruleaza si este vizibil in Task Manager:

%windir%\nvsvc32.exe

nvsvc32.exe – este si un fisier legitim – NVIDIA Display Driver Service dar numai daca acesta se afla in folderul system32

Virus Facebook - procese - Task Manager

Virusul creeaza urmatoarele chei de registri:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run

“NVIDIA driver monitor”=”c:\\windows\\nvsvc32.exe”

Virus facebook - autoruns

Mod de devirusare

Download  Utilitar de Devirusare

Rata de detectie

Conform site-ului VirusTotal in acest moment virusul este detectat doar de 6 antivirusi:

ClamAV0.96.4.02011.01.26BC.Heuristic.Trojan.SusPacked.BF-6.A

Emsisoft5.1.0.12011.01.26IM-Worm.Win32.Yahos!IK

IkarusT3.1.1.97.02011.01.26IM-Worm.Win32.Yahos

Prevx3.02011.01.26Medium Risk Malware

SUPERAntiSpyware4.40.0.10062011.01.26Trojan.Agent/Gen-FakeAlert

VIPRE82042011.01.26Trojan.Win32.Generic.pak!cobra

Nu poti accesa Facebook-ul iata cum rezolvi problema

In 99% daca altceva iti merge orice alt site din internet este vorba de setarile pe care virusul le-a facut prin calculatorul vostru.

Una dintre aceste setari si care pur si simplu blocheaza accesul la Facebook este ca modifica fisierul hosts ce se afla in locatia %windir%/system32/drivers/etc indiferent de sistemul de operare (doar pentru Windows).

Pentru a putea reaccesa Facebook-ul v-a trebui sa restaurati fisierul hosts explicat in acest articol.

Cum puteti scapa de cel mai actual virus ce se raspandeste prin chat-ul de Facebook vedeti aici

]]> http://www.tutorialepc.ro/virus-de-facebook.html/feed 46 http://www.tutorialepc.ro/atentie-pagina-youtube-falsa-redirectioneaza-catre-malware.html http://www.tutorialepc.ro/atentie-pagina-youtube-falsa-redirectioneaza-catre-malware.html#comments Tue, 31 Aug 2010 18:20:24 +0000 Ionut http://www.tutorialepc.ro/?p=1799 Chiar daca tentative din trecut de virusare a utilizatorilor prin vulnerabilitati ale site-ului Youtube nu au fost unele insemnate si cu efecte majore, iata ca cu ceva timp in urma firma Zscaler a descoperit nu mai putin de 3 milioane de pagini clona a popularului site de media.

Toate acestea sunt o copie cei drept nu prea reusita, dar pentru un utilizator incepator chiar si mediu il poate duce in eroare si astfel acesta se poate alege cu un Antivirus Fals.

Atentie! pagini YouTube false

Detectia acestui Fals Antivirus (packupdate106_2033.exe, packupdate107_2033.exe, packupdate8_2033.exe, packupdate9_2033.exe,  ) este destul de slaba doar 6 din 43 conform site-ului VirusTotal.

Iata si lista acestora:

AntiVir                  TR/Dropper.Gen
Panda                     Suspicious file
PCTools                 HeurEngine.MaliciousPacker
Sophos                   Mal/Koobface-G
Sunbelt                  Trojan.Win32.Generic!SB.0
Symantec             Packed.Generic.306

deci ca si antivirusi mai cunoscuti si care sunt in stare in acest moment de o detectie nu ar fi decat: Sophos, Panda si Symantec, Avast 5 are doar cateva site-uri in baza de date cu link-uri malitioase, dar chiar si asa tot le lasa sa se incarca. De asemenea si cei care folosesc Google Chrome o sa sesizeze o protectie in plus venit din partea acestui browser prin blocarea link-urilor malitioase.

Detectie Avast a link-urilor malitioase si protectie Google Chrome

Toate paginile infectate au in componenta URL-ului cuvantul Hot Video, dupa care acestea se poat gasii. Sincer nu v-as sfatui sa faceti o cautare dupa aceasta combinatie de cuvinte deoarece cum am zis si mai sus antivirusii deocamdata au o detectie destul de slaba.

In cazul in care din curiozitate ati intrat sau pur si simplu ati dat peste o pagina de genul acesta:

Pagina Falsa de YouTube

dupa care vi se va cere instalarea unui pachet de codecuri pentru vizualizarea filmuletului sau veti fi atentionat de existenta unui malware in calculatorul personal:

dupa aceasta etapa o sa fiti intampinati de o imagine destul de reala ca cea din My Computer unde asa zisul Antivirus  face o falsa scanare:

Mesaj Antivirus Fals - NU DESCARCATI- NU INSTALATI NIMIC

In cazul in care ati ajuns aici ar fi bine sa nu descarcati nimic si in special sa nu rulati – instalati nimic.

Asa cum imi place mie sa le spun, baietii rai nu au stat nici de data aceasta prea mult pe ganduri, iar ca orice lucru nou trebuie exploatat la maxim. Astfel au inceput curgamesajele de timp spam in care utilizatorului ii este adus la cunostinta un nou mod de deblocare a telefoanelor iPhone.

Jailbreaking folosit la raspandire de malware prin spam

Jailbreaking-ul este un mode deblocare a telefoanelor iPhone acesta intrand in legalitate pe data de 26.07.2010. Cu alte cuvinte utilizatori pot sa deblocheze telefoanele iPhone fara nici un fel de probleme legale, insa trebuie sa fie atenti ce aplicatii instaleaza.

Dupa accesarea linkului din email, descarcarea unui fisier executabil si rularea acestuia, calculatorul utilizatorul va fi infectat cu Trojan.Generic.3010833.

Trojan.Generic.3010833

Acest fisier de tip trojan are capabilitati de keylogger, inregistrand tot ce se introduce de la tastatura, dupa care informatia este trimisa catre o adresa de email.

Ca si metoda de protectie verificati de 2 ori inainte de a descarca ceva de pe internet, asta nemaipunandu-se la socoteala si instalarea acelui program atata timp cat nu vine din partea unei surse de incredere.

Cred ca era de asteptat sa apara si pentru Android un virus, ca doar pentru restul exista deja.

Primul program malitios ce trimite SMS-uri la numere cu suprataxa pe sistemele Android a fost deja detectat si semnat de specialistii companiei Kaspersky.

Din fericire trojan: Trojan-SMS.AndroidOS.FakePlayer.a a fost detectat doar in anumite cazuri izolatea, dar de la cazuri izolate pana la o intreaga epidemie nu poate fi decat un pas.

Datorita fatului ca troianul SMS.AndroidOS.FakePlayer nu exploateaza nici un fel de bug in sistemul de operare Android, aceasta apeleaza la cel mai vechi truc al tuturor timpurilor: prostia si curiozitatea umana, prin care utilizatorului ii este cerut accordul de instalare al unui mic fisier de numai 13Kb. Extensia fisierului – trojanului MS.AndroidOS.FakePlayer este cea standard a aplicatiilor Android .APK, asa ca aveti grija ce aplicatii instalati.

Trojan SMS-AndroidOS FakePlayer.a

Cum previi infectarea telefonului cu Trojan-SMS.AndroidOS.FakePlayer.a

Ca o prima metoda de prevenire cu asemenea infectii este asa cum am zis mai sus sa aveti grija ce aplicatii instalati.

A doua metoda de prevenire a infectarii cu Trojan-SMS.AndroidOS.FakePlayer.a a telefonului tau cu Android este instalarea numai a aplicatiilor aprobate in prealabil.

Pentru a face acest lucru mergeti pe: Setting, apoi la Applications si va asigurati ca optiunea “Unknown sources” nu este bifata.

De asemenea pentru a prevenii incarcarea facturii telefonice prin trimiterea de sms-uri la numere cu suprataxa, ar fi si modalitatea de a nu aprobarea aplicatiilor gen media player accesul la aceste servicii.

Astazi imi pare rau sa va anunt, dar a aparut o versiune mult mai agresiva care ca si cele amintite mai sus se raspandeste tot prin Yahoo! Messenger.

Datorita faptului ca virusul vine cu un mesaj in spaniola, multi dintre romani o sa isi dea seama de aceasta amenintare si o sa fie protejati.

Iata mesajul Virusului www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip:

edite esta foto… crees que se ve bien? la acabo de crear en photoshop http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip

Daca la prima vedere terminatia link-ului este ca o poza arhivata cu zip:  IMAGEN006.JPEG.zip va sugerez sa nu va lasati pacaliti, deoarece in aceasta se ascunde fisierul “IMAGEN006.JPEG_www.mfotoblog.com” cu extensia .com, fiind un EXECUTABIL (virus) .

Toata aceasta smecherie compusa din IMAGEN006.JPEG si un nume de website www.mfotoblog.com este facuta in asa fel incat sa induca in eroare utilizatorul pentru a accesa fisierul si ai ascunde ata adevarata extensie cat si scopul.

Din pacate conform site-ului VirusTotal acest virus este detectat doar de 13 din 41 de antivirusi pana in momentul in care realizez acest articol.

Datorita faptului ca folosesc Avast 5 ca antivirus pot spune ca in acest moment cei care il folosesc si sunt cu update-urile la zi sunt protejati. De asemenea iata si lista cu restul de antivirusi care il detecteaza:

• AhnLab-V3       Trojan/Win32.Buzus
• Avast                   Win32:Trojan-gen
• Avast5                 Win32:Trojan-gen
• BitDefender       Trojan.Buzus.HQ
• DrWeb                  BackDoor.IRC.Bot.518
• eSafe                    Win32.Injector.Fam
• eTrust-Vet          Win32/Buzus.MV
• Fortinet               W32/Injector.fam!tr
• GData                   Trojan.Buzus.HQ
• McAfee                 Artemis!08A6D3885A19
• McAfee Edition Win32.NewMalware.B
• Prevx                    High Risk Cloaked Malware
• Sophos                 Sus/UnkPack-C

Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip ca si “fratii lui” mai mici daca as putea spune asa isi creeaza doar un singur fisier si anume:

C:\Users\Public\wmpdt1.exe
C:\WINDOWS\system32\wmpdt1.exe

Ca si orice program creat, acest virus devine din ce in ce mai performant deoarece de data aceasta el pot spune ca a fost facut de un profesionist.

De ce zic asta?

Pai sincer m-am intalnit cu tot felul de virusi, dar sa inchizi toate procese si virusul sa ramana inca rezident in memorie atunci sigur aici e treaba de profesionist.

Din cate am observat o inalturare manuala in timp real nu prea se poate, iar virusul continuandu-si treaba rezident in memori. Acesta in primul rand deschide conexiuni catre diverse Ip-uri din internet ele fiind Italia si Germania de la care probabil asteapta raspunsuri sau comenzi.

De asemenea acest virus IMAGEN006.JPEG.zip sau wmpdt1.exe se transmite prin intermediul Yahoo Messenger-ului, dar in background sau pe romaneste in spate scaneaza reteaua in care va afla pe portul 445 pentru a exploata alte calculatoare.

Acest port 445 este folosit in general pentru file sharing, deci e posibil ca acesta sa se rapandeasca si prin folderele sharate cu permisiuni de scriere.

Tutorial devirusare IMAGEN006.JPEG.zip respectiv wmpdt1.exe

Chiar daca nu pot sa va dau o unealta de inlaturare in momentul de fata, acest virus se poate scoate manual foarte usor si fara prea mare bataie de cap:

Pentru inlaturarea virusului http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip mergeti in:

C:\Windows\system32

unde va trebui sa dati remove la orice permisiune pe virus si anume:

Daca nu vedeti fisierele ascunse atunci mergeti pe Tools sus in meniu Folder Options si bifati/debifati urmatoarele casute dupa cum urmeaza:

• Show Hidden Files and Folders
• Debifati Hide protected operating system files (Recomended)
• si jos de tot daca aveti Windows-ul in Engleza debifati Use simple File sharing (asta pentru a avea acces la permisiuni avansate pe fisiere/foldere)

Acum  mai mult ca sigur ca o sa vedeti fisierul sau mai bine zis virusul wmpdt1.exe. Dati click dreapta pe el si urmati pasii de mai jos:

1. Properties dupa ce ati dat click drepata pe wmpdt1.exe
2. Mergeti pe tab-ul Security (acesta apare doar daca debifati Use simple File sharing asa cum am zis mai sus)
3. Dati click pe butonul Advance
4. Debifati casuta de jos unde scrie: “Inherit from parent the permision entries that apply to chlid objects. Include this explicitly defined here.” si apoi mergeti pe butonul Remove.
5. Dati Ok respectiv Yes la toate ferestrele dupa care va trebui sa ii dati un restart la computer.

VIRUS IMAGEN006.JPEG_www.mfotoblog.com sau wmpdt1.exe

Dupa restart virusul nu va mai porni. Pentru inlaturarea definitiva a acestui virus v-as sfatui sa folositi un antivirus ca AVAST sau refaceti pasii de mai sus de la 1 la 5 dar in mod invers si apoi dati delete la fisierul wmpdt1.exe.

Multi probabil dintre voi stiti ca anumite fisiere primite prin diverse aplicatii ca: email, yahoo messenger, mirc sau orice alt program de sharing sau p2p pot contine virusi. La fel de probabil este si faptul ca multi dintre voi aveti si un antivirus instalat, dar care de multe ori acesta nu este incapabil sa detecteze virusi (foarte) noi din diverse motive pe care nu am sa le discut acum, asa ca apare o problema.

Pentru a fi in siguranta si a nu rula anumite fisiere despre care nu stiti nimic trebuie sa respectati cateva lucruri de baza esentiale:

1. aveti grija ce extensie are fisierul primit (daca este: exe, scr, com sau bat ) atunci posibil sa fie virus
2. daca fisierul primit are pana in 1Mb dimensiune si este de genul amintit mai sus ca extensie, atunci are mai multe sanse sa fie virus, trojan,.. etc
3. daca este mai mic de 1-2Mb intotdeauna scanati fisierul primit inainte de deschiderea acestuia
4. daca tot mai aveti anumite suspiciuni, atunci scanati fisierul cu mai multi antivirusi o data.

Tutorial – Cum se scaneaza un fisier cu mai multi antivirusi odata

Virustotal.com Cum se scaneaza un fisier cu mai multi antivirusii odata

Pentru a scana un fisier cu mai multi antivirusi odata, nu trebuie decat sa mergeti la urmatoarea adresa:

http://www.virustotal.com

dati click pe browse sau  choose a file (in google chrome) cautati si selectati fisierul  dorit, dupa care dati click pe butonul Send File.

Daca gaseste acel fisier ca fiind virusat atunci imaginea va fi in genul celei de mai jos:

Fisier infectat- virustotal.com

iar daca fisierul este curat, atunci coloana de Result va fi goala ca in imaginea de mai jos:

Fisier neinfectat virustotal.com

Acest virus ca si cel de aici se raspandeste tot cu ajutorul clientului de Yahoo Messenger, dar spre deosebire de acela acesta este 100% detectabil de toti antivirusi de pe piata conform site-ului VirusTotal.com.

Mesajul primit este unul ca cel de mai jos:

Show la webcam gratis http://webcamsex.lx.ro asteapta sa se incarce java si dai run

Virusul creeaza urmatoarele foldere fisiere:

%AppData%\addon.dat
%System%\Bifrost\servver.exe
%System%\Bifrost

Pentru a putea rula de fiecare data cand computerul este pornit virusul isi insereaza codul in procesul explorer.exe si creaza urmatoarele chei de registri:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_CURRENT_USER\Software\Bifros

De asemenea in momentul in care utilizatorul da click pe run din apletul java, se descarca un fisier jar: http://webcamsex.lx.ro/Client.jar ce creeaza fisierul: %temp%\winconfig.vbs.

Acesta v-a descarca virusul de pe server: http://webcamsex.lx.ro/server.exe in folderul %temp%\update.exe si il va rula in calculatorul victimei, dupa care acesta se va copia in %System%\Bifrost.

Deci ca un rezumat nici unul din fisierele amintite mai sus nu sunt simportante, ca atare nu trebuie sa faceti altceva decat sa stergeti folderul %System%\Bifrost (de cel mai multe ori c:\windows\sysmte32\Bifrost) si sa ii dati un restart la calculator.

Si ca o paranteza Avast versiunea 5 cu Web Shield activat va bloca accesul la site, in rest atentie mare pe ce mai dati click.

Se pare ca de azi cel putin prin Romania circula un nou virus ce se raspandeste cu repeziciune prin Yahoo Messenger.

Virusul  a fost activ pe aceste website-uri si apartin in totalitate Yahoo-ului :

hxxp://ariafotos.com/image.php

hxxp://zhelefun.com/image.php

hxxp://ceceliaimg.com/image.php

hxxp://tviceimg.com/image.php

In momentul acesta link-uurile din mijloc (cele cu rosu) inca mai functioneaza asa ca atentie mare pe ce dati click in clientul de Yahoo Messenger.

Conform website-ului: http://www.virustotal.com acest virus nu este detectabil decat de doar 2 antivirusi (Comodo si Sophos) din 40 ceea ce ii confera dreptul sa faca ce vrea prin calculatoarele victimelor.

Virusul care poarta denumirea IM56245.JPG-www.myspace.com.exe este recunoscut de Comodo Antivirus ca P2PWorm.Win32.Palevo.GZA si de Sophos ca Mal/Rimecud-D, avand aceeasi caracteristica a numelui ca si trojanul Michael Jackson. Daca va mai amintiti de el si acela prezenta in componenta numelui un website. In cazul de fata este vorba de www.myspace.com pentru a duce utilizatorul in eroare.

Acest executabil de tip trojan isi creeaza urmatoarele fisiere:

%Windir%\infocard.exe (acesta va fi si procesul activ)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

Scanarea am realizat-o cu Hijackthis de la TrendMicro si Autoruns de la Microsoft doua softuri care folosite impreuna e cam improbabil sa le scape ceva in materie de tot ce inseamna malware, spyware si troieni, mai putin virusi ce infecteaza executabilele.

De asemenea urmatoarele chei registry ii apartin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

In urma rularii troianului IM56245.JPG-www.myspace.com.exe acesta tine o conexiune deschisa cu ip-ul: 123.176.40.3 pe portul 2345 ce se afla in India, fiind un server apache avand porturile 443, 21 deschise si cel mai probabil vulnerabil daca nu chiar spart de hackeri.

Acest ip poate fi chiar sediul central al acestui virus de unde poate prelua comenzi, de aceea va recomand ca in firewall sa realizati o blocare a oricaror activitati TCP si UDP catre ip 123.176.40.3.

Devirusare infocard.exe - IM56245.JPG-www.myspace.com.exe

Pentru devirusare va trebui sa inchideti din Task Manager procesul infocard.exe, dupa care v-a trebui sa stergeti urmatoarele fisiere:

%Windir%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea va trebui sa inlaturati si cheile de registri amintite mai sus dar nu este neaparat nevoie ele chiar daca raman nu o sa afecteze in nici un fel sistemul de operare atata timp cat fisierele troianului nu mai exista.

Pentru a scapa automat de acest trojan – infocard.exe am facut pentru voi un mic fisier de tip bat ce inchide si sterge virusul si pe care il puteti descarca de aici.

Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.

Update virus Yahoo Messenger

Datorita faptului ca virusul se raspandeste foarte repede acesta si-a  creat mai multe versiuni daca pot sa le spun asa.

Pe langa fisierele amintite mai sus e posibil ca infocard.exe sa poarte si alta denumire ca: net.exe si net1.exe care se afla tot in folderul Windows.

Conexiunile de aseara pe care micul nostru virus le avea s-au diversificat astfel:

Deci avand in vedere ca foloseste mxs.mail.ru si psmtp.com pe portul de smtp acesta va incerca sa faca si spam. De asemenea are si functie de backdoor, deoarece dupa cateva ore de teste am observat si acest fisier umvxcr.exe in folderul utilizatorului de pc: c:\Documents and Settings\User vostru\ , cu proprietati de ascundere – hidden.

Pentru acest lucru am adaptat si programelul de devirusare pe care il puteti descarca de aici.
Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.