Un nou virus circula prin messenger – IM56245.JPG-www.myspace.com.exe

ATENTIE: Un nou virus se transmite prin clientul de Yahoo Messenger si este inca la aceasta ora nedetectabil de catre antivirusi.

Se pare ca de azi cel putin prin Romania circula un nou virus ce se raspandeste cu repeziciune prin Yahoo Messenger.

Virusul  a fost activ pe aceste website-uri si apartin in totalitate Yahoo-ului :

hxxp://ariafotos.com/image.php

hxxp://zhelefun.com/image.php

hxxp://ceceliaimg.com/image.php

hxxp://tviceimg.com/image.php

In momentul acesta link-uurile din mijloc (cele cu rosu) inca mai functioneaza asa ca atentie mare pe ce dati click in clientul de Yahoo Messenger.

Conform website-ului: http://www.virustotal.com acest virus nu este detectabil decat de doar 2 antivirusi (Comodo si Sophos) din 40 ceea ce ii confera dreptul sa faca ce vrea prin calculatoarele victimelor.

Virusul care poarta denumirea IM56245.JPG-www.myspace.com.exe este recunoscut de Comodo Antivirus ca P2PWorm.Win32.Palevo.GZA si de Sophos ca Mal/Rimecud-D, avand aceeasi caracteristica a numelui ca si trojanul Michael Jackson. Daca va mai amintiti de el si acela prezenta in componenta numelui un website. In cazul de fata este vorba de www.myspace.com pentru a duce utilizatorul in eroare.


Acest executabil de tip trojan isi creeaza urmatoarele fisiere:


%Windir%\infocard.exe (acesta va fi si procesul activ)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

Scanarea am realizat-o cu Hijackthis de la TrendMicro si Autoruns de la Microsoft doua softuri care folosite impreuna e cam improbabil sa le scape ceva in materie de tot ce inseamna malware, spyware si troieni, mai putin virusi ce infecteaza executabilele.

De asemenea urmatoarele chei registry ii apartin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]

In urma rularii troianului IM56245.JPG-www.myspace.com.exe acesta tine o conexiune deschisa cu ip-ul: 123.176.40.3 pe portul 2345 ce se afla in India, fiind un server apache avand porturile 443, 21 deschise si cel mai probabil vulnerabil daca nu chiar spart de hackeri.

Acest ip poate fi chiar sediul central al acestui virus de unde poate prelua comenzi, de aceea va recomand ca in firewall sa realizati o blocare a oricaror activitati TCP si UDP catre ip 123.176.40.3.

Devirusare infocard.exe – IM56245.JPG-www.myspace.com.exe

Pentru devirusare va trebui sa inchideti din Task Manager procesul infocard.exe, dupa care v-a trebui sa stergeti urmatoarele fisiere:

%Windir%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea va trebui sa inlaturati si cheile de registri amintite mai sus dar nu este neaparat nevoie ele chiar daca raman nu o sa afecteze in nici un fel sistemul de operare atata timp cat fisierele troianului nu mai exista.

Pentru a scapa automat de acest trojan – infocard.exe am facut pentru voi un mic fisier de tip bat ce inchide si sterge virusul si pe care il puteti descarca de aici.

Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.

Update virus Yahoo Messenger

Datorita faptului ca virusul se raspandeste foarte repede acesta si-a  creat mai multe versiuni daca pot sa le spun asa.

Pe langa fisierele amintite mai sus e posibil ca infocard.exe sa poarte si alta denumire ca: net.exe si net1.exe care se afla tot in folderul Windows.

Conexiunile de aseara pe care micul nostru virus le avea s-au diversificat astfel:

74.86.97.166-static.reverse.softlayer.com
server1.beetrootmusic.com
server.noapice.com.br      ——– principal
mail.global.frontbridge.com
mta-v1.mail.vip.ac4.yahoo.com
s9b1.psmtp.com
mxs.mail.ru

Deci avand in vedere ca foloseste mxs.mail.ru si psmtp.com pe portul de smtp acesta va incerca sa faca si spam. De asemenea are si functie de backdoor, deoarece dupa cateva ore de teste am observat si acest fisier umvxcr.exe in folderul utilizatorului de pc: c:\Documents and Settings\User vostru\ , cu proprietati de ascundere – hidden.

Pentru acest lucru am adaptat si programelul de devirusare pe care il puteti descarca de aici.
Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.


  1. Slym says:

    este detectabil si de Kaspersky Internet Security

    “01.05.2010 00:06:42 Detected: Backdoor.Win32.IRCBot.owx C:\Users\Public\Documents\IM56245.JPG-www.myspace.com.exe”

  2. WorldKaoss says:

    Pacat ca nui trojan, ii worm.

    Trojani is pentru remote control si nu se raspandesc asa.. ce zici tu is wormi.

    Nu prea am inteles partea cu “apartin in totalitate yahoo-ului”

  3. matsumoto says:

    e adevarat in ultima vreme primesc massuri cu asemenea linkuri 😐

  4. Ionut says:

    @WorldKaoss
    Era doar o eroare de exprimare pe care am vazut-o mai tarziu. Ma refeream la faptul ca toate site-urile sunt gazduite de Yahoo, deci ei ar trebui sa le inchida cat mai repede posibil.

    La partea de wormi le poti spune si asa, dar avand in vedere ca se rapandesc sub pretextul ca sunt poze si de fapt sunt executabile eu zic ca se numesc troieni.

    Oricum i-ai zice, in toata chestia asta cu wormi, virusi, troieni sau alte programe malitioase tot un program pe care nu il vrei in calculator e si mai tine si de SEO putin :D.

    Si mai am o intrebare…. daca tot zici u ca un trojan tine de remote control, atunci de ce are o conexiune deschisa cu un server din india pe portul 2345?

  5. andrei says:

    hxxp://www.vys.ro/main/11-scapa-de-virusul-de-pe-messenger.html

  6. […] virus ca si cel de aici se raspandeste tot cu ajutorul clientului de Yahoo Messenger, dar spre deosebire de acela acesta […]

  7. Raul says:

    si eu am primit acest virus de la o cunostintza din messenger si pe moment nu am stiut ce e.si am dat click…si vreau sa va spun ca antivitusul mi l-a detectat instant. folosesc kaspersky internet security 9.0.0.736 nepiratat.

  8. […] mult timp am anuntat un virus aici ce se raspandeste prin messenger si cu o luna si ceva in urma aici anuntasem primul virus de messenger de cat acest blog este […]

Lasa un comentariu

Contact Link-exchange Windows tools and scripts
Powered by WordPress | Designed by: Themes Gallery | Thanks to wordpress 4 themes, Download Premium WordPress Themes and