RSS FeedNici nu am scapat bine de virusul despre care va povesteam in urma cu doua zile si iata ca astazi isi face simtita prezenta un altul.
Acest virus ca si cel de aici se raspandeste tot cu ajutorul clientului de Yahoo Messenger, dar spre deosebire de acela acesta este 100% detectabil de toti antivirusi de pe piata conform site-ului VirusTotal.com.
Mesajul primit este unul ca cel de mai jos:
Show la webcam gratis http://webcamsex.lx.ro asteapta sa se incarce java si dai run
Virusul creeaza urmatoarele foldere fisiere:
%AppData%\addon.dat
%System%\Bifrost\servver.exe
%System%\Bifrost
Pentru a putea rula de fiecare data cand computerul este pornit virusul isi insereaza codul in procesul explorer.exe si creaza urmatoarele chei de registri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_CURRENT_USER\Software\Bifros
De asemenea in momentul in care utilizatorul da click pe run din apletul java, se descarca un fisier jar: http://webcamsex.lx.ro/Client.jar ce creeaza fisierul: %temp%\winconfig.vbs.
Acesta v-a descarca virusul de pe server: http://webcamsex.lx.ro/server.exe in folderul %temp%\update.exe si il va rula in calculatorul victimei, dupa care acesta se va copia in %System%\Bifrost.
Deci ca un rezumat nici unul din fisierele amintite mai sus nu sunt simportante, ca atare nu trebuie sa faceti altceva decat sa stergeti folderul %System%\Bifrost (de cel mai multe ori c:\windows\sysmte32\Bifrost) si sa ii dati un restart la calculator.
Si ca o paranteza Avast versiunea 5 cu Web Shield activat va bloca accesul la site, in rest atentie mare pe ce mai dati click.
Am incercat si eu si iata ce am gasit:
Java Plug-in 1.6.0_20
Using JRE version 1.6.0_20-b02 Java HotSpot(TM) Client VM
User home directory = C:\Users\Laurentiu
—————————————————-
c: clear console window
f: finalize objects on finalization queue
g: garbage collect
h: display this help message
l: dump classloader list
m: print memory usage
o: trigger logging
q: hide console
r: reload policy configuration
s: dump system and deployment properties
t: dump thread list
v: dump thread stack
x: clear classloader cache
0-5: set trace level to
—————————————————-
Dump thread list …
Group main,ac=19,agc=2,pri=10
main,5,alive
traceMsgQueueThread,5,alive,daemon
Timer-0,5,alive
Java Plug-In Pipe Worker Thread (Client-Side),5,alive,daemon
AWT-Shutdown,5,alive
AWT-Windows,6,alive,daemon
AWT-EventQueue-0,6,alive
Java Plug-In Heartbeat Thread,5,alive
CacheMemoryCleanUpThread,5,alive,daemon
CacheCleanUpThread,5,alive,daemon
Windows Tray Icon Thread,5,alive
Browser Side Object Cleanup Thread,5,alive
Group Plugin Thread Group,ac=3,agc=0,pri=10
AWT-EventQueue-1,6,alive
TimerQueue,5,alive,daemon
ConsoleWriterThread,6,alive,daemon
Group http://webcamsex.lx.ro/-threadGroup,ac=4,agc=0,pri=4
Applet 1 LiveConnect Worker Thread,4,alive
AWT-EventQueue-2,4,alive
thread applet-Client.class-1,4,alive
TimerQueue,4,alive,daemon
Done.
Pagina nu mai exista de mult a fost stearsa
Deci la faza asta eu ar trebui cumva sa ghicesc ca webcamsex.lx.ro care face redirect catre spicetv.ro sunt domeniile si site-urile tale.
Probabil ca in trecut ai avut o problema cu site-ul si ti s-a virusat insa eu cu acest articol am vrut sa subliniez faptul orice site ce prezinta ceva care trebuie rulat utilizatorul trebuie sa se gandeasca de 2 ori.
Ce nu imi place este ca nu stiu si eu cu cine discut. Nu tu email, nu tu nume, nu prezinti nici macar faptul ca site urile iti apartin deci, de ce as face acest lucru?
Nu e vorba de siteurile descrise de tine mai sus NICI UN SITE DESCRIS DE TINE nu imi apartine mai inteles gresit eu sunt oarecum pe aceias nisa si in cautari din google apar si paginile mele impreuna si cu pagina ta si comentariu facut de tine deci se face o “oarecare legatura” oricum nu stiu dece mam mai obosit ca stiam ca asta va fi rezultatu asa e mereu am 2 pagini de page rank 3 si una de 4 deci nu stau chiar rau cu traficu dar simplu fapt ca uneori cind mai verific cuvintele cautate vad pagina mea linga a ta lumea este indusa in eroare si mai pierd ceva trafic , dar asta e merci oricum pentru timpu acordat.
Sincer daca mi-ai fi lasat si mie ceva mai concret sa stiu si eu despre ce si cine e vorba parca te-as fi ajutat cu stergerea acelui articol care oricum nu mai imi aduce trafic, dar asa … doar un simplu email care apare doar pe facebook cu un nr de tel fara vreun site …….
Acum pune-te si tu in situatia mea … cum ti s-ar parea mesajele tale?