Cu mai bine de o luna in urma va povesteam despre un virus ce se raspandeste cu rapiditate pe yahoo messenger.
Datorita faptului ca timp-ul trece, facebook-ul prinde avand si oamenii uita prin ce au trecut, a aparut o noua versiune a acelui virus de care va povesteam.
La fel ca si acela, acesta poate avea diferite functii, printre care si una de backdoor ori de keyloggher, deoarece acesta se conecteaza “server1.beetrootmusic.com” pe portul 2345. Pe viitor la fel ca si versiunea anterioara de Pavelo, acesta ar putea suferii modificari, dar dupa parerea mea cred ca de data aceasta o sa fie unele mult mai dezvoltate fata de ce erau in trecut.

Virus nou pe messenger - Devirusare jusched
Deocamdata acest virus hxxp://ow.ly/23U3V?=http://facebook.com/photo.php nu se raspandeste decat prin Yahoo messenger avand o dimensiune de doar 72K si vine sub denumirea n11975310_09.JPG-www.facebook.exe.
Mesaje pe Yahoo Messenger ce contin virusul:
foto 😀 http://ow.ly/23U3V?=http://facebook.com/photo.php
foto 😀 http://julietgardiner.com/photo.php
Chiar daca in denumire exista domeniul Facebook, aceasta este inserata doar pentru a pacali utilizatorul si cum asta nu ar fi indeajuns acest virus nu este detectat in prezent decat de 4 antivirusi.
Iata si raportul conform VirusTotal la aceasta ora aici. Singuri antivirusi care au reactionat pana in prezent si au scos semnaturi pentru aceasta noua varianta de virus Pavelo ar fi AVG – SHeur3.AGEN, COMODO – P2PWorm.Win32.Palevo.GZA , McAfee-GW-Edition – Heuristic.LooksLike.Worm.IrcBot.B si Sophos Mal/Rimecud-D:
Ce face acest nou virus de tip Pavelo
In momentul de fata acest virus nu este foarte complicat de inlatura deoarece nu isi creeaza decat un singur fisier si anume jusched.exe direct in folderul Windows.
Aceasta denumire nu este aleasa intamplator deoarece denumirea executabilul este una foarte cunoscuta, fiind folosita de catre Java.
Devirusare jusched.exe
Pentru a devirusa sau pentru a scapa de acest virus nu trebuie facut altceva decat stegerea acestui fisiere:
C:\windows\jusched.exe sau %Windir%\jusched.exe
Pentru a scapa de acest virus va trebui sa dati urmatoarele comenzi in Comand prompt sau CMD pe rand.
Pentru a deschide comand prompt-ul dati click pe butonul de START mergeti pe RUN scrieti cmd si apoi dati click pe OK
- taskkill /f /im jusched.exe
- del /f /a %Windir%\jusched.exe
Prima comanda este de inchidere a procesului virusului, iar a doua este de stergere.
Pentru acest virus am facut si o unealta ce va scapa de acest virus, ea putand fi descarcata de pe link-ul de mai jos.
Metoda cu fisierul bat creat functioneaza doar pe XP 🙂
Pe Vista/7 fisierul este creat in alta locatie.
Eu propun metoda cu ComboFix si daca o sa fie semnat o sa fie un scan cu MalwareBytes Anti-Malware si gata 🙂
@ Devirusare
Avand in vedere ca ti am vazut mesajul, asa repede am rulat virusul si pe un Windows 7 si sa stii ca versiunea asta se baga tot in folderul Windows. Deci asa cum am facut eu bat-ul e OK.
Apropo de metoda ta nu zic ca nu merge, dar eu unul intotdeauna am preferato pe asta, fara programe din alta parte instalate – (mai sigur si eficient parerea mea).
Parerea mea este ca te inseli. Acum 2 luni cand a aparut prima data virusul am facut un removal asemanator. Se poate vedea pe blog cat si pe Softpedia unde am lansat 5 variante in functie de virus. Nu am copiat absolut nimic, comenzile de delete sunt diferite. Azi e prima oara cand iti vizitez site-ul.
@Gigi
Imi cer scuze daca am facut vreo confuzie, dar mi sa parut foarte ciudat faptul ca si tu si eu ne-am gandit cam in acelasi timp sa punem de doua ori taskkill la process.
Mult succes in continuare.
Vezi că pe Vista şi 7 fisierul se creează în C:\Users\Public. Removalul tău funcţionează pe XP dar pe Vista şi 7 doar închide procesul.
Cu bine.
Merci dar eu am testat pe Windows 7 fara UAC activat si creeaza in c:\Windows\ oricum am sa il modific pentru 2 linii in plus nu conteaza.
eu nu il gasesc nici in windows nici in public … sunt pe windows 7 … vreun sfat cineva ?
Pai virusul are denumirea jusched.exe si se afla in c:\Windows dar vezi ca e ascuns.
Pentru devirusare trebuie doar sa rulezi programul pe care l-am facut.
Daca nu il vezi in folderul Windows chiar daca ai posibilitatea sa vezi fisierele ascunse si cele de sistem, atunci de unde stii ca esti virusat cu acest tip de virus?
[…] ca nu de foarte mult timp am anuntat un virus aici ce se raspandeste prin messenger si cu o luna si ceva in urma aici anuntasem primul virus de […]
[…] Pentru versiunea care trimite linkuri gen “ow.ly facebook”, click aici! […]
Lol. Scanu cu virus total e o porcarie! Si eu am dat click pe ala cu foto 😀 si bitdefenderu l-a oprit imediat chiar inainte sa descarc ceva. Era un fel de chestie ce umbla prin Vault. In fine, am BitDefender Internet Security2010, toate actualizarile facute…
Avand in vedere ca articolul e destul de vechi iti dai seama ca mai toti antivirusii au deja semnaturi pentru acest virus si virustotal pastreaza scanarile in functie de md5-ul fisierului.
Multumesc pentru tutorial:))
Este asa de simplu de facut ca si varumeo de 9 ani a scapat de virus cu bine:))
Noile versiuni altereaza fisierele Windows + creeaza si alte fisiere decat cele mentionate mai sus.
C:\WINDOWS\jusched.exe, C:\Users\Public\jusched.exe, c:\do.exe, c:\wos.exe, c:\tolo.exe
%userprofile%\aleator.exe, %userprofile%\secupdat.dat, c:\toof.exe
%userprofile%\local settings\temp\rnk.exe, c:\windows\rgemua.exe, rgemub.exe %userprofile%\local settings\temp\rnf…bat
C:\RECYCLER\S-1-5-21-1665246806-7966420593-103610923-5365\yv8g67.exe
Solutie: Kaspersku Virus Removal Tool daca aveti alt antivirus(daca aveti deja Kaspersky pe PC, scan cu el) si MalwareBytes Anti-Malware.
[…] a aparut o noua varianta a acestui virus, care chiar daca se raspandeste prin Yahoo messenger de data aceasta se foloseste de o […]
eu am cv de genu httpȘ//s3.tinyphotohd.com/dl.php?d4q1f&res=Picture13.JPG
merci de virus … o sa incerc sa il testez ca vad ca are detectie mica, dar daca tu ai facut vreun test as fi incantat sa citesc ce ai gasit.