[Update] Virus nou pentru Yahoo! Messenger

Dupa cele 3 variante ale acestui virus pe care vi le prezentam in acest articol acelasi site care le gazduia transmite acum un nou “specimen”.

Mesajul trimis acum este urmatorul:

hahahah 😀 Your dad smokes weed ??? hxxp://studyguide102.com/YourDad.GIF—www.youtube.com

Fisierul care este descarcat la accesarea acelui link se numeste: LOL-Your-Father—www[1].youtube.com

Este detectat ca: Trojan.Win32.Buzus.anux (Kaspersky), TR\Dropper.Gen (Avira), Win32.HLLW.Recycler.3 (Dr.Web), Worm.Agent.AB (BitDefender). In acest moment NOD32 si Symantec nu il detecteaza.

Virusul creeaza cateva fisiere temporare cu aceeasi denumire ca cel descarcat de pe site-ul virusat.
De asemenea se copiaza un fisier autorun.inf in radacina partitiei, pentru a asigura rularea virusului de fiecare data cand este accesata partitia respectiva.
Acest autorun.inf lanseaza fisierul winservices.exe creat in C:\Recycler\XXX, unde XXX este o combinatie aleatorie.

Dezinfectie:
Pentru devirusare puteti utiliza Avira sau Dr. Web CureIT

In ambele cazuri se dezactiveaza initial System Restore, iar apoi se descarca si ruleaza ATF-Cleaner. Se vor bifa toate casutele si apoi se apasa Empty selected.

In continuare se face o scanare completa a sistemului, fie cu Avira, fie cu Dr. Web CureIT si se restarteaza calculatorul la final.

Pentru dezactivarea System Restore se procedeaza astfel:

1. Click-dreapta pe My Computer si se alege Properties.

2. Se navigheaza in tab-ul System Restore si se bifeaza “Turn off system Restore on all drives“.

3. Se confirma cu OK.

In final pentru a scapa de eroarea primita la deschiderea partitiei, rulati ComboFix. Dezativati initial antivirusul si inchideti orice alt program ruleaza.

Confirmati cu Yes la intrebarile ce vi le va pune. PC-ul va fi restartat dupa dezinfectie.

Preventie: Se vor folosi Avira, Comodo firewall 3.8 si Flash Desinfector.
Avira are una dintre cele mai bune detectii pentru acest virus si de asemena va bloca accesarea paginilor infectate prin modulul WebGuard.
Comodo firewall 3.8 va bloca executarea virusului gratie modulului de protectie impotriva atacurilor de tip buffer overflow.
Tot din Comodo se poate seta blocarea domeniului ce contine virusul. (daca nu vreti sa utilizati Avira).
Cu Flash Desinfector
veti preveni reinfectarea fiecarei partitii cu acest virus, mai precis se va bloca crearea de fisiere autorun.inf in radacina partitiei.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

One response to “[Update] Virus nou pentru Yahoo! Messenger”

  1. MMA76

    Merci pt informatie…keep going

Leave a Reply