Win32.Antiman.N revine – virus antimanele raspandit pe Yahoo! messenger

Celebrul virus antimanele: Win32\Antiman (Spoofer.Win32.DNS.b sau TR/Agent.242688.1) revine.
Desi a fost detectat pentru prima data in iunie 2008, se pare ca inca multi producatori nu-l au in baza de date. Virusul este unul cu specific romanesc care se manifesta astfel:

1. In folder-ul c:\Documents and Settings\Adminstrator\ este prezent fisierul: User-Console.exe si de asmenea valoarea HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\Documents and Settings\Administrator\User-Console.exe
in Registry.
2. Se lanseaza la fiecare pornirea a calculatorului si cauta in Pc-ul victimei “manele” pe care le va sterge. Printre cuvintele cautate sunt: adicopil, adiminune, adriancopil, neakalu, nelupeste, nicupaleru, nynobeto, paranghelya, petricacercel etc
3. Modifica fisierul hosts pentru a bloca accesul la site-uri ce pot contine asemenea melodii:

127.0.0.1 hi5.com
127.0.0.1 images.hi5.com
127.0.0.1 static.hi5.com
127.0.0.1 picshi5.com
127.0.0.1 photos1.hi5.com
127.0.0.1 photos.hi5.com
127.0.0.1 api.hi5.com
127.0.0.1 www.images.hi5.com
127.0.0.1 www.static.hi5.com
127.0.0.1 www.pics.hi5.com
127.0.0.1 www.photos1.hi5.com
127.0.0.1 www.photos.hi5.cm
127.0.0.1 www.api.hi5.com
127.0.0.1 www.a.hi5modules.com
127.0.0.1 a.hi5modules.com
127.0.0.1 www.ro.netlog.om
127.0.0.1 ro.netlog.com
127.0.0.1 www.en.netlog.com
127.0.0.1 en.netlog.com
127.0.0.1 www.fr.netlog.com
127.0.0.1 fr.netlog.com
127.0.0.1 ingeri.ro
127.0.0.1 www.ingeri.ro
127.0.0.1 e-dragoste.ro
etc

4. Se raspandeste prin Yahoo! Messenger trimitand urmatoarele mesaje:

e misto programul, pt poze… e prea tare :D;
e pentru winamp, foarte tare programul;
foarte fain prog… pentru poze; chiar tare programul… pt winamp;
super fain programul, e pentru imagini;
incearca-l, e misto programul… pt muzica;
programu asta e PREA TARE… e pentru poze;

urmat de

revin… brb :D; brb… 😀 revin; tre sa plec… revin imediat :D;
brb… revin :D; revin imediat… 😀

dupa care se trimite fisierul infectat ce poate avea denumiri diferite.

Detectia lui este de doar 19/40 de antivirusi prezenti pe virustotal.com: http://www.virustotal.com/analisis/5466ac699abf919f9936034fca6ab894
Dr. Web, McAfee, Panda, Symantec, TrendMicro NU detecteaza inca acest virus.

Dezinfectie: Stergeti manual fisierul si cheia registry infectata (punctul 1) si folositi HostsExpert pentru a curata fisierul hosts.
Daca antivirusul il detecteaza o scanare cu acesta si o restabilirea a fisierului hosts este de asemenea o metoda, chiar mai simpla.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

20 responses to “Win32.Antiman.N revine – virus antimanele raspandit pe Yahoo! messenger”

  1. cipicutz

    “hmmm…virusi” sau poate nu 🙂 poat fi privit ca un virus sau o binecuvantare pentru urechile persoanelor care au vecini care asculta manele de prost gust la maxim

  2. florin

    lol asta chiar e un virus de treaba daca sterge manelele din PC-urile manelistilor, cu adevarat o binecuvantare pt. cei ce nu asulta si nu le plac manelele.

  3. Marius

    E un utilitar, nu un virus… Ar fi bine daca s-ar raspandi si pe DC.

  4. mos Nelu

    Da, e un virus nedetectabil, sterge ce nu vrei… interesant articolul si multzumesc ptr. sfaturi.. chiar de nu sunt un “manelist“, dar e bine de stiut,
    daca se intampla ceva… oricum , multzumesc.

  5. iosif

    Hehehe… poate ca nu trebuia sa pui si modul de dezinfectie. Poate ca e un virus bun…

  6. Octav

    @florin, @iosif: se numeste discriminare ceea ce ziceti voi. Fiecare asculta si face ce-i place; nu trebuie sa i se impuna de catre altii.

  7. Mikay

    pana si unii virusi sunt contra manelelor=))

    @Octav, asa e, fiecare om are gusturile lui si gurturile nu se discuta 🙂

  8. iosif

    Da, ai dreptate octav, dar cand muzica(ma refer la manele) aia e data la maxim de vecinu’, cum se numeste? Si na, era a joke.:)

  9. Octav

    si daca muzica la maxim de la vecinu era rock, era mai ok ?

  10. Guliver

    Denumirea de virus este insultatoare pentru acest program minunat.
    Stie cineva de unde pot sa-l iau?
    …ca vreau sa devin distribuitor.

  11. aleian

    @Guliver: vezi ca se fac ani buni de puscarie pentru distribuirea de virusi, chiar daca in acest caz, o astfel de actiune ar putea fi catalogata drept eroica 🙂

  12. Guliver

    @aleian: Puscarie? Nu prea cred. Traim intr-o tara in care hotii (si infractorii in general) sunt considerati destepti, iar parvenitii oameni de succes.
    In Romania nu exista decat doua legi: pila si spaga. Restul sunt formalitati.

  13. tonito

    call me crazy, dar si eu il vreau 😀

    urasm manelele si…am preteni care le asculta cu volumul prea mare, mult prea mare

  14. Mikay

    S-ar putea sa mai apara o versiune la acest virus. Ieri am facut cunostiinta cu doua persoane care ziceau ca lucreza la o versiune noua. Acum nu stiu cat de adevarat este :d

  15. radu_2

    Nu mi se pare ok din nici un punct de vedere un astfel de virus care sterge manele si blocheaza diferite site-uri; nu ascult manele si nu intru zilnic pe hi5 dar mi se pare o porcarie. Fiecare are dreptul sa asculte muzica ce o doreste. Nu pot sa-l pun pe tata spre exemplu sa asculte the killers, haggard si altele pentru ca oricum nu intelege ce zic ei acolo, la fel cum nu pot sa pun un alt individ care are 4-5 clase si nu a facut o limba straina sa asculte aceleasi formatii pentru ca pur si simplu nu va intelege. Maneaua si hi5-ul nu sunt solutia desteptarii Romaniei.As fi mai multumit daca s-ar scoate un virus sa ii faca sa nu mai injure grosolan pe strada, sa nu mai scuipe si sa arunce hartii pe unde ii apuca.Daca maine stergi toate manelele din lume va ramane spiritul de cocalar al romanilor asa ca no change. Numai bine tuturor.

  16. Mikay

    @ Radu: inca nu am auzit nici urma de versiunea mai noua 😐 daca mai aud ceva despre el te anunt cu siguranta 🙂

    @Radu 2: cama asa e. Gusturile nu se discuta 🙂

Leave a Reply