ALERTA – Virus care fura parolele Yahoo! Messenger

Ieri am primit un mesaj ciudat de la un contact din lista mea. Am fost aproape sigur ca este vorba de un nou virus.

Mesajul suna asa:

“SOCANT… http://www.filehost.ro/4***2/amaizing_exe/ se intampla in romania timpurilor noastre :(“

Socant amaizing.exe

Link-ul duce catre un site de file-sharing destul de cunoscut: filehost.ro, unde se cerea descarcarea fisierului filehost_amaizing.exe. In acest moment a fost descarcat de circa 1129 de persoane.

Acesta este un nou troian-downloader care are ca scop principal furarea parolei contului de Yahoo! messenger.
Odata rulat va da o eroare (intentionata sau nu). De fapt, atunci el se instaleaza si isi asigura rularea la fiecare pornirea a PC-ului prin crearea fisierului pmp32.exe ce va fi adaugat la Windows Startup.

Se va copia de asemenea in C:\Windows\ypgr32.exe si se va injecta in memoria C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe, astfel ca atunci rulati Yahoo! Messenger se va deschide o fereastra falsa ce imita programul de mesagerie instant, si nu fereastra adevarata Yahoo! messenger.

La introducerea user-ului si parolei in acea fereastra, datele respective vor fi trimise unui server, furand astfel parola si user-ul Yahoo!. Un alt efect va fi trimiterea de mesaje de genul celui de mai sus tuturor persoanelor din lista dumneavoastra de mess.

Detectia virusului este foarte slaba. AVIRA AntiVir, Dr. Web, F-Prot si McAfee – GW-edition, alaturi de PrevX sunt singurele programe care asigura protectie impotriva acestuia.
AVIRA il denumeste: TR/PSW.Yahoo.909312.
BitDefender, Kaspersky, Symantec(Norton), NOD32, inca nu protejeaza impotriva lui. Voi incerca sa-l trimit astazi tuturor producatorilor.

Iata aici detectia completa si detaliile VirusTotal.com: http://www.virustotal.com/analisis/c8c7367756e5db5f219af1897e83f6d077cde36da833487ee34c7896b50d17d8-1244626099

Pentru DEZINFECTIE rulati Dr. Web CureIT

Repet avertizarea si sfatul pe care vi l-am mai dat: NU DESCARCATI SI NU RULATI FISIERE SUSPECTE PRIMITE PRIN MESSENGER INAINTE DE A INTREBA PERSOANA RESPECTIVA DACA CHIAR EA VI L-A TRIMIS.
De asemenea este utila scanarea acestor fisiere pe www.virustotal.com.
Spor la chat, un chat Fara Virusi! 🙂

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

16 responses to “ALERTA – Virus care fura parolele Yahoo! Messenger”

  1. andrei

    Notre respect Avira GmbH. Ar trebui să vină și ei cu o reclamă: cel mai rapid roboţel, sau un clip cu Usain Bolt fiindcă nu este pentru prima dată când Avira reacţionează mult mai prompt decât ceilalţi producători de soluţii antivirus. P.S. Sfatul cu descărcatul fişierul ar trebui scris cu majuscule, poate aşa le sare în ochi…

  2. Catalin

    Articolul este excelent dar cea mai mare problema la ora actuala este ca in ziua de azi daca primesti ceva pe messenger ( link-uri ) lumea si intra in el pentru ca “este de la prietenul sau prietena mea nu are cum sa fie infectat” si este de incredere asa spun majoritatea persoanelor.

  3. Catalin

    Am analizat acest program si l-am rulat cu drivesentry ( programul meu care ma protejeaza) si am realizat ca acest fisier va rescrie cateva fisiere din Yahoo Messenger si va mai incarca 3 Dll-uri ce banuiesc eu ca sunt pentru a trimite mai departe mesaje spam cu acest Link

  4. Bogdan2901

    Sa speram ca nu se va extinde

  5. Radu_2

    Cred ca nici daca mi-as trimite mie insumi un .exe sau link la .exe pe messenger nu l-as deschide 🙂

  6. allex

    Multumim Radu pentru acest articol. Este foarte pretios pt ca asa cum a precizat si catalin as fi putut sa consider massul binevenit pt ca era de la vre-un prieten.
    Deocamdată nu am primit nimic de genul acesta dar bine ca stiu acum. Ms inca o data și mult succes.

  7. asda

    confirm ca acuma si nod il detecteaza ca Win32/PSW.Yahoo.Delf.A

  8. Intr-o lume PLINA DE VIRUSI… » Blog Archive » [UPDATE] - Virus care fura parolele Yahoo! Messenger

    […] la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Astazi va semnalam aparitia unui nou virus pentru Yahoo! messenger, care fura parolele conturilor respectivului […]

  9. dragosbm

    Dacă ai și ThreatFire instalat te poți infecta cu infecția asta ?

  10. SERGIU

    Daka ai Norton Antivirus 2010 si Malwarebytes Ultimul te poti infecta?

  11. claudiu

    vreau si eu programu plizz ID ingerasul_tau_2011 plizz

  12. alex

    da e super buna postarea ta da parola la cine va ajunge ca tot se zice ca o fura

Leave a Reply