Ieri am primit un mesaj ciudat de la un contact din lista mea. Am fost aproape sigur ca este vorba de un nou virus.
Mesajul suna asa:
“SOCANT… http://www.filehost.ro/4***2/amaizing_exe/ se intampla in romania timpurilor noastre
“
Link-ul duce catre un site de file-sharing destul de cunoscut: filehost.ro, unde se cerea descarcarea fisierului filehost_amaizing.exe. In acest moment a fost descarcat de circa 1129 de persoane.
Acesta este un nou troian-downloader care are ca scop principal furarea parolei contului de Yahoo! messenger.
Odata rulat va da o eroare (intentionata sau nu). De fapt, atunci el se instaleaza si isi asigura rularea la fiecare pornirea a PC-ului prin crearea fisierului pmp32.exe ce va fi adaugat la Windows Startup.
Se va copia de asemenea in C:\Windows\ypgr32.exe si se va injecta in memoria C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe, astfel ca atunci rulati Yahoo! Messenger se va deschide o fereastra falsa ce imita programul de mesagerie instant, si nu fereastra adevarata Yahoo! messenger.
La introducerea user-ului si parolei in acea fereastra, datele respective vor fi trimise unui server, furand astfel parola si user-ul Yahoo!. Un alt efect va fi trimiterea de mesaje de genul celui de mai sus tuturor persoanelor din lista dumneavoastra de mess.
Detectia virusului este foarte slaba. AVIRA AntiVir, Dr. Web, F-Prot si McAfee – GW-edition, alaturi de PrevX sunt singurele programe care asigura protectie impotriva acestuia.
AVIRA il denumeste: TR/PSW.Yahoo.909312.
BitDefender, Kaspersky, Symantec(Norton), NOD32, inca nu protejeaza impotriva lui. Voi incerca sa-l trimit astazi tuturor producatorilor.
Iata aici detectia completa si detaliile VirusTotal.com: http://www.virustotal.com/analisis/c8c7367756e5db5f219af1897e83f6d077cde36da833487ee34c7896b50d17d8-1244626099
Pentru DEZINFECTIE rulati Dr. Web CureIT
Repet avertizarea si sfatul pe care vi l-am mai dat: NU DESCARCATI SI NU RULATI FISIERE SUSPECTE PRIMITE PRIN MESSENGER INAINTE DE A INTREBA PERSOANA RESPECTIVA DACA CHIAR EA VI L-A TRIMIS.
De asemenea este utila scanarea acestor fisiere pe www.virustotal.com.
Spor la chat, un chat Fara Virusi! 
Loading ...
Notre respect Avira GmbH. Ar trebui să vină și ei cu o reclamă: cel mai rapid roboţel, sau un clip cu Usain Bolt fiindcă nu este pentru prima dată când Avira reacţionează mult mai prompt decât ceilalţi producători de soluţii antivirus. P.S. Sfatul cu descărcatul fişierul ar trebui scris cu majuscule, poate aşa le sare în ochi…
@andrei: post updated.
Merci de sfat.
Articolul este excelent dar cea mai mare problema la ora actuala este ca in ziua de azi daca primesti ceva pe messenger ( link-uri ) lumea si intra in el pentru ca “este de la prietenul sau prietena mea nu are cum sa fie infectat” si este de incredere asa spun majoritatea persoanelor.
Am analizat acest program si l-am rulat cu drivesentry ( programul meu care ma protejeaza) si am realizat ca acest fisier va rescrie cateva fisiere din Yahoo Messenger si va mai incarca 3 Dll-uri ce banuiesc eu ca sunt pentru a trimite mai departe mesaje spam cu acest Link
Sa speram ca nu se va extinde
Cred ca nici daca mi-as trimite mie insumi un .exe sau link la .exe pe messenger nu l-as deschide
Multumim Radu pentru acest articol. Este foarte pretios pt ca asa cum a precizat si catalin as fi putut sa consider massul binevenit pt ca era de la vre-un prieten.
Deocamdată nu am primit nimic de genul acesta dar bine ca stiu acum. Ms inca o data și mult succes.
confirm ca acuma si nod il detecteaza ca Win32/PSW.Yahoo.Delf.A
@asda, intr-adevar l-am trimis aproape tuturor companiilor AV si multe au confirmat ca-l vor adauga in curand.
[...] la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Astazi va semnalam aparitia unui nou virus pentru Yahoo! messenger, care fura parolele conturilor respectivului [...]
Dacă ai și ThreatFire instalat te poți infecta cu infecția asta ?
Daka ai Norton Antivirus 2010 si Malwarebytes Ultimul te poti infecta?
@Sergiu: Te poti infecta orice antivirus ai utiliza. Nici o solutie de securitate nu asigura protectie 100%.
Depinde si de atentia si de obiceiurile tale de navigare web.
vreau si eu programu plizz ID ingerasul_tau_2011 plizz
@claudiu: Ce program vrei ?
da e super buna postarea ta da parola la cine va ajunge ca tot se zice ca o fura