[Update] HAHA Michael Jackson is gay – nou virus pentru Yahoo! messenger

De curand se raspandeste un nou virus prin Yahoo! messenger. Acesta trimite mesaje de genul:

HAHA Michael Jackson Gay 😀 >> http://looool.mj******.com

HAHA michael jackson gay http://rs1***2.rapidshare.com/files/261****36/IMG18102008.jpg–www.MichaelJackson.com

Detectia sa este foarte slaba in acest moment. Virusul creeaza un fisier vshost.exe in radacina partitiei asigurandu-si rularea printr-un autorun.inf situat in aceeasi locatie.

De asemenea poate crea fisierul vshost32.exe in C:\Documents and settings\<user>\Local settings\Temp
Variantele se schimba rapid, cea anterioara fiind detectata de Avira, BitDefender. Cea mai noua este detectata euristic de doar 6 antivirusi (vezi poza de mai jos).

michael jackson gay virus

Virusul a fost trimis deja marilor producatori AV si se asteapta ca detectia sa fie adaugata in cel mai scurt timp posibil.

DEZINFECTIE: Intre timp daca ati fost infectati puteti sa folositi Malwarebytes Anti-Malware pentru dezinfectie urmate de schimbarea parolei de messenger.

Iata lista fisierelor create de virus (conform a-squared):

C:\Documents and Settings\<user>\Local Settings\Temp\174094.exe     detected: Riskware.Win32.DelfInject!IK
C:\Documents and Settings\<user>\Local Settings\Temp\FuckedByMichaelJackson.PIF     detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temp\services.exe     detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temp\vshost32.exe     detected: Gen.Trojan!IK
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files\Content.IE5\C2FHJFZ5\lsass2[1].exe     detected: Riskware.Win32.DelfInject!IK
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files\Content.IE5\T0KUUJO1\fw[1].exe     detected: Gen.Trojan!IK
C:\vshost.exe     detected: Gen.Trojan!IK

In plus exista un fisier autorun.inf in radacina fiecarei partitii. Pentru indepartarea lui va sugerez folosirea Panda USB Vaccine.

Nu in ultimul rand este creata cheia registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “BootMgr”=”C:\\DOCUME~1\\<user>\\LOCALS~1\\Temp\\services.exe” a carei stergere este necesara de asemenea.

Multumesc JulotM pentru completarea informatiilor.

IMPORTANT: Instructiuni de devirusare pentru ultima varianta a virusului gasiti in acest articol.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

85 responses to “[Update] HAHA Michael Jackson is gay – nou virus pentru Yahoo! messenger”

  1. Andixie

    ce naspa.. cel putin am fost desteapta si no am dat clik pe toate kkturile:-j si 1. michael jackson n`a fost gay. 2. nu ma prea intereseaza michael jackson o data ce e mort frate:-j mai ales ca un fac, stii…nu s`ar uita la asea cv..parerea mea. si nu mai dati clik pe toate tampeniile poate va mai pricopsiti si q alti virusi:-j

  2. ninja

    ma e culmea am scanat cu ala si dejaba tot imi trimite cum fac sa scap de el fara sa formatez tot pc?????

  3. Mircea Alex

    Fratilor, am multimess si cateva conturi.
    Am fost efectiv agasat de mesajele astea tampite.
    Folosesc de ani buni combinatia AVG Antivirus si Ad-Aware. N-am avut niciodata probleme cu virusii. Dar sa revin… Fiind disperat de atatea mesaje am zis sa incerc sa le dau astora cu virusu` un sfat, poate-poate… scapa de Maichal. 😀
    Le-am zis tuturor sa instaleze Ad-Aware si curios dupa instalare si update la zi plus o scanare la calculator, au scapat de el.
    Folositi-l fara probleme.
    Bafta!

  4. Elie

    Si mie mi.a luat fratemiu virusu,dar am scapat de el.
    Acum,cum am citit mai sus,nu pot sa schimb avatarul.Pe alt id merge dar pe asta nu.Am sters poza din calculator si numai aparea niciuna.I.am dat la poza restore si tot aia aparea! :-L

  5. ellie

    daca nu deschizi linku ala din mass nu iei virusul, nu? :-s
    o prietena de-a mea nu l-a deschis si tot l-a luat… si acuma mi-e frica sa nu-l fi luat si eu :-ss
    vad ca nu mai merge sa-mi deschid messul, am schimbat parola de vreo 2 ori si tot nu merge… acuma chiar mi-e frica…

  6. tomi

    sal.eu mi-am formatat c:\ si am instalat nou xp si tot imi deschide situri porno si messengerul si trimite mass.ce sa fac ca sa ma scap de virus?

  7. devilboost

    deci ghinion noua care ne-am infectat cu el…..eu am dat un system restore si am scapat de el dar mai trimite odata la cateva ore sau zile nu stiu sigur……oricum deci sa va fie invatatura de minte(acelasi lucru mil adresez si mie) DACA DOAMNE FERESTE VRETI SA VA UITATI LA O POZA/IMAGINE/WALLPAPER SI CERE SA DESCARCATI CEVA…NU O FACETI K SUNT SANSE DE 90% SA FEI VIRUS!!! acum 2 ani tot cautam imagini s am luat un virus magnetic…duap ce am scapat de el am inchis computerul si dupa nu imi mai pornea hardul 🙁

  8. cosmin

    salut tuturor si eu am luat virusul din apcate, am scapat de el doar dupa ce am format partitia pe care aveam WINDOWSUL instalat, dar celelalte 2 nu le`am formatat..problema este ca in temp inca mai am fisierul vshost32 ce pot sa fac sa scap definitiv de el…deoarece acum imi vede toate cele 3 partitii ca si CD, iar la deschidere imi cere o confirmare…ce sa fac sa scap de el?

    cine ma poate ajuta, dati va rog add la id cosminluca2001 pe messenger

  9. Ana

    Buna,
    De ce dupa inlaturarea virusilor, apar din nou ?
    Am scanat, i-am inlaturat, am schimbat parola si au aparut din nou, dupa 20 de minute, iar acum trimit iar massuri aiurea, care este motivul ?

  10. Smenaru90

    gata man , ms ffff mult , sfaturi cu adevarat utile 😀 , sper sa fi scapat de tot de virus 🙂

  11. adelin

    Spuneti-mi va rog cum ati rezolvat problema asta cu virusul….:( pls 😀 contactatima p mail : adelin_cool_musik@yahoo.com

  12. hARA

    nu dati CLICK e naspa rau de tot nu ma pot juca nimic trebuie reforamtat pc

  13. K_baiatu

    Cade varianta cu formatatu am formatat de 2 ori pcu am stat o tot weekendu sa tot instalez la windowsuri (prima data i-am dat quick format) shi surpriza nu a mers a 2 oara am formatat normal dar nu cred k l-am rezolvat sa vad dar nu e o solutie

  14. oana:)

    bai deci eu am avut o inspiratie divina sa nu dau clik pe linkul acelea deoarece am mai avut o problema cu “o cunosti pe fata din clip” dar cunosc persoane care din nefericire au contactat virusul … asa k va dau un sfat in caz de primitzi massuri de genu’ nu mai datzi clik … in orice caz eu am dat clik pe acel mass cu fata din clip si mi se pare k am descarcat acel program:-?? dar antivirusu` meu nu mi`a detectat absolut nimic si am stat cu el km vreo saptamana dar nu am primit nici o reclamatie sa fi luat virusul:-? sa nu:-? pana la urma sters acel program care se auzea k itzi fura parola de la browser si de la orice cont de pe net .. am dat scan si nu mi`a detectat nimic (am kasperski)

  15. BogdanToa

    Cea mai buna solutie e sa dati un format la hard sisa re instal windows

  16. BogdanToa

    sau se mai poate face un fisiaer executabil de ex:
    @Echo off
    del C:\Documents and Settings\\Local Settings\Temp\174094.exe detected: del C:\Documents and Settings\\Local Settings\Tem\FuckedByMichaelJackson.PIF
    del C:\Documents and Settings\\Local Settings\Temp\services.exe
    del C:\Documents and Settings\\Local Settings\Temp\vshost32.exe
    del C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\C2FHJFZ5\lsass2[1].exe
    del C:\Documents and Settings\\Local Settings\Temporary Internet Files\Content.IE5\T0KUUJO1\fw[1].exe
    del C:\vshost.exe
    cls
    Ce parere aveti nush daca e bine

  17. BogdanToa

    Stiu extensia .bat

  18. BoBo

    sora mea a luat virusu’ dp net…am reinstalat windows-ul si nu am rezolvat nimic…cand vreau sa intru in local disk imi apre ceva cu vshost si trebuie sa dau run sa cancel…iar p mess trimite acel mesaj.am incercat sa caut acel vshost da’ nu lo gasit nicaieri in calculator…nici antivirusul anti-malware nu la gasit…c sa fac?

  19. ICo

    Ajutor , am urmat mia multe totoriale si am urmat nunu care il scoteai din safe mod , trtea sa scri in run ceva sa stergi din sistem32 ceva (din sistem32 nu am sters nimic ca nu am gasit ce zicea acolo) si din c niste doldere numite RECYKLE am facut tot ce a zis si am dat rr apare imaginea de la tosiba dupa care o imagine neagra unde scrie NTLDR Is Missing To restart pres ctrl+alt+delete CE poot sa fac in safe mod numi intra dau f11 f12 imi apare imaginea de la tosiba unde pot intra pe cd intra si cica no butting cd in ….drive etk. ce pot sa fac in acest caz ca nu mai stiu am stat pana la ora 5 azidimineata sal fac si sa dus ….. ??

  20. Mario

    Si eu am luat virusul si am incercat tot ce am putut pentru a scapa de el si am avut rezultate 🙂 numai trimite massuri….numai apar situri xxx cand intru in D: numai se deschide vshost.exe dar in C: am reusit sa sterg autorun.inf si altele dar unele nu le-am gasit , am sters multe din ele dar cand vreau sa intru in C: spune ca nu gaseste vshost.exe e chiar aiurea, nu stiu de ce vrea sa deschida vshost.exe….. eu am sters tot ce am gasit virusat in acea lista unele nu le-am gasit dar majoritatea le-am gasit si le-am sters multumesc mult dar tot nu stiu de ce face asa la C: cand intru in el intru doar prin bara de adrese si scriu C:\

  21. lucian

    salut,ma poate ajuta si pe mine cineva ? NU POT DESCHIDE PARTITIA C,CIND VREAU SA O DESCHID IMI APARE UN MESAJ,,WINDOWS NU A GASIT’VSHOST.EXE’mutumesc si astept un raspuns

  22. Lucian

    multumesc tare mult ,a mers

  23. balauru

    Cum pot creea si eu un astfel de virus?

Leave a Reply