Red Codec – Nou virus pentru Yahoo! Messenger (Devirusare completa)

De mult timp, virusii “inventati” de straini foloseau tehnica “codec-ului fals”. Intrai pe un site care continea niste clipuri video si ti se cerea descarcarea unui nou codec pentru a putea urmari respectivul clip. Codec-ul nu era altceva decat un virus.

Va anuntam acum ceva timp despre primul virus romanesc ce foloseste aceeasi tehnica. Acesta a continuat sa existe pe internet si se raspandeste din nou trimitand mesaje prin Yahoo! messenger ce suna cam asa:

Ia vezi iti place cum se distreaza prietena ta de suflet? hxxp://video6558.iad.ro/
hxxp://video6558.iad.ro/ super tare :)))

Ajuns acolo ti se cerea descarcarea Red Codec.


Kilfos codec

Urmand link-ul indicat pentru descarcare, ajungeai pe site-ul routernet.org de unde trebuia sa descarci si sa instalezi redcdc.exe. Fisierul a fost adaugat ieri, pe 13.07.2009 si a fost descarcat deja de peste 3236 de persoane.
Odata rulat acesta descarca automat de pe site-ul www.mili***ul.ro urmatoarele fisiere:
sal2[1].exe
ghjk.poc
nod32srv.exe
upd567.exe

si apoi copiaza fisierul ntdetector64.exe asigurandu-si lansarea de fiecare data cand porneste PC-ul ruland din locatia C:\WINDOWS\ntdetect64.exe. Trimite mesaje catre contactele din lista de Yahoo! messenger si foarte probabil sa fure si parola contului de messenger (datorita faptului ca persoana care a trimis mesajul era permanent deconectata).

Din pacate detectia lui este foarte slaba: doar 16 din 42 de antivirusi prezenti pe virustotal.com. AVIRA protejeaza din nou utilizatorii impotriva ultimelor amenintari gratie motorului euristic performant. Restul de 15 produse ce-l detecteaza le gasiti in poza atasata mai jos:

Pentru dezinfectie folositi Dr. Web CureIT, scanand si stergand infectiile gasite. De asemenea schimbati-va parola contului Yahoo! dupa stergerea virusului.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

21 responses to “Red Codec – Nou virus pentru Yahoo! Messenger (Devirusare completa)”

  1. Florin

    Am descarcat fisierul ala, si l-am scanat cu Kaspersky IS 2010. Zice no threats detected. Daca incerc sa instalez codecul, Kaspersky ma intreaba daca sa permit, am dat limit (lasa aplicatia sa ruleze, dar blocheaza comportamentul suspect), si nu s-a instalat “codecul”.

  2. Adrian

    mie nici numi porneste imi zice faild to start

  3. Florin

    Spune-mi tot site-ul ala de pe care descarca fisierele malitioase, sa incerc sa vad daca ma lasa Kaspersky 2010 sa intru.

  4. Iulian

    In urma cu 2-3 saptamani Avira mi se parea “inca un anti-virus” pe primul loc in preferintele mele situandu-se Kaspersky urmat de Norton, Eset, Bit.

    Acuma citind cu atentie toate subiectele publicate de catre admin trebuie sa recunosc ca mi-am cam schimbat parerea aprox 180″

  5. Raducorleone

    Mi se pare mie sau kaspersky nu se deranjeaza sa adauge detectie pentru virusii romanesti??? poate ii considera prea putin importanti 😐

  6. Florin

    Pai eu nu inteleg un lucru: virus e fisierul ala, redcc sau fisierele descarcate de acest program in timpul instalarii? Oricum, Kaspersky IS 2010 nu permite instalarea codecului.

  7. Claudiu

    Radu, dar trimite te rog si la Symantec fisierele malitioase ca sa adauge si ei detectie la baza lor de date.

  8. Florin

    Ok. Trebuie sa recunosc, acest virus il depaseste pe Kaspersky, pt ca nu recunoaste fisierul acela, dar totusi nu permite instalarea codecului, deci calculatorul nu e virusat. Vad partea plina a paharului:d

  9. sergiu

    cred ca lucrurile devin pe zi ce trece tot mai clare: AVIRA este si va ramane unul dintre cele mai bune programe antivirus,chiar si varianta free. In ceea ce priveste KASPERSKY,observ si eu in ultima vreme ca nu prea baga in seama virusii romanesti….interesant, de ce nu o fac!? Dar cum bine zice FLORIN: vad partea plina a paharului!

  10. Claudiu

    Radu, nu uita si de G-Data. Vad ca acum sunt peste tot in top 🙂 .

  11. sergiu

    Da,e un lucru bun ceea ce fac cei de la Avira. In general,majoritatea cunostintelor si prietenilor mei folosesc de ani buni Avira,fie free fie cele cu plata,rezultatul fiind linistea de care pomeneam acum citeva zile. La rindul meu ,recomand cu caldura celor ce vor sa testeze,vor vedea diferenta repede in comparatie cu altele…..dar…fiecare e liber sa decida ce vrea sa foloseasca,nu? Felicitari pt. faptul de a cumpara inca o licenta pt.Avira PREMIUM,CHIAR FACE BANII!!! Toata stima,Radule!

  12. Florin

    Avira, Kaspersky, G-Data, Norton, Eset, astea sunt produse de top. Eu zic ca oricare din astea (bineinteles ca mai sunt poate multe altele) protejeaza bine un utilizator obisnuit care nu intra pe toate site-urile dubioase. Eu raman la Kaspersky:d.

  13. Claudiu

    Oricum, mi-am revizuit parerea. O fi G-Data foarte eficient, dar Avira are acel ceva ce lipseste la G-DATA. Poate fi si o chestie de obisnuinta 🙂 .

  14. agentvaly

    eu lam primit si dupa ce lam descarcat acel red codec am dat scanare cu BitDefender si la depistat ca trojan generic

  15. Mihaela

    Am nevoie de ajutor. Am primit pe messenger un link de la o prietena, …l-am deschis, virus..este un zip de 144 k….genereaza mesaje automate la toti din lista si imi deschide si Skype.
    Am dezinstalat si messenger yahoo si skype…am AVG…l-a detectat , dar degeaba.
    Am scanat de 2 ori pc-ul.
    Am sters zipul din internet temp…
    Am dat spy boot search…
    Am reinstalat cele 2…la fel apare, chiar daca avg detecteaza.
    Ce sa fac?

  16. Mihaela

    Multumesc Radu.
    Voi face asta .pana atunci AVG mi-a aratat cam asa: C:\mscma Packed.Hidden. infected
    Am dat scanare in safe mode.
    In temp internet files am gasit ” zipul” ceva genul y2.1 cu identificare http// ip…
    L-am ras si de acolo.
    Dupa pornirea normala , a aparut din nou in AVG pe resident shield impreuna cu un troian care nu a ridicat probleme

  17. Mihaela

    rectific C:\mscma.exe

Leave a Reply