Virusul Michael Jackson si gripa porcina (Actualizari)

Virusul MichaelJackson despre care v-am vorbit aici: a suferit unele modificari.

Noul mesaj trimis prin Yahoo! Messenger este:

LOL WTF 😀 !! -> hxxp://MichaelJacksonDied.best4info.net
OMG WTF !! 😛 :O -> htxp://swineflu.best4info.net
OMG WTF ?!!   hxtp://swineflu.skybest4info.com

Curiosilor care dau click, li se va oferi pentru descarcare\rulare fisierul: IMG07092009.jpg–www.MichaelJackson.com ce este hostat pe site-ul: freewebtown.com

De ieri virusul s-a modificat putin si mai creeaza un fisier in plus, iar unele din cele vechi au denumirea schimbata. Iata mai jos lista completa a fisierelor create la rularea acestui fisier infectat:

C:\Documents and Settings\user\Local Settings\Temp\789047.exe
C:\Documents and Settings\user\Local Settings\Temp\377993.exe
C:\Documents and Settings\user\Local Settings\Temp\SwineFlu.pif  (Ce legatura o avea gripa porcina cu Michael Jackson ?!?)
C:\Documents and Settings\user\Local Settings\Temp\vshost32.exe
C:\vshost.exe
C:\autorun.inf

* user reprezinta numele utilizatorului calculatorului respectiv.

Daca aveti mai multe partitii, ultimele doua fisiere vor exista pe fiecare: vshost.exe si autorun.inf.

Din fericire detectia virusului este foarte ridicata: http://www.virustotal.com/analisis/50475cbfbf898987edd51fb5a580c3c5301c30a0cdf1c8dba62a917918365359-1253448948 (cu exceptia Kaspersky !)

DEZINFECTIE:


1. Automata: Scanati complet PC-ul cu Malwarebytes Anti-Malware si\sau cu Kaspersky Removal Tool

2. Manuala: Stergeti toate fisierele de mai sus si cheia registry, astfel: stergeti intai primele 4 fisiere listate de mine (cifrele ce compun denumirea fisierelor din folderul Temp pot fi aleatorii, dar intotdeauna 6 si fara nici o litera) folosind Unlocker (vezi detalii mai jos). Dupa restartarea PC-ului, intrati in My Computer, click-dreapta pe fiecare partitie, alegeti Explore si stergeti si celelalte doua fisiere care apar acolo: vshost.exe si respectiv autorun.inf

IMPORTANT! Pentru a gasi toate fisierele mergeti in My Computer >> Tools >> Folder Options >> View si bifati “Show hidden files and folders” si de asemenea debifati “Hide protected operating system files”. Confirmati apoi cu OK.

Pentru stergerea unor fisiere este posibil sa aveti nevoie de Unlocker. Cand un fisier nu poate fi sters prin metoda clasica si apare mesajul de “file in use”, instalati Unlocker, click-dreapta pe fisier si selectati Unlocker. Acolo alegeti Delete si fisierul va fi sters. (Uneori va cere restart-ul PC-ului)

La finalul devirusarii descarcati apoi si rulati ATF-Cleaner. Bifati toate casutele si apasati “Empty selected”.

Pentru rezolvarea erorii: “Windows cannot find vshost.exe” la dublu-click pe o partitie, folositi solutia descrisa aici: http://www.faravirusi.com/2009/05/06/nu-se-deschide-partitia-la-dublu-click-drive-is-not-accessible-access-is-denied/

Actualizare 14.10.2009: Adaugare mass nou

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

16 responses to “Virusul Michael Jackson si gripa porcina (Actualizari)”

  1. Florin

    Kaspersky 2010 il detecteaza! Poti sterge paranteza;)

  2. Dorin

    Salut,

    Radu lumineaza-ma Kaspersky nu il detecteaza dar il recomanzi ca solutie de devirusare ? Si nu ma mira ca nu il vede incepe sa isi faca un obicei din asta.
    Auzisem ca acum cativa ani se creau virusi sa zicem optimizati sa evite detectia Norton sa fie acum virusii optimizati sa nu ii vada Kaspersky ?
    Glumesc desigur.

    Din fericire detectia virusului este foarte ridicata: http://www.virustotal.com/analisis/50475cbfbf898987edd51fb5a580c3c5301c30a0cdf1c8dba62a917918365359-1253448948 (cu exceptia Kaspersky !)

    DEZINFECTIE:

    1. Automata: Scanati complet PC-ul cu Malwarebytes Anti-Malware si\sau cu Kaspersky Removal Tool

  3. Florin

    Radu, pentru a nu crea confuzii eu as sugera ca data viitoare cand primesti notificari despre un virus, si il testezi cu virustotal.com, iar el apare ca fiind nedetectat de kaspersky, sa specifici ca e vorba de Kaspersky 7 (versiune veche, astia acus nu mai ofera suport pentru ea). Eu iti citesc frecvent blogul, si de fiecare data cand apare un virus, daca tu specifici adresa de la care poate fi luat, eu il testez, si o sa scriu aici daca versiunea 2010 il detecteaza sau nu. La inceput si eu am crezut ca, daca Kav 7 cu update-uri la zi nu detecteaza un virus, nici Kav 2010 nu il detecteaza chiar daca are update-uri la zi. Lucru neadevarat insa.

  4. B7ackAnge7z

    Nu stiu cum altii, dar eu nu sunt de acord cu “specialistii” care elibereaza update-uri doar pentru anumite versiuni de engine.

    Caci versiunile de engine se elibereaza pentru performanta, stabilitate si rapiditate, iar versiunile bazelor de date – pentru a “enumera” noii virusi…

    Am observat un lucru foarte interesant:
    Priviti la Dr.Web, aici:
    http://www.virustotal.com/analisis/b1c61562f6de6d4c53f280e67322b0c23c0788f54ad491f5d3c284632ecc20d2-1253475583

    si aici:
    http://scanner.novirusthanks.org/index.php?session=101197310116868537923649921515593555372646

    Versiunea bazei de pe data 20.09.09[virustotal] depisteaza virusul, insa cea de pe data 21.09.09[novirusthanks] – nu depisteaza nimic…

  5. B7ackAnge7z

    Apropo, virusul incearca sa faca schimb de date cu urmatoarea adresa:
    hxxp://fubar,cheapsocks,cn:80/check.php?p1=12345&p2=AUT&n=1

  6. B7ackAnge7z

    2Radu,
    Pina acum nici nu am observat ca rezultatele nu se salveaza, dar se sterg automat dupa o anumita perioada de timp.

    Cit despre versiile de engine:
    VirusTotal – 5.0.0.12182
    NoVirusThank – 5.0

    Diferenta practic/posibil nu este, insa rezultatul testarii face mult… Si aceasta chestie am observat-o nu numai pe aceste servere(dar si pe PC), si nu numai la Dr.Web. Pur si simplu “specialistii” nu acorda support pt versiunile vechi. Poate e si normal, dar macar sa-si dea interesul sa explice utilizatorilor situatia reala…

  7. Sir-NyCkY

    Cred ca a aparut o noua replica a virusului “OMG WTF !! -> hxxp://swineflu.best4info.net” Asta e mesajul pe care il primesc acum pe mess de la diferite persoane… Stie cineva ceva despre virusul asta?

  8. nickman

    imi apare mereu knd intru p mess porkria asta d virus "OMG WTF !! -> http://swineflu.best4info.net" si am incercat toate metodele zise de voi mai sus si nu am gasit niciun fisier….ce pot face in continuare?…va rog dak puteti sa ma ajutati

  9. nickman

    imi apare mereu knd intru p mess porkria asta d virus “OMG WTF !! -> <a href="http://swineflu.best4info.net&quot;” target=”_blank”>http://swineflu.best4info.net“ am cautat cum ati spus voi mai sus si nu am gasit nimic… ce pot face?

  10. IvanALex

    Multumesc frumos.Am urmat intocmai instructiunile si a functionat.

  11. FaraVirusi.com » Trojan.Buzus – virusi pentru Yahoo! messenger (Lista de Mesaje + Devirusare)

    […] a adus un val nou de virusi pentru Yahoo! Messenger. Dupa ce virusul Michael Jackson si cel SwineFlu (gripa porcina informatica, cu alte cuvinte) au tinut capul de afis, a aparut altul care trimite […]

  12. Marginean Alexandru

    … Virusul creaza si fisierul *\rpdnet.exe

  13. andreea

    nu gasesc vshost.exe si respectiv autorun.infunde cum pot face sa le gasesc si unde ..va rog frumos sa =mi spuneti

Leave a Reply