UPD
ATE: Pentru DEVIRUSARE vizitati acest link.
*********************************************************************************
Acum cateva zile am fost atentionat asupra unui nou virus propagat prin Yahoo! Messenger. Acesta trimite mesaje tuturor contactelor din lista, mesaj in limba spaniola (or fi de la fratii nostrii plecati la munca 
).
Urma un link spre o arhiva ce continea un virus de tip Trojan.Buzus.
Acesta este conceput pentru a fura datele personale, incluzand parole, conturi bancare, etc.
Creeaza aleator fisiere cu denumirile: iexplorer7.exe, w7services.exe, winupdater09.exe, Hotfix-KB5504305, pwrmgr.exe, ncsjapi32.exe, rundll94.exe, rs32net.exe, de obicei localizate in %SYSTEMROOT%\System32\
Mesajele trimise erau urmatoarele:
Mira la foto nueva!! vela antes de que la suba. hxtp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip
DIOS MIO! no puedo creer que tuviste sexo con los tres!!! htxp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip
crees que pudiera tener sexo con ellos el fin de semana pasado? htxp://descargar.mejorphotos.info:86/resultado/1283/IMAGEN0035.JPEG.zip
In momentul aparitiei (10.11.2009) detectia era urmatoarea: http://www.virustotal.com/analisis/df580464f8904be4cf2d5cfc396d852de535c95fbbc781ead7b182acbbf310da-1257885205
Momentan link-urile sunt inactive, dar este posibil sa fie reactivate si functionale.
Ceea ce am spus si alta date e valabil si acum: NU accesati link-urile primite pe Yahoo! messenger decat daca aveti confirmarea ca sunt trimite de persoana de la care par sa provina.
Fiti suspiciosi cand mesajul trimis nu este in romana, ci in engleza, spaniola, franceza, etc.
Loading ...
(or fi de la fratii nostrii plecati la munca
).
da sunt sigur de asta eu am primit acest mesaj si este o adresa localizata in romania cu ip.de spania cred ca folosesc un proxy.
sau mai bine spus sunt romanii care au fost in spania
Pensionarul Kaspersky 7 detecteaza si el virusul. Linkul e inactiv, ca sa incerc sa vad daca KIS 2010 il detecteaza.
lam trimis pe virustotal si deabia unul daca la gasit ca risk low nu mai zic ca nici un antiv cu pretentii nu la gasit
ma bucur RADU ca te-ai uitat la mailul pe care ti lam trimis in care semnalam acelasi lucru si iti dai seama stupoarea mea maxima cand am vazut ca nici un antivirus in afara de un low risk nu a gasit .
Mersi frumos Radu ca ai bagat de seama ce te-am atentionat
La link in loc de “mejorphotos” mai pote sa apara “photobucket” sau “facebook”, iar restul link-ului e cam la fel.
Am studiat ieri comportamentul virusuli si am ajuns la urmatoarea concluzie: (in afara de ce a scris Radu mai sus)
Virusul mai creeaza executabile aleatorii in folderul Temp al user-ului: “26.exe, 77.exe, 416.exe sau 893.exe”, “mails.exe” ramane acelasi.
Virusul se conecteaza la ip-ul 195.149.74.40 mai exact hxxp://195.149.74.40/css/xyy.zip, unde “x” este o cifra si “yy” sunt litere (pot fi si mai multe). Cred ca descarca si alti virusi care se activau automat.
In timp ce virusul trimitea mesajul pe mess (la toata lista) nu puteai face nimic, ca si cum ai fi scos mufele de la tastatura si mouse.
Mersi inca o data Radu!
eu am primit de la un ip.localizat in romania .inseamna ca si cel din romanie de la care am primit eu este infectat.
acest ip se pare ca este din germania?
http://www.ip-adress.com/ip_tracer/195.149.74.40
Da, am cautat si eu pe cateva site-uri si toate mi-au zis ca ip-ul e din Germania.
si cum scapi de virusul asta? ce pasi tb sa urmezi mai exact?
@seneq: Ai acest virus activ ?
sunt foarte multi care sunt virusatii. cu acest virus. eu am avut deaface cu acest virus. singura solutie de a scapa de el este un live cd nici o solutie instalata nu da rezultate,(asta daca o ai instalata inainte de virusare)dupa virusare nu mai poti rula nimic iti blocheaza tot ce inseamna solutii de dezinfectie de toate felurile,
il are profa mea.. totul merge prost , internetul se blocheaza si vad ca e afectat internet explorerul mai mult decat alte browsere… virusul inca este activ .. bineinteles sub o alta forma.. bitdefender la identificat ca fiind Troja.Agent.ALRI parca.. ….. help daca stiti vreo metoda de curatare
@seneq: Scanarea si dezinfectia cu Malwarebytes Anti-Malware ar trebui sa il scoata cu succes.
@Radu: sansele ca Malwarebytes Anti-Malware sa-l scoata sunt zero
Buna. Exista vr-o solutie de a scapa de acest virus? Dupa ce PC-ul a fost virusat, nu am mai reusit sa intru in Windows; trece de screen-ul cu “welcomë”, apoi totul se face negru. Pot sa deschid task manager, insa altceva nu am reusit sa fac; stiti cumva sub ce nume se ascunde acest virus in managerul de procese?
Multumesc.
[...] http://www.faravirusi.com/2009/11/13/alerta-nou-virus-propagat-prin-yahoo-messenger-mesaje-in-spanio... [...]
hxxp://top100penali.blogspot.com/
a aparut un alt link
chestia trimisa e urmatoarea
Razvan: o cunosti? hxtp://top100penali.blogspot.com/ )
BUZZ!!!
Biker: ti-ai tras un mare virus
Razvan: intra ca nu e nici un virus
@biker: Adevarul este ca la acel link nu exista nici un virus.
Creatorul troianului initial a schimbat domeniul si mesajele trimise implicit, insa nu a mai pus un codec fals infectat ci o versiune veche de BS Player.
Am scris acum cateva zile aici despre asta: http://www.faravirusi.com/2009/12/02/penal-nici-in-filme-nu-vezi-asa-ceva-experiment-virus/
Si eu care credeam ca mamica mea care are 75 ani, s-a apucat sa invete spaniola ! Haha ! Numai ca din pacate mie imi vine sa pling ! Am citit tot ce ati povestit voi pe aici si constat ca ” spaniolii” romani au reusit sa invadeze si Austria !
Problema e foarte dureroasa…ca mama e in virsta si singura ei bucurie era sa se plimbe prin Internet si sa stea de vorba cu noi copiii si nepotii in fiecare zi!
Dar PC ii merge ei din ce in ce mai rau si noi sintem bombardati de de linkuri spaniole(sau ma rog in limba spaniola )! Acestea apar de cite ori se login maica-mea (si cum PC ei se deschide si se inchide la fiecare ora…sau mai des)! Si numai la yahoo ci si la messenger live ! Acum un an cind am fost acasa i-am instalat Antivira…dar se pare ca nu i-a folosit la nimic ! Minunea asta cu linkurile a inceput cam de Mos Craciun! A facut o pauza de 1 saptamina dupa anul nou…si azi au aparut iarasi! Am dirijat-o prin telefon sa incerce cu Norton Antivirus care il am eu…dar nu reuseste sa instaleze programul asta de antivirus ! A reusit cu chiu cu vai sa instaleze eset nod32, dar se pare ca nu recunoaste virusul asta !
Deci: povestea mea e ca a multor altora…noi,aici nu avem virusul ca antivirusurile noastre au recunoscut cit de cit pericolul…dar mi se rupe sufletul cind vad cit sufera maica-mea cind in timpul “discutiilor ” noastre i se inegreste ecranul (cum spune ea…) si dispare tot si asteapta aproape 10 minute sa se deschida din nou PC !
Ne-am bucura de sfaturile voastre ! Nu sintem “experti” in computer !
Multumesc
@Adriana: Ti-am trimis un e-mail. In principiu metoda pentru devirusare se gaseste aici: http://www.faravirusi.com/2009/11/30/trojan-buzus-virusi-pentru-yahoo-messenger-lista-de-mesaje-devirusare/
am avuty si eu virusul acesta….ca sa scapati de el da-ti un restore la pc inainte de a da clik pe linkul acela
…