ALERTA: Nou virus propagat prin Yahoo! Messenger (mesaje in spaniola)

UPDYahoo messenger virusATE: Pentru DEVIRUSARE vizitati acest link.

*********************************************************************************

Acum cateva zile am fost atentionat asupra unui nou virus propagat prin Yahoo! Messenger. Acesta trimite mesaje tuturor contactelor din lista, mesaj in limba spaniola (or fi de la fratii nostrii plecati la munca :P).
Urma un link spre o arhiva ce continea un virus de tip Trojan.Buzus.

Acesta este conceput pentru a fura datele personale, incluzand parole, conturi bancare, etc.
Creeaza aleator fisiere cu denumirile: iexplorer7.exe, w7services.exe, winupdater09.exe, Hotfix-KB5504305, pwrmgr.exe, ncsjapi32.exe, rundll94.exe, rs32net.exe, de obicei localizate in %SYSTEMROOT%\System32\

Mesajele trimise erau urmatoarele:

Mira la foto nueva!! vela antes de que la suba. hxtp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip

DIOS MIO! no puedo creer que tuviste sexo con los tres!!! htxp://demostrar.mejorphotos.info:86/resultado/1480/IMAGEN042.JPG.zip

crees que pudiera tener sexo con ellos el fin de semana pasado? htxp://descargar.mejorphotos.info:86/resultado/1283/IMAGEN0035.JPEG.zip

In momentul aparitiei (10.11.2009) detectia era urmatoarea: http://www.virustotal.com/analisis/df580464f8904be4cf2d5cfc396d852de535c95fbbc781ead7b182acbbf310da-1257885205


Momentan link-urile sunt inactive, dar este posibil sa fie reactivate si functionale.
Ceea ce am spus si alta date e valabil si acum: NU accesati link-urile primite pe Yahoo! messenger decat daca aveti confirmarea ca sunt trimite de persoana de la care par sa provina.
Fiti suspiciosi cand mesajul trimis nu este in romana, ci in engleza, spaniola, franceza, etc.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

21 responses to “ALERTA: Nou virus propagat prin Yahoo! Messenger (mesaje in spaniola)”

  1. ady

    (or fi de la fratii nostrii plecati la munca 😛 ).
    da sunt sigur de asta eu am primit acest mesaj si este o adresa localizata in romania cu ip.de spania cred ca folosesc un proxy.
    sau mai bine spus sunt romanii care au fost in spania

  2. Florin

    Pensionarul Kaspersky 7 detecteaza si el virusul. Linkul e inactiv, ca sa incerc sa vad daca KIS 2010 il detecteaza.

  3. kill

    lam trimis pe virustotal si deabia unul daca la gasit ca risk low nu mai zic ca nici un antiv cu pretentii nu la gasit

  4. kill

    ma bucur RADU ca te-ai uitat la mailul pe care ti lam trimis in care semnalam acelasi lucru si iti dai seama stupoarea mea maxima cand am vazut ca nici un antivirus in afara de un low risk nu a gasit .

  5. Mikay

    Mersi frumos Radu ca ai bagat de seama ce te-am atentionat 😉

    La link in loc de “mejorphotos” mai pote sa apara “photobucket” sau “facebook”, iar restul link-ului e cam la fel.

    Am studiat ieri comportamentul virusuli si am ajuns la urmatoarea concluzie: (in afara de ce a scris Radu mai sus)
    Virusul mai creeaza executabile aleatorii in folderul Temp al user-ului: “26.exe, 77.exe, 416.exe sau 893.exe”, “mails.exe” ramane acelasi.

    Virusul se conecteaza la ip-ul 195.149.74.40 mai exact hxxp://195.149.74.40/css/xyy.zip, unde “x” este o cifra si “yy” sunt litere (pot fi si mai multe). Cred ca descarca si alti virusi care se activau automat.

    In timp ce virusul trimitea mesajul pe mess (la toata lista) nu puteai face nimic, ca si cum ai fi scos mufele de la tastatura si mouse.

    Mersi inca o data Radu! 😉

  6. ady

    eu am primit de la un ip.localizat in romania .inseamna ca si cel din romanie de la care am primit eu este infectat.
    acest ip se pare ca este din germania?
    http://www.ip-adress.com/ip_tracer/195.149.74.40

  7. Mikay

    Da, am cautat si eu pe cateva site-uri si toate mi-au zis ca ip-ul e din Germania.

  8. seneq

    si cum scapi de virusul asta? ce pasi tb sa urmezi mai exact?

  9. ady

    sunt foarte multi care sunt virusatii. cu acest virus. eu am avut deaface cu acest virus. singura solutie de a scapa de el este un live cd nici o solutie instalata nu da rezultate,(asta daca o ai instalata inainte de virusare)dupa virusare nu mai poti rula nimic iti blocheaza tot ce inseamna solutii de dezinfectie de toate felurile,

  10. seneq

    il are profa mea.. totul merge prost , internetul se blocheaza si vad ca e afectat internet explorerul mai mult decat alte browsere… virusul inca este activ .. bineinteles sub o alta forma.. bitdefender la identificat ca fiind Troja.Agent.ALRI parca.. ….. help daca stiti vreo metoda de curatare

  11. ady

    @Radu: sansele ca Malwarebytes Anti-Malware sa-l scoata sunt zero

  12. high_voltage_tm

    Buna. Exista vr-o solutie de a scapa de acest virus? Dupa ce PC-ul a fost virusat, nu am mai reusit sa intru in Windows; trece de screen-ul cu “welcomë”, apoi totul se face negru. Pot sa deschid task manager, insa altceva nu am reusit sa fac; stiti cumva sub ce nume se ascunde acest virus in managerul de procese?
    Multumesc.

  13. Un virus informatic bantuie in Hirlau « Hirlaul Edilitar
  14. biker

    hxxp://top100penali.blogspot.com/

    a aparut un alt link

    chestia trimisa e urmatoarea 😀

    Razvan: o cunosti? hxtp://top100penali.blogspot.com/ )
    BUZZ!!!
    Biker: ti-ai tras un mare virus
    Razvan: intra ca nu e nici un virus

  15. Adriana

    Si eu care credeam ca mamica mea care are 75 ani, s-a apucat sa invete spaniola ! Haha ! Numai ca din pacate mie imi vine sa pling ! Am citit tot ce ati povestit voi pe aici si constat ca ” spaniolii” romani au reusit sa invadeze si Austria !
    Problema e foarte dureroasa…ca mama e in virsta si singura ei bucurie era sa se plimbe prin Internet si sa stea de vorba cu noi copiii si nepotii in fiecare zi!
    Dar PC ii merge ei din ce in ce mai rau si noi sintem bombardati de de linkuri spaniole(sau ma rog in limba spaniola )! Acestea apar de cite ori se login maica-mea (si cum PC ei se deschide si se inchide la fiecare ora…sau mai des)! Si numai la yahoo ci si la messenger live ! Acum un an cind am fost acasa i-am instalat Antivira…dar se pare ca nu i-a folosit la nimic ! Minunea asta cu linkurile a inceput cam de Mos Craciun! A facut o pauza de 1 saptamina dupa anul nou…si azi au aparut iarasi! Am dirijat-o prin telefon sa incerce cu Norton Antivirus care il am eu…dar nu reuseste sa instaleze programul asta de antivirus ! A reusit cu chiu cu vai sa instaleze eset nod32, dar se pare ca nu recunoaste virusul asta !
    Deci: povestea mea e ca a multor altora…noi,aici nu avem virusul ca antivirusurile noastre au recunoscut cit de cit pericolul…dar mi se rupe sufletul cind vad cit sufera maica-mea cind in timpul “discutiilor ” noastre i se inegreste ecranul (cum spune ea…) si dispare tot si asteapta aproape 10 minute sa se deschida din nou PC !
    Ne-am bucura de sfaturile voastre ! Nu sintem “experti” in computer !
    Multumesc

  16. Andrey

    am avuty si eu virusul acesta….ca sa scapati de el da-ti un restore la pc inainte de a da clik pe linkul acela ;)…

  17. Tesla Trooper

    buna, am si eu o problema, banuiesc k am ceva virus pe messenger care trimite la toate adresele de mail care le am in lista ceva link pe engleza … trimite si in timp ce nu e pornit computerul. Cineva mi-a spus k probabil e ceva program care mi-a copiat parola de messenger si trimite odata la ceva timp linkul la toate adresele de mail care le utilizez. Cum sa curat acest virus, am incercat cu toate tipurile de antivirusi: Malwarebytes; Nod32; Instant messenger Cleaner; Spyboy si niciunul nu il gaseste …
    Cine ma poate ajuta???

Leave a Reply