Troianul care vorbeste in limba romana – new Yahoo! messenger malware

Expertii Kaspersky Lab Romania atrag atentia utilizatorilor de programe IM (instant messaging) referitor la perfectionarea atacurilor informatice prin intermediul acestor canale de comunicare. Trojan-IM.Win32.Agent.ae este un cal troian care simuleaza dialogul cu o persoana existenta in lista de Messenger a utilizatorului infectat, indemnandu-l sa acceseze un anumit link (vezi poza de mai jos).

troian vorbitor pe yahoo messenger

Website-ul indicat in link-ul primit directioneaza utilizatorul catre un blog aparent onest – romanisme2009.blogspot.com (vezi poza de mai jos), nu catre un fisier executabil, care ar putea fi suspectat ca fiind malware. Odata ajuns pe blog-ul respectiv, vizitatorul este rugat sa descarce un „codec” sau „plug-in” special pentru a vedea continutul video publicat pe acel site. Bineinteles, fisierul descarcat nu este altceva decat un virus.

Mesajul trimis este:

o cunosti? hxxp://romanisme2009.blogspot.com/

blog infectat

„Acesta este un exemplu al unei adevarate strategii de inginerie sociala”, spune Stefan Tanase, Senior Researcher Kaspersky Lab. „Mesajele vin de la unul dintre prietenii pe care ii avem in lista de Messenger, pe linii de text diferite, imitand perfect o conversatie reala. Majoritatea dintre noi avem incredere in persoanele cu care interactionam zilnic online, de aceea nu le suspectam ca ar putea avea intentii malitioase. Astfel se explica si numarul mare de accesari ale link-ului respectiv, si cele peste 10.000 de download-uri ale falsului codec in mai putin de 24 de ore, conform statisticilor de pe www.fisier.ro”, completeaza Tanase.

Kaspersky Lab a adaugat in baza de date cu semnaturi detectia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat www.blogspot.com si www.fisier.ro despre atacuri, iar in momentul de fata niciun website utilizat de infractorii cibernetici nu mai este functional.

Pana la momentul actual, atacurile informatice prin Yahoo! Messenger utilizau numai fraze in limbi straine, redactate pe o singura linie text. Însa, aceasta metoda nu s-a dovedit a fi la fel de eficienta ca cea identificata acum, deoarece utilizatorii ignorau majoritatea mesajelor primite. Mai multe detalii despre aceste atacuri gasiti in articolul scris de Stefan Tanase, la adresa http://www.kaspersky.ro/blog/troianul_care_vorbeste_pe_yahoo_messenger_in_romana.

Daca primiti si alte mesaje suspecte prin Yahoo! Messenger nu ezitati sa ni le trimiteti pentru analiza la adresa: faravirusicom@gmail.com

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

10 responses to “Troianul care vorbeste in limba romana – new Yahoo! messenger malware”

  1. Florin

    Sa inteleg ca, Kaspersky e printre primii antivirusi care au adaugat virusul la detectie?

  2. mascotzel

    tare…frate-miu a luat beleaua asta acum cateva zile 😀

  3. MasinaPoporului

    Da, eu am luat acum acteva zile virusul, dar am rezolvat problema cu o scanare online in urma careia mi-a gasit 2 fisiere:

    C:\WINDOWS\system32\yahooui.exe – Trojan.I.TV.W
    C:\WINDOWS\seocfg.exe – Gen:Trojan.Heur.AGW@tPiyqUjid

    Nu se puteau sterge asa ca am folosit un programel “unlocker” si le-am sters.

    Bafta la sters.

  4. Eddie

    “Kaspersky Lab a adaugat in baza de date cu semnaturi detectia pentru Trojan-IM.Win32.Agent.ae, a blocat adresele URL ale blog-urilor respective, a notificat http://www.blogspot.com si http://www.fisier.ro despre atacuri, iar in momentul de fata niciun website utilizat de infractorii cibernetici nu mai este functional.”
    Tot mai exista astfel de bloguri … prietena mea tocmai a luat virusul azi, neavand antivirus. Imi puteti da o solutie sa scap de el ? Merge sa instalez avira si sa scape de el sau blocheaza anumite activitati de genul ?

  5. Mikay

    Tot mai multi virusi circula pe IM …
    si tehnici noi.

  6. Eddie

    @Radu: hxtp://o-lume-nebuna-de-tot.blogspot.com/
    Blogul in sine nu este infectat, dar solicita downlodarea unui “codec” la fel ca celelalte bloguri mentionate.
    Ma rog, i-am instalat avira premium , i-am dat un scan si l-am mutat la quarantine. Daca trebuie sa scanez si cu Kaspersky Removal Tool lasa un mesaj te rog

  7. Official

    Se pare ca virusii astia stau prost cu gramatica. Se scrie:
    Cand esti sa intri sa imi zici daca o stii.

    Au adaugat un i la verbul “a intra” si au mancat unul la verbul “a sti”.
    I-urile astea sunt o pacoste pentru toti agramatii cand vine vorba de conjugare.

  8. Official

    Se pare ca cineva a sters blogul respectiv. Din pacate fisierul se gaseste pe odc si pe saituri de filesharing sub numele de divix2.exe nu numai divix3.exe. Toate sunt de aceeasi marime: 2.78 MB.
    Link-ul ramas in memoria cache a Google nu mai este valabil.
    Avast detecteaza cu succes acest virus.

    Un move to chest rezolva problema.

    http://img339.imageshack.us/img339/8003/72198834.png

  9. FaraVirusi.com » “Comportament vulgar” – Troianul care vorbeste romaneste revine

    […] sa te abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Va anuntam ieri despre troianul care “vorbeste” romaneste si trimite mesaje cu link spre un blog […]

Leave a Reply