Asistam la o adevarata avalansa de virusi pentru Yahoo! Messenger.
Manifestarile care pot trage un semnal de alarma sunt simple: mesaje trimise contactelor din lista de messenger in diverse limbi: engleza, spaniola, romana, franceza, etc si urmate obligatoriu de un link.
Variantele curg garla, link-urile se schimba zilnic, iar programele antivirus nu fac fata. De aceea cea mai simpla metoda de a eradica un astfel de malware este sa NU dati niciodata click pe un link trimis de un prieten inainte de a-l intreba daca l-a trimis chiar el.
Iata mai jos ultimul virus care se propaga prin aceasta metoda. Mesajele trimise sunt cele de mai jos:
Someone just tagged me in this pic on facebook… I think my parents are going to disown me! hxtp://viewmorephotos.facebookgallery.info:88/user.profile&id=39201/DVC-Photo15.JPG.zip
tHIS PICTURE IS REFUSING TO DISPLAY RIGHT ON MY COMPUTER. wHAT DOES IT LOOK LIKE ON YOURS? HxTP://VIEWMOREPHOTOS.FACEBOOKGALLERY.INFO:88/USER.PROFILE&ID=39201/dvc-pHOTO15.jpg.ZIP
Can I please upload this picture of you into my new photo album? hxxp://viewmorephotos.facebookgallery.info:88/user.profile&id=39201/DVC-Photo15.JPG.zip
Link-ul duce spre o arhiva ce contine in interior fisierul DVC-Photo15.JPG_www.facebookgallery.com. Detectia lui pe VirusTotal este sublima, dar lipseste cu desavarsire… 0 % !!! http://www.virustotal.com/analisis/fcefd3d0d1c4a8b9bb3dccc6a6b0051d5bd35ca6329f60182a63104e56e309d5-1259234417
Astfel, momentan nu exista nici un antivirus prin a carei scanare un PC infectat sa fie devirusat complet si corect.
Virusul creeaza cateva fisiere temporare, un driver ndisvvan.sys, fisierul: wmisrpc.exe pe care-l copiaza in C:\Windows\system32 si nu in ultimul rand descarca noi malware de la adresa: hxxp://195.149.74.40/****/1yi.zip.
Pentru a rezolva temporar problema, pana cand un antivirus va face update la semnaturi, procedati astfel pentru DEVIRUSARE:
Descarca programul ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Asigura-te ca ai inchis toate programele care ruleaza (yahoo messenger, firefox, etc)
Apoi, creeaza un fisier nou de tip .txt cu Notepad si scrie in el ce apare mai jos in citat (cu rosu):
File::
C:\windows\system32\wmisrpc.exe
C:\mscmg.exe
C:\windows\system32\drivers\ndisvvan.sys
Denumeste fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.
In acest moment ComboFix va porni. Te va intreba daca sa inceapa curatirea. Confirma cu Yes de fiecare data. Nu-l opri in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu te ingrijora.
La sfarsit va afisa rezultatele scanarii.
Daca primiti si alte mesaje suspecte prin Yahoo! Messenger nu ezitati sa ni le trimiteti pentru analiza la adresa: faravirusicom@gmail.com
Loading ...
[...] This post was mentioned on Twitter by Radu, andrei. andrei said: RT: @faravirusi: Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare: http://bit.ly/6DpDsv [...]
Unii parcă au mâncărici la degete şi nu se pot abţine să rateze vreun link. Idem poveştii cu Michael Jackson. Îmi aduc de o declaraţie făcută de Carole Theriault de la Sophos (asta imediat după incidentul cu listele de conturi şi parole care au început să circule pe internet, de-şi făceau cruce ăia de la BBC), unde spunea despre firmele producătoare de soluţii de securitate că ar trebui să investească mai mult în pregătirea şi informarea utilizatorilor.
Sophos face deja acest lucru. Symantec a început. A intrat şi F-secure pe rol cu filmuleţe, broşuri şi tot ce ţine pentru a induce un comportament preventiv din partea utilizatorilor, nu doar unul reactiv. Tehnologia „in-the-cloud” accentuează această legătură, mai întâi între utilizatori şi o doua oară între aceeaşi utilizatori şi producătorul soluţiei de securitate.
@andrei: Preventia este marele “Antivirus” daca pot spune asa. Ar trebui totusi ca utilizatorul sa fie constient de pericolele ce apar online si sa se documenteze putin.
Din pacate, documentarea sau interesul fata de securitatea IT apare dupa ce ai pierdut-o.
Majoritatea linkurilor duc catre fisiere cu extensie dubla, deci un user care stie cat de putin despre securitatea PC-ului va evita orice virus de acest tip.
Daca nu ai avut timp sa-l trimiti la mai multe companii, lasa-mi te rog un offline cu un link de download ceva
Multumesc.
@Devirusare: L-am trimis la Kaspersky, Avira, Dr. Web, NOD32, Avast, BitDefender, Panda, AVG.
Mi-au raspuns primii 4.
@Radu Ai dreptate aici. Informarea e precum sănătatea: începe să te îngrijoreze, când deja e prea târziu.
Vorbea @Florin de extensii duble ? Mulţi dintre cei care folosesc astăzi un PC nici nu ştiu ce este aceea o extensie. Calculatoarele au devenit accesibile unui public din ce în ce mai larg, dar care nu are timp (şi nici interes, de ce s-o ascundem) pentru a deprinde măcar noţiunile de bază. Vă mai aduceţi aminte de lecţiile de 10 minute de la Teora ? Sau de seria (tradusă un pic peiorativ) „Pentru to(n)ţi” ?
Unde mai pui ca Windows-ul vine cu extensiile default neafisate…
incompatibil cu OS (Windows 7) ???
pai si cum schimbam optiunea asta “Windows-ul vine cu extensiile default neafisate…”, asa pentru to(n)ţi?
@cata: Deschizi My Computer, apoi navighezi in meniul de sus la Tools > Folder Options > View si debifezi “Hide extensions for known file types”.
[...] la articol, el îşi găseşte obârşia într-un scurt schimb de idei avut cu Radu (de la faravirusi.com), pe marginea afişării extensiilor, unul dintre comentatori considera extensiilor duble, ca fiind [...]