Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare

virusi yahoo messengerAsistam la o adevarata avalansa de virusi pentru Yahoo! Messenger.
Manifestarile care pot trage un semnal de alarma sunt simple: mesaje trimise contactelor din lista de messenger in diverse limbi: engleza, spaniola, romana, franceza, etc si urmate obligatoriu de un link.

Variantele curg garla, link-urile se schimba zilnic, iar programele antivirus nu fac fata. De aceea cea mai simpla metoda de a eradica un astfel de malware este sa NU dati niciodata click pe un link trimis de un prieten inainte de a-l intreba daca l-a trimis chiar el.

Iata mai jos ultimul virus care se propaga prin aceasta metoda. Mesajele trimise sunt cele de mai jos:

Someone just tagged me in this pic on facebook… I think my parents are going to disown me! hxtp://viewmorephotos.facebookgallery.info:88/user.profile&id=39201/DVC-Photo15.JPG.zip

tHIS PICTURE IS REFUSING TO DISPLAY RIGHT ON MY COMPUTER. wHAT DOES IT LOOK LIKE ON YOURS? HxTP://VIEWMOREPHOTOS.FACEBOOKGALLERY.INFO:88/USER.PROFILE&ID=39201/dvc-pHOTO15.jpg.ZIP

Can I please upload this picture of you into my new photo album? hxxp://viewmorephotos.facebookgallery.info:88/user.profile&id=39201/DVC-Photo15.JPG.zip

Link-ul duce spre o arhiva ce contine in interior fisierul DVC-Photo15.JPG_www.facebookgallery.com. Detectia lui pe VirusTotal este sublima, dar lipseste cu desavarsire… 0 % !!! http://www.virustotal.com/analisis/fcefd3d0d1c4a8b9bb3dccc6a6b0051d5bd35ca6329f60182a63104e56e309d5-1259234417
Astfel, momentan nu exista nici un antivirus prin a carei scanare un PC infectat sa fie devirusat complet si corect.

Virusul creeaza cateva fisiere temporare, un driver ndisvvan.sys, fisierul: wmisrpc.exe pe care-l copiaza in C:\Windows\system32 si nu in ultimul rand descarca noi malware de la adresa: hxxp://195.149.74.40/****/1yi.zip.

Pentru a rezolva temporar problema, pana cand un antivirus va face update la semnaturi, procedati astfel pentru DEVIRUSARE:

Descarca programul ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Asigura-te ca ai inchis toate programele care ruleaza (yahoo messenger, firefox, etc)
Apoi, creeaza un fisier nou de tip .txt cu Notepad si scrie in el ce apare mai jos in citat (cu rosu):

File::
C:\windows\system32\wmisrpc.exe
C:\mscmg.exe
C:\windows\system32\drivers\ndisvvan.sys

Denumeste fisierul CFScript.txt apoi trage-l peste ComboFix.exe asa cum e aratat in poza de mai jos.

combofix drag and drop

In acest moment ComboFix va porni. Te va intreba daca sa inceapa curatirea. Confirma cu Yes de fiecare data. Nu-l opri in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu te ingrijora.
La sfarsit va afisa rezultatele scanarii.

Daca primiti si alte mesaje suspecte prin Yahoo! Messenger nu ezitati sa ni le trimiteti pentru analiza la adresa: faravirusicom@gmail.com

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

13 responses to “Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare”

  1. Tweets that mention FaraVirusi.com » Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare -- Topsy.com

    […] This post was mentioned on Twitter by Radu, andrei. andrei said: RT: @faravirusi: Virusi noi pentru Yahoo! Messenger – Metoda de Devirusare: http://bit.ly/6DpDsv […]

  2. andrei

    Unii parcă au mâncărici la degete şi nu se pot abţine să rateze vreun link. Idem poveştii cu Michael Jackson. Îmi aduc de o declaraţie făcută de Carole Theriault de la Sophos (asta imediat după incidentul cu listele de conturi şi parole care au început să circule pe internet, de-şi făceau cruce ăia de la BBC), unde spunea despre firmele producătoare de soluţii de securitate că ar trebui să investească mai mult în pregătirea şi informarea utilizatorilor.

    Sophos face deja acest lucru. Symantec a început. A intrat şi F-secure pe rol cu filmuleţe, broşuri şi tot ce ţine pentru a induce un comportament preventiv din partea utilizatorilor, nu doar unul reactiv. Tehnologia „in-the-cloud” accentuează această legătură, mai întâi între utilizatori şi o doua oară între aceeaşi utilizatori şi producătorul soluţiei de securitate.

  3. Florin

    Majoritatea linkurilor duc catre fisiere cu extensie dubla, deci un user care stie cat de putin despre securitatea PC-ului va evita orice virus de acest tip.

  4. Devirusare

    Daca nu ai avut timp sa-l trimiti la mai multe companii, lasa-mi te rog un offline cu un link de download ceva 🙂

    Multumesc.

  5. andrei

    @Radu Ai dreptate aici. Informarea e precum sănătatea: începe să te îngrijoreze, când deja e prea târziu.

    Vorbea @Florin de extensii duble ? Mulţi dintre cei care folosesc astăzi un PC nici nu ştiu ce este aceea o extensie. Calculatoarele au devenit accesibile unui public din ce în ce mai larg, dar care nu are timp (şi nici interes, de ce s-o ascundem) pentru a deprinde măcar noţiunile de bază. Vă mai aduceţi aminte de lecţiile de 10 minute de la Teora ? Sau de seria (tradusă un pic peiorativ) „Pentru to(n)ţi” ?

  6. ploe

    incompatibil cu OS (Windows 7) ???

  7. Cata

    pai si cum schimbam optiunea asta “Windows-ul vine cu extensiile default neafisate…”, asa pentru to(n)ţi?

  8. Afişarea extensiilor cunoscute în Windows

    […] la articol, el îşi găseşte obârşia într-un scurt schimb de idei avut cu Radu (de la faravirusi.com), pe marginea afişării extensiilor, unul dintre comentatori considera extensiilor duble, ca fiind […]

  9. George

    Salut,
    Referitor la Combofix, am nevoie si eu de ajutor in analiza unui log.
    Ma lupt de peste o luna cu un rootkit periculos. Parea ca am rezolvat odata problema cu SmitfraudFix dar simptomele au revenit mereu.
    Doar Combofix mi-a aratat ca e vorba de siszyd32.exe, a sters la inceput ceva dar acum nu mai sterge nimic insa apare mereu la rubrica:
    Reg Loading Points
    [HKLM\~\startupfolder\C:^Documents and Settings^adi^Start Menu^Programs^StartUp^siszyd32.exe]
    De asemenea, doar Norman Malware Cleaner gaseste mereu:
    Modify registry value: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9C312060-C0EE-462D-9DDB-B5580F6FF6F9} –> NameServer from ‘193.231.252.221 213.154.124.221’ to ‘8.8.8.8,8.8.4.4’

    Am folosit zadarnic MBAM Pro, Kaspersky Removal Tool, FreeFixer, HijackThis, TDSSKiller, Gmer, RKill, SAS Pro, Trojan Remover, HitmanPro, Avast free etc, etc.
    Simptomele negative sunt: orice fisier se deschide cu 1 click in loc de 2, Firefox se deschide in 2 ferestre si o fila deschisa apare multipla, nu pot utiliza Rename in meniul contextual, nu pot utiliza “click and drag” caci fisierul se deschide cand il selectez, in email textul apare selectat aiurea, nu am sonor pe facebook si youtube.
    Poti sa ma ajuti cumva cu logul Combofix?
    Am citit ca se poate sterge un File sau Folder cu metoda CFScript.txt dar nu stiu daca merge si cu HKLM de mai sus. De fapt nu as putea sa trag fisierul creat in Notepad peste Combofix.exe, asa cum ar trebui.

Leave a Reply