Trojan.Buzus – virusi pentru Yahoo! messenger (Lista de Mesaje + Devirusare)

yahoo trojan.buzusUltima saptamana a adus un val nou de virusi pentru Yahoo! Messenger. Dupa ce virusul Michael Jackson si cel SwineFlu (gripa porcina informatica, cu alte cuvinte) au tinut capul de afis, a aparut altul care trimite mesaje aleatorii in spaniola si engleza cu link-uri spre un site virusat. A fost denumit in general: Trojan.Buzus.

Acolo utilizatorului ii este oferita spre descarcare o arhiva (extensie dubla: JPEG.ZIP), in interiorul careia exista un fisier executabil cu extensia .com.
Denumirea arhivei este DVY-IMAGENXXX.JPEG.zip (unde Y poate fi una din literele: V, S, T – DVS, DVT, chiar MVT, iar XXX reprezinta un numar de tipul: 002, 004, 015, etc)

Fisierul din arhiva este sub forma: DVT-IMAGEN031.JPG_www.myspace.com. Partea subliniata cu rosu pastreaza caracteristicile de modificare ale denumirii arhivei, iar “site-ul” din final poate fi: www.myspace.com, www.facebookgallery.com, www.nimageshack.com.
Am folosit ghilimele pentru cuvantul site, deoarece aceasta este exact ceea ce vor baietii rai sa credeti. Extensia .com este a fiserului, fiind executabila si nu a site-ului care o precede.

Trecand la mesajele trimise, ele sunt foarte variate si va voi prezenta mai jos o parte din ele. Lista va fi actualizata zilnic, pe masura ce aflu altele noi.

esta foto con mi familia, nueva ! hxtp://viewmorephotos.img-myspace.info:88/cache/img391/DVR-Photo17.JPG.zip
foto collage.. woohooo hxtp://viewmorephotos.img-myspace.info:88/cache/img391/DVR-Photo17.JPG.zip
quiero esta foto pa mi perfil cres que se ve bien?? hxtp://viewmorephotos.img-myspace.info:88/_private/user.ImageView&id=4019/DVT-IMAGEN031.JPG.zip

que tu crees, t gustaria estar aqui conmigo?? 😛 hxtp://viewmorephotos.img-myspace.info:88/_private/user.ImageView&id=4019/DVT-IMAGEN031.JPG.zip
t recuerdas de nuestra foto primaria?? htxp://viewmorephotos.img-myspace.info:88/_private/user.ImageView&id=4019/DVT-IMAGEN031.JPG.zip
ouchhhhhh me duele mucho mi brazo rotoooo ;( hxtp://viewmorephotos.img-myspace.info:88/_private/user.ImageView&id=4019/DVT-IMAGEN031.JPG.zip
esta foto tuya pal myspaceee de show hxtp://viewmorephotos.img-myspace.info:88/_private/user.ImageView&id=4019/DVT-IMAGEN031.JPG.zip
buenisima la foto nueva sale de show hxtp://viewmorepics.img-myspace.info:88/_private/user.ImageView&id=3820/DVS-IMAGEN002.JPEG.zip

Esta pic tuya si que es vieja!! hxtp://viewmorepics.img-myspace.info:88/.drive/img302/DVP-IMAGEN004.JPG.zip
cuando llegues acepta mi nueva foto! htxp://descargar.flypictures.info:88/ImageView&result=3295/DVR-NuevoImagen003.JPG.zip
que piensas de mi nuevo look? Bueno? Malo? Feo? hxtp://descargar.flypictures.info:88/ImageView&result=3295/DVR-NuevoImagen003.JPG.zip
Crees que puedes tener sexo con los tres?! yo lo hize hxtp://descargar.flypictures.info:88/ImageView&result=3295/DVR-NuevoImagen003.JPG.zip
simplemente no puedo creer que esto sea cierto. ve la foto y dime si es verdad. hxtp://descargar.flypictures.info:88/ImageView&result=3295/DVR-NuevoImagen003.JPG.zip
Creo que te vas a desmallar cuando veas esta foto. TIENES que verlo. hxtp://descargar.flypictures.info:88/ImageView&result=3295/DVR-NuevoImagen003.JPG.zip
Ya viste mi nuevo iPhone!?!?! Me salio carisimo pero esta incrible el celular. hxtp://srv03.nuevoimagen.info:89/privada/54765/DVC-Foto0013.JPEG.zip

Link-ul principal ramane acelasi: hxtp://viewmorephotos.img-myspace.info:88, insa subpagina unde este arhiva se schimba de circa 2-3 ori pe zi.
De tot atatea ori se schimba si virusul, iar aceasta face dificila adaugare si urmarirea sa. Se folosesc de asemenea packeri necunoscuti si deloc comuni, pentru a face analiza si detectia si mai dificile.
Iata spre exemplu detectia ultimei variante: 2/40 pe VirusTotal.com si aceasta doar prin avertizarea asupra unui packer suspect.


DEVIRUSARE: Daca ati dat click pe unul din link-urile primite de la un contact din lista Yahoo! messenger, puteti folosi unul din programele de mai jos pentru dezinfectie.

Kaspersky Virus Removal Tool
Malwarebytes Anti-Malware
Dr. Web CureIT

Le-am postat in ordinea in care este cel mai probabil sa aveti o devirusare eficienta.
Avand in vedere numarul mare de variante aparute, este posibil ca la un moment dat sa nu exista inca actualizarea necesara detectiei ultimei variante.

UPDATE 2.12.2009: Avira a adaugat detectie euristica ce va detecta orice viitoare varianta a acestui virus. De aceea puteti utiliza acest program pentru dezinfectie.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

9 responses to “Trojan.Buzus – virusi pentru Yahoo! messenger (Lista de Mesaje + Devirusare)”

  1. Dragos

    Foarte util, am observat ca din ce in ce mai multi se infecteaza. 🙁

  2. DSF

    Daca ati folosi windows 7 nu v ar afecta cu absolut nimic 😉

  3. cata_vn( MW )

    tot mai multi vad ca sunt infectati cu asta! :))
    Primesc massuri intr=una.

  4. anadolis49

    Salut Radu! Am dat scanare cu kaspersky removal tools la un PC infectat cu acest virus, pe langa alte amenintari. In timpul scanarii s-a oprit curentul… 🙁 La pornire se deschide cu un ecran negru si cursorul si nimic altceva. MAi pot sa-i refac ceva sau un reinstal ?
    Merci anticipat de raspuns!

  5. FaraVirusi.com » ALERTA: Nou virus propagat prin Yahoo! Messenger (mesaje in spaniola)

    […] ALERTA: Nou virus propagat prin Yahoo! Messenger (mesaje in spaniola) Noutati, Virusi, Website-uri infectate Salut si bine ai venit! Daca esti nou aici, sigur vei dori sa te abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.UPDATE: Pentru DEVIRUSARE vizitati acest link. […]

  6. Ionut

    Salutare,

    Am dat de un nou mesaj al acestui virus : “aqui tu sales mega mega bien me encanta esta pix hxxp://www4.hostingpics4free.com:88/archive/hsm2dw/MVC-IMAGEN024.JPEG.zip”

    Il pot devirusa cu aceleasi tool-uri ca si mai sus?

  7. Wordpress sub atac – Multiple vulnerabilitati in ultima versiune

    […] se raspandesc de regula prin mesaje primite prin yahoo! messenger, dupa cum v-am atentionat si eu in aceasta postare. Ce se intampla in acest moment este o modificare a comportamentului acestui […]

Leave a Reply