[Solutie + Informatii] Virusii de tip image.php pentru Yahoo! Messenger (partea a doua)

Virusul de tip image.php (Win32.Palevo) circula pe Yahoo! Messenger, MSN si Skype de mai mult de o saptamana si se pare ca nu se va opri prea curand.
V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.

Pentru ca aceasta infectie continua, deoarece virusul creeaza si alte fisiere si lista de link-uri devenise prea lunga, voi crea un nou topic care va va tine la curent cu noutatile alaturi de metodele pentru devirusare.
Iata ultimele mesaje trimise:


cool fotooo.. 😀 http://spacehi5.com/profile.php
cool fotooo.. 😀 http://t-myspace.net/profile.php
cool fotooo.. 😀 http://lfacebooks.net/profile.php
cool fotooo.. 😀 http://zxfacebook.net/profile.php
cool fotooo.. 😀 http://www.imgbookss.com/photos.php
cool fotooo.. 😀 http://www.fiiacebook.com/photos.php
cool fotooo.. 😀 http://www.fiacebookq.com/photos.php
cool fotooo.. 😀 http://www.fiacebooks.com/photos.php
cool fotooo.. 😀 http://www.fllacebooks.com/photos.php
cool fotooo.. 😀 http://www.fucebook.net/photos.php
cool fotooo.. 😀 http://www.imgbookss.com/photos.php
cool fotooo.. 😀 http://www.fbookview.com/photos.php
cool fotooo.. 😀 http://tinyurl.com/facebook-456463-JPG
cool fotooo.. http://yuarel.com/facebook-album0523
cool fotooo.. http://tinyurl.com/PIC346-JPG
cool fotooo.. http://fiancebook.com/photos.php
Foto 😀 http://bfacebooks.com/photos.php
Foto 😀 http://imggview.com/photos.php
fotooo ha http://flacebuckets.com/image.php?=pic458973.JPG=
fotooo ha http://hi5bucket.com/image.php?=pic458973.JPG=
fotooo ha http://flacelooks.com/image.php?=pic458973.JPG=
fotooo ha http://www.onlinefotospace.com/image.php?=pic979834.JPG=
fotooo ha http://orkut-photos.net/image.php
fotooo ha http://msspace-lmages.com/image.php?=pic458973.JPG=
fotooo ha http://www.hi5-photoss.com/photos.php
fotooo ha http://www.viptabor-space.com/image.php
fotooo ha http://photo-o5vip.com/image.php
fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php

Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:

IM56245.JPG-www.myspace.com.exe

Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)


Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:

Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.

Metoda 2: Descarcati si rulati acest utilitar generic de curatare a virusului (multumesc Official):
http://www.faravirusi.com/utile/Remover_Palevo_Official__v5.zip

Metoda 3: Descarcati si rulati utilitarul BitDefender pentru Worm.P2P.Palevo.DP: http://www.bitdefender.ro/site/view/palevo-vierme-messenger.html
Este posibil sa nu functioneze pentru ultimele versiuni.

Metoda 4: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.

Metoda 5:
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%\infocard.exe (acesta va fi si procesul activ; pot fi folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
C:\Program Files\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\mdll.dll
%Windir%\wintybrd.jpg
%Windir%\winbrd.jpg
%Windir%\Temp\dfgfgff.exe

De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = “%Windir%\infocard.exe”]

Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.

De asemenea descarca dupa rulare fisierul aflat la adresa:
http://82.114.87.46/a2re.jpg
si deschide automat pagina urmatoare in browser:
http://browseusers.myspace.com/Browse/Browse.aspx

Va initia o conexiune de tip IRC prezentata mai jos:

JOIN #jakarta test
MODE NEW-[USA|00|P|74133] -ix
PONG irc.priv8net.com
NICK NEW-[USA|00|P|74133]
USER XP-2877 * 0 :COMPUTERNAME

si va crea o conexiune de tip outbound si trafic pe portul 1234:

00000000 | 5041 5353 2078 7878 0D0A | PASS xxx..

Va incerca conexiuni la urmatoarele servere:

200.113.159.243 1234
204.0.5.40 80
204.0.5.42 80
204.0.5.43 80
204.0.5.50 80
208.71.123.131 80
216.178.38.168 80
63.135.80.58 80
63.135.86.21 80
63.135.86.25 80
64.210.61.208 80

si va descarca unele (sau o parte) din pozele urmatoare:

http://c1.ac-images.myspacecdn.com/images02/114/s_bad52a2352e847d1be9f540d0b2557fc.jpg
http://c1.ac-images.myspacecdn.com/images02/140/s_afb4236b40944f02b470c3bba1b4c6d8.jpg
http://c1.ac-images.myspacecdn.com/images02/128/s_2e54033bf4904bdd9a21d446f5bf1ffc.jpg

In plus, va dezactiva Automatic Updates din Windows.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

26 responses to “[Solutie + Informatii] Virusii de tip image.php pentru Yahoo! Messenger (partea a doua)”

  1. bcman

    MBAM doar cu ultimele updates il gaseste virus.Avira nici macar asa nu l-a gasit. Pe ano.exe. La restul nu mai merge site-ul 🙁

    1. Nick

      Sssssst bcman , nu mai zice la nimeni ca Avira nu-l vede… 😉 😆

  2. FlorinS

    NIS il gaseste chiar de cand a inceput invazia acestui virus cu ajutorul SONAR(setat de mine pe aggresive) ca fiind un high risk .

  3. Dorin

    Am downloadat primele trei fisiere, par sa fie versiuni diferite ale aceluiasi virus, Avira nu detecteaza acest virus nici acum la doua saptamani de la aparitia epidemiei. Am setat Avira dupa instructiunile primite aici pe site, desi am mari rezerve la setarea detectiei euristice pe HIGH, dar am zis fie, si Avira nimic, doarme.
    Ai zis Radu ca in weekend Avira nu adauga definitii pentru detectie, a trecut weekendul, a mai trecut inca unul s-au dus doua sapatamani si nimic. Eu unul am sa dezinstalez Avira si il voi arunca la cos, cu toate ca am platit aproape 20 de euro pe o licenta premium.
    In fapt prima dezamagire s-a produs la instalare cand am vazut ca marea schimbare – noul modul HIPS – nu e valabil si daca instalezi pe un sistem x64, de fapt de ce ma mir cand nici acum Avira nu se instaleaza pe sistemele x64 ca o aplicatie nativa x64 ci ca una x86.
    Pentru mine lucrurile sunt clare, cei de la Avira au facut un modul euristic care l-au setat pe super-mega-high a inceput sa vada tot ca virusi – zicea cineva de tone de fals positive – si BOOM! super antivirus, cum baietii rai se specializeaza si au gasit metode noi de a face virusi Avira a ramas in pom, detectia ei rigida nu mai da rezultate. Un alt lucru care ma enerveaza e lentoarea cu care aduc schimbari produselor lor. Daca aduc o imbuntatire – vezi cazul HIPS (si nu e singurul) – mai intai e disponibil pe versiunea x86 (2010) apoi la un an (2011) e disponibil si pe x64, intre timp pentru sistemele x86 e disponibil un alt modul de protectie care va fi disponibil pe sistemele x86 la un alt an distanta, aste echipa Avira lenta lenta si cauta sa traga tare pe modulul euristic dar care tare ma tem ca deja a obosit.
    Usor nervos pentru ca am cumparat acest antivirus dupa multele laude care le-a primit aici pe site si sincer nu merita aceste laude.

    Dorin

    1. Cris

      Un sistem HIPS este posibil numai pe sisteme x86 prin definiție. Pe sistemele x64, Microsoft a restricționat foarte mult capacitatea aplicațiilor de a face hookuri în kernel (iar un sistem HIPS fix cu asta lucrează: cu hoouri în kernel). Din moment ce acest lucru nu e posibil pe platforme pe 64 de biți (XP, Vista, 7, și versiunile server x64), e clar că nu va mai exista niciodată un sistem HIPS pe astfel de platforme.

      Pe lângă acest dezavantaj aparent, avantajul este că nici rootkiturile nu mai sunt așa de puternice pe platforme x64. Toate hookurile ce mai pot fi făcute, sunt cele user-mode, iar astea se pot detecta mult mai ușor. În principiu, pe sisteme x64 nici nu e posibil, dar nici nu e NEVOIE de un sistem HIPS clasic.

      Și aici vorbesc la general, nu neapărat despre Avira.

  4. cobra

    @Radu: Cand un virus apare de 2 saptamani normal ar fi ca variantele lui ulterioare sa poata fi detectate cu sistemul euristic. Este inacceptabil ca dupa atata timp Avira sa se bazeze in continuare numai pe sistemul clasic de detectie, in conditiile in care sistemul lor euristic (teoretic) are o detectie de prima clasa. Practic, rezultatele sunt cele prezentate de Dorin. Prin asta dovedesc ca sunt branza buna-n burduf de caine.

  5. Alexandru-Dan Fratean

    PHP, MySQL & PECL – memcache…

    Am citit acest articol si mi sa parut interesat. Si in postul meu este ceva asemanator….

  6. [Solutie] Virusul “Tu esti aici? http://www.sketchydigital.com/images/index.php?id=nume.jpg”

    […] ca infectia sa fie sporadica si sa nu se transforme intr-o amenintare la fel de raspandita ca W32Palevo. // Daca v-ati infectat totusi scanati PC-ul online cu ESET NOD32 si indepartati infectiile […]

  7. dragos

    radu se pare k circula un nou virus pe mess……………..vine cu urmatorul mesaj……..Esta bien si puse esta imagen tuya en mi blog?, no puedo dejar de mirarla fijamente. httpp://www1.securepicturehost.com/cache/786964/Pictura011.JPEG.zip

  8. [SOLUTIE] Virusul http://ow.ly/23U3V?=http://facebook.com/photo.php

    […] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in […]

  9. Noul Virus Pe Yahoo Messenger « Blogul lui Ştefănuţ

    […] } De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare […]

  10. [Solutie] Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip

    […] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in […]

  11. Devirusare http://ow.ly/23U3V?=http://facebook.com/photo.php | Dj Fllo Network - Webmaster site

    […] cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare […]

  12. virus yahoo messenger(trimite automat mass-uri) - Page 7 - Craiova Forum

    […] cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare […]

  13. Virusul Palevo se intoarce – “face-girlz.com/view_img.php” (Solutie)

    […] pe Yahoo! Messenger, MSN si Skype de cateva luni bune si se pare ca nu se va opri prea curand. V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.Pentru ca aceasta infectie continua, […]

  14. [Solutie] Virusul “is this you ? ? facebookui.net/profile.php”

    […] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in […]

  15. [Solutie] Virusul Foto :D hxtp://forit.org/1sy7 pentru Yahoo! Messenger

    […] FaraVirusi(com) on January 11, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in […]

  16. [Solutie] Virusul Foto http://ibe.am/xxxxx pentru Yahoo! messenger

    […] FaraVirusi(com) on February 24, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in […]

  17. [Solutie] Virusul Foto http://3.ly/xxxx pentru Yahoo! messenger

    […] on March 13, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul […]

  18. [Solutie] Virusul http://paidly.com/**** pentru Yahoo! messenger

    […] on April 11, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul […]

  19. [Solutie] Virusul Foto http://ho.io/pz97 pentru Yahoo! messenger

    […] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul […]

  20. [Solutie] Virusul Foto http://chilp.it/24c70b pentru Yahoo! messenger

    […] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul […]

  21. [Solutie] Virusul Foto http://www.aca.au.com pentru Yahoo! messenger

    […] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul […]

  22. Virusul de tip image.php -Win32.Palevo- contraataca! - Corvin Blog | Corvin Blog

    […] SURSA ARTICOLULUI AICI […]

Leave a Reply