Virusul de tip image.php (Win32.Palevo) circula pe Yahoo! Messenger, MSN si Skype de mai mult de o saptamana si se pare ca nu se va opri prea curand.
V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.
Pentru ca aceasta infectie continua, deoarece virusul creeaza si alte fisiere si lista de link-uri devenise prea lunga, voi crea un nou topic care va va tine la curent cu noutatile alaturi de metodele pentru devirusare.
Iata ultimele mesaje trimise:
cool fotooo.. 
http://spacehi5.com/profile.php
cool fotooo.. http://t-myspace.net/profile.php
cool fotooo.. http://lfacebooks.net/profile.php
cool fotooo.. http://zxfacebook.net/profile.php
cool fotooo.. http://www.imgbookss.com/photos.php
cool fotooo.. http://www.fiiacebook.com/photos.php
cool fotooo.. http://www.fiacebookq.com/photos.php
cool fotooo.. http://www.fiacebooks.com/photos.php
cool fotooo.. http://www.fllacebooks.com/photos.php
cool fotooo.. http://www.fucebook.net/photos.php
cool fotooo.. http://www.imgbookss.com/photos.php
cool fotooo.. http://www.fbookview.com/photos.php
cool fotooo.. http://tinyurl.com/facebook-456463-JPG
cool fotooo.. http://yuarel.com/facebook-album0523
cool fotooo.. http://tinyurl.com/PIC346-JPG
cool fotooo.. http://fiancebook.com/photos.php
Foto http://bfacebooks.com/photos.php
Foto http://imggview.com/photos.php
fotooo ha http://flacebuckets.com/image.php?=pic458973.JPG=
fotooo ha http://hi5bucket.com/image.php?=pic458973.JPG=
fotooo ha http://flacelooks.com/image.php?=pic458973.JPG=
fotooo ha http://www.onlinefotospace.com/image.php?=pic979834.JPG=
fotooo ha http://orkut-photos.net/image.php
fotooo ha http://msspace-lmages.com/image.php?=pic458973.JPG=
fotooo ha http://www.hi5-photoss.com/photos.php
fotooo ha http://www.viptabor-space.com/image.php
fotooo ha http://photo-o5vip.com/image.php
fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php
Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:
IM56245.JPG-www.myspace.com.exe
Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)
Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:
Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.
Metoda 2: Descarcati si rulati acest utilitar generic de curatare a virusului (multumesc Official):
http://www.faravirusi.com/utile/Remover_Palevo_Official__v5.zip
Metoda 3: Descarcati si rulati utilitarul BitDefender pentru Worm.P2P.Palevo.DP: http://www.bitdefender.ro/site/view/palevo-vierme-messenger.html
Este posibil sa nu functioneze pentru ultimele versiuni.
Metoda 4: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.
Metoda 5:
Descarcati ComboFix si salvati-l pe Desktop.
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.
Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%\infocard.exe (acesta va fi si procesul activ; pot fi folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
C:\Program Files\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\mdll.dll
%Windir%\wintybrd.jpg
%Windir%\winbrd.jpg
%Windir%\Temp\dfgfgff.exe
De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.
De asemenea descarca dupa rulare fisierul aflat la adresa:
http://82.114.87.46/a2re.jpg
si deschide automat pagina urmatoare in browser:
http://browseusers.myspace.com/Browse/Browse.aspx
Va initia o conexiune de tip IRC prezentata mai jos:
JOIN #jakarta test
MODE NEW-[USA|00|P|74133] -ix
PONG irc.priv8net.com
NICK NEW-[USA|00|P|74133]
USER XP-2877 * 0 :COMPUTERNAME
si va crea o conexiune de tip outbound si trafic pe portul 1234:
00000000 | 5041 5353 2078 7878 0D0A | PASS xxx..
Va incerca conexiuni la urmatoarele servere:
200.113.159.243 1234
204.0.5.40 80
204.0.5.42 80
204.0.5.43 80
204.0.5.50 80
208.71.123.131 80
216.178.38.168 80
63.135.80.58 80
63.135.86.21 80
63.135.86.25 80
64.210.61.208 80
si va descarca unele (sau o parte) din pozele urmatoare:
http://c1.ac-images.myspacecdn.com/images02/114/s_bad52a2352e847d1be9f540d0b2557fc.jpg
http://c1.ac-images.myspacecdn.com/images02/140/s_afb4236b40944f02b470c3bba1b4c6d8.jpg
http://c1.ac-images.myspacecdn.com/images02/128/s_2e54033bf4904bdd9a21d446f5bf1ffc.jpg
In plus, va dezactiva Automatic Updates din Windows.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.
Loading ...
MBAM doar cu ultimele updates il gaseste virus.Avira nici macar asa nu l-a gasit. Pe ano.exe. La restul nu mai merge site-ul
Sssssst bcman , nu mai zice la nimeni ca Avira nu-l vede…
NIS il gaseste chiar de cand a inceput invazia acestui virus cu ajutorul SONAR(setat de mine pe aggresive) ca fiind un high risk .
Am downloadat primele trei fisiere, par sa fie versiuni diferite ale aceluiasi virus, Avira nu detecteaza acest virus nici acum la doua saptamani de la aparitia epidemiei. Am setat Avira dupa instructiunile primite aici pe site, desi am mari rezerve la setarea detectiei euristice pe HIGH, dar am zis fie, si Avira nimic, doarme.
Ai zis Radu ca in weekend Avira nu adauga definitii pentru detectie, a trecut weekendul, a mai trecut inca unul s-au dus doua sapatamani si nimic. Eu unul am sa dezinstalez Avira si il voi arunca la cos, cu toate ca am platit aproape 20 de euro pe o licenta premium.
In fapt prima dezamagire s-a produs la instalare cand am vazut ca marea schimbare – noul modul HIPS – nu e valabil si daca instalezi pe un sistem x64, de fapt de ce ma mir cand nici acum Avira nu se instaleaza pe sistemele x64 ca o aplicatie nativa x64 ci ca una x86.
Pentru mine lucrurile sunt clare, cei de la Avira au facut un modul euristic care l-au setat pe super-mega-high a inceput sa vada tot ca virusi – zicea cineva de tone de fals positive – si BOOM! super antivirus, cum baietii rai se specializeaza si au gasit metode noi de a face virusi Avira a ramas in pom, detectia ei rigida nu mai da rezultate. Un alt lucru care ma enerveaza e lentoarea cu care aduc schimbari produselor lor. Daca aduc o imbuntatire – vezi cazul HIPS (si nu e singurul) – mai intai e disponibil pe versiunea x86 (2010) apoi la un an (2011) e disponibil si pe x64, intre timp pentru sistemele x86 e disponibil un alt modul de protectie care va fi disponibil pe sistemele x86 la un alt an distanta, aste echipa Avira lenta lenta si cauta sa traga tare pe modulul euristic dar care tare ma tem ca deja a obosit.
Usor nervos pentru ca am cumparat acest antivirus dupa multele laude care le-a primit aici pe site si sincer nu merita aceste laude.
Dorin
@Dorin: Nu e vorba de detectia unui virus aparut acum 2 saptamani.
Este vorba de o familie de virusi cu acelasi nume: Palevo. Apar zilnic variante noi, diferite de cele anterioare si nu poti astepta sa adauge definitia instant.
Avira detecteaza marea majoritate a variantelor de pana acum. Detectia lor continua sa fie poate cea mai buna de pe piata (cu exceptia G Data) si in afara de testele proprii pe mii de virusi primiti saptamanal, testele av-comparatives.org si virusbulletin o dovedesc de asemenea.
Ca are ceva mai multe alarme false nu te contrazic, insa este partea negativa a oricarui sistem euristic care se vrea cat mai bun.
Un sistem HIPS este posibil numai pe sisteme x86 prin definiție. Pe sistemele x64, Microsoft a restricționat foarte mult capacitatea aplicațiilor de a face hookuri în kernel (iar un sistem HIPS fix cu asta lucrează: cu hoouri în kernel). Din moment ce acest lucru nu e posibil pe platforme pe 64 de biți (XP, Vista, 7, și versiunile server x64), e clar că nu va mai exista niciodată un sistem HIPS pe astfel de platforme.
Pe lângă acest dezavantaj aparent, avantajul este că nici rootkiturile nu mai sunt așa de puternice pe platforme x64. Toate hookurile ce mai pot fi făcute, sunt cele user-mode, iar astea se pot detecta mult mai ușor. În principiu, pe sisteme x64 nici nu e posibil, dar nici nu e NEVOIE de un sistem HIPS clasic.
Și aici vorbesc la general, nu neapărat despre Avira.
@Radu: Cand un virus apare de 2 saptamani normal ar fi ca variantele lui ulterioare sa poata fi detectate cu sistemul euristic. Este inacceptabil ca dupa atata timp Avira sa se bazeze in continuare numai pe sistemul clasic de detectie, in conditiile in care sistemul lor euristic (teoretic) are o detectie de prima clasa. Practic, rezultatele sunt cele prezentate de Dorin. Prin asta dovedesc ca sunt branza buna-n burduf de caine.
@cobra: Fara suparare, dar e usor a comenta de pe margine.
Nu cred ca ai idee cum se creeaza o semnatura generica si mai ales cum functioneaza.
PHP, MySQL & PECL – memcache…
Am citit acest articol si mi sa parut interesat. Si in postul meu este ceva asemanator….
[...] ca infectia sa fie sporadica si sa nu se transforme intr-o amenintare la fel de raspandita ca W32Palevo. // Daca v-ati infectat totusi scanati PC-ul online cu ESET NOD32 si indepartati infectiile [...]
radu se pare k circula un nou virus pe mess……………..vine cu urmatorul mesaj……..Esta bien si puse esta imagen tuya en mi blog?, no puedo dejar de mirarla fijamente. httpp://www1.securepicturehost.com/cache/786964/Pictura011.JPEG.zip
[...] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in [...]
[...] } De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare [...]
[...] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in [...]
[...] cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare [...]
[...] cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in eroare [...]
[...] pe Yahoo! Messenger, MSN si Skype de cateva luni bune si se pare ca nu se va opri prea curand. V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.Pentru ca aceasta infectie continua, [...]
[...] primi noutatile de pe aceasta pagina.De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in [...]
[...] FaraVirusi(com) on January 11, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in [...]
[...] FaraVirusi(com) on February 24, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare. Metoda este cea clasica: trimite un link “perfid” care induce in [...]
[...] on March 13, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul [...]
[...] on April 11, 2011De cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul [...]
[...] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul [...]
[...] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul [...]
[...] cateva ore se raspandeste pe Yahoo! Messenger un nou val de virusi din din familia Palevo. Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul [...]