[Solutie] Virusul mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip si variantele sale

De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare.
Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul si dupa click i se ofera un virus spre descarcare.

Mesajele sunt urmatoarele:


te ves rebien en esta foto. http://www1.crazyphotosend.com/saved/54874/DSC-MiFoto02.JPEG.zip
puedo poner esta foto tuya en mi blog porfavor? http://www.crazyphotosend.com/cache/46326/MiFoto3.JPEG.zip
En serio que no recuerdo esta foto. Sera que ya estaba boracho http://www1.megapicturebox.com/userfiles/834605/MVS-IMAGEN011.JPEG.zip
como se ve esta foto? lo tome con mi camara nueva. http://www2.megapicturebox.com/userfiles/790923/DVC-IMAGEN04.JPG.zip
Mira me nuevo look. que te parece? http://sv84.megapicturebox.com/uploads/13467457/IMAGEN028.JPEG.zip
Quedaron en la madre los dos carros despues del accidente. http://sv23.mfotoblog.com/uploads/6659861/DSC-IMAGEN012.JPG.zip
dime que piensas de estas dos camisas que me quiero comprar http://www4.mfotoblog.com/uploads/2463652/IMAGEN012.JPG.zip
edite esta foto… crees que se ve bien? la acabo de crear en photoshop http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip

Mesajul este acum in spaniola, iar fisierul descarcat pretinde ca este o poza, avand insa extensia finala .com, precedata de o adresa web.

Odata rulat creeaza fisierele

%Public%\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
%windir%\system32\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
care vor porni odata cu PC-ul, virusul trimitand mesaje in mod automat tuturor prietenilor din lista Yahoo! messenger. De asemenea blocheaza rularea oricarui progam de securitate instalat.


Detectia lui este una foarte mica: doar 9 din 40 de Antivirusi de pe VirusTotal.com. Felicitari Comodo pentru promptitudine.

Iata care sunt solutiile pentru DEVIRUSARE:

1. Pentru Windows XP:
Descarca Buzus Removal.zip si extrage cele 2 fisiere din arhiva pe Desktop.

Dublu click pe Repair.reg.
Restart PC imediat.
Dublu click pe Removal.bat.

Pentru Windows Vista/7:
Descarca Buzus Vista_7.zip si extrage din arhiva Buzus.bat.
Start Menu > All Programs > Startup
Windows 7 startup

Copiaza numele acelui fisier.
Deschide Buzus.bat cu Notepad (Click-dreapta pe fisier, selectezi Edit).
Inlocuieste wmpXXX.exe cu numele fisierului din Startup (wmpsd3.exe in cazul nostru).

Windows 7 buzus
Salveaza Buzus.bat (Ctrl+S) si inchide-l.
Dublu click pe Buzus.bat.
Virusul se va inchide si va fi sters.
Sursa: Blogger-Warning

2. Descarcati Dr.Web CureIT: http://www.freedrweb.com/cureit/
Rulati-l si apasati “Start” pentru a scana PC-ul. Stergeti infectiile gasite.

3. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.


Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

14 responses to “[Solutie] Virusul mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip si variantele sale”

  1. Tweets that mention [Solutie] Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip -- Topsy.com

    […] This post was mentioned on Twitter by Dragos, C R. C R said: [Solutie] Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip: De cateva ore se raspandeste pe Ya… http://bit.ly/cByssj […]

  2. Official

    O, nu! Altul? Ăştia nu se mai satură?

  3. Official

    Am facut removal pentru el. E doar un pic mai complicat decat celalalt dar merge. 😀

  4. Devirusare

    Nu e Palevo, e Buzus.

  5. OJi

    L-am prins si eu la unul din userii mei, saptamana trecuta, eu am mai gasit un exe in folderul “Start Up”. Nici ComboFix nu l-a vazut, nici MalwareBytes. L-a gasit NOD32, varianta online.

  6. Cojocaru Silviu

    Avast l-a detectat in timp ce incercam sa descarc zip-ul pentru a-l trimite la Virustotal

  7. Ionut

    Nu stiu cum de ai eliminat tu acest virus cu Combofit-ul ala, dar sincer la mine nu a vrut de nici o culoare in masina virtuala sa il opreasca. Probabil o fi ceva cu Virtual Xp-ul de la Microsoft ca in timp ce folosesc Combofix acesta isi da restart instantaneu si virusul inca ramane :D.

    Nu as vrea sa fac publicitate, dar tind sa cred ca varianta mea de pe site e mult mai usoara, rapida, eficienta si fara bataie de cap pentru enduser daca are ceva notiuni elementare de calculatoare.

  8. Ionut

    Am si eu o intrebare de ce nimeni nu stie de acest virus pe tot internetul tu fiind primul care face aceast articol?

    Chiar nu s-a gasit unu care sa posteze macar un mesaj pe tot internetul asta pe care sa il gasesc dupa” principalele cuvinte cheie ale acestui articol”? ciudat dar ma rog cred ca nu e treaba mea nu?

  9. Ionut

    Chiar e misto cum lucreaza baietii astia :))

    Parca ar fi romanii care faceau acum un an spam pe Raiffaisen 😀

    “Sparg” conturi de Remote si se joaca putin cu IIS-ul, mmmm nimic spectaculos doar virusul asta e chiar marfa imi place cum e facut 😀

    telnet http://www.MFOTOBLOG.COM:3389
    ………………………………………
    To access IIS Help

    Click Start, and then click Run.
    In the Open text box, type inetmgr. IIS Manager appears.
    From the Help menu, click Help Topics.
    Click Internet Information Services.

    Avand in vedere ca domeniul e relativ nou:

    Domain Name: MFOTOBLOG.COM
    Registrar: GANDI SAS
    Whois Server: whois.gandi.net
    Referral URL: http://www.gandi.net
    Name Server: A.DNS.GANDI.NET
    Name Server: B.DNS.GANDI.NET
    Name Server: C.DNS.GANDI.NET
    Status: clientTransferProhibited
    Updated Date: 18-jun-2010
    Creation Date: 18-jun-2010
    Expiration Date: 18-jun-2011

    Cred ca nu e mana de profesionist in asa ceva in afara de virus, tu ce zici RADU?

  10. Costin

    Cel sau cei care creaza astfel de virusi vor sa isi bata joc de cei cu vulnerabilitati ori vrea/vor sa ajunga undeva pe baza unui plan. Daca tot exista foarte multe solutii de securitate , de ce continua sa mai faca acesti virusi , dar … fiecare cu treaba lui.
    @Radu
    As putea te rog frumos sa preiau si eu acest articol ? (scriu sura ca de fiecare data …. :-bd )

  11. Gigi (Official)

    Alta varianta creeaza wmpdt2.exe in loc de wmpdt1.exe. V-am lasat. Noapte buna.

  12. zondron

    am imbunatatit codul tuturor pentru 4 virusi de YM

    http://pastebin.com/2WbZ6QE4

    inchide procesele fiecarui virus
    il sterge din locatiile respective
    sterge ce ramane in registrii
    adauga site-uri in lista cu site-uri restrictionate din internet explorer
    repeta de 2 ori scriptul

    lista cu environment variable de la windows, nu mai folositi adrese statice!!!
    http://en.wikipedia.org/wiki/Environment_variable#Default_Values_on_Microsoft_Windows

Leave a Reply