De cateva ore se raspandeste pe Yahoo! Messenger un nou virus, din familia Palevo, din cate se pare.
Metoda este cea clasica: trimite un link “perfid” care induce in eroare utilizatorul si dupa click i se ofera un virus spre descarcare.
Mesajele sunt urmatoarele:
te ves rebien en esta foto. http://www1.crazyphotosend.com/saved/54874/DSC-MiFoto02.JPEG.zip
puedo poner esta foto tuya en mi blog porfavor? http://www.crazyphotosend.com/cache/46326/MiFoto3.JPEG.zip
En serio que no recuerdo esta foto. Sera que ya estaba boracho http://www1.megapicturebox.com/userfiles/834605/MVS-IMAGEN011.JPEG.zip
como se ve esta foto? lo tome con mi camara nueva. http://www2.megapicturebox.com/userfiles/790923/DVC-IMAGEN04.JPG.zip
Mira me nuevo look. que te parece? http://sv84.megapicturebox.com/uploads/13467457/IMAGEN028.JPEG.zip
Quedaron en la madre los dos carros despues del accidente. http://sv23.mfotoblog.com/uploads/6659861/DSC-IMAGEN012.JPG.zip
dime que piensas de estas dos camisas que me quiero comprar http://www4.mfotoblog.com/uploads/2463652/IMAGEN012.JPG.zip
edite esta foto… crees que se ve bien? la acabo de crear en photoshop http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip
Mesajul este acum in spaniola, iar fisierul descarcat pretinde ca este o poza, avand insa extensia finala .com, precedata de o adresa web.
Odata rulat creeaza fisierele
%Public%\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
%windir%\system32\wmpdt1(2).exe, wmpdx3.exe, wmpdv3.exe
care vor porni odata cu PC-ul, virusul trimitand mesaje in mod automat tuturor prietenilor din lista Yahoo! messenger. De asemenea blocheaza rularea oricarui progam de securitate instalat.
Detectia lui este una foarte mica: doar 9 din 40 de Antivirusi de pe VirusTotal.com. Felicitari Comodo pentru promptitudine.
Iata care sunt solutiile pentru DEVIRUSARE:
1. Pentru Windows XP:
Descarca Buzus Removal.zip si extrage cele 2 fisiere din arhiva pe Desktop.
Dublu click pe Repair.reg.
Restart PC imediat.
Dublu click pe Removal.bat.
Pentru Windows Vista/7:
Descarca Buzus Vista_7.zip si extrage din arhiva Buzus.bat.
Start Menu > All Programs > Startup
Copiaza numele acelui fisier.
Deschide Buzus.bat cu Notepad (Click-dreapta pe fisier, selectezi Edit).
Inlocuieste wmpXXX.exe cu numele fisierului din Startup (wmpsd3.exe in cazul nostru).
Salveaza Buzus.bat (Ctrl+S) si inchide-l.
Dublu click pe Buzus.bat.
Virusul se va inchide si va fi sters.
Sursa: Blogger-Warning
2. Descarcati Dr.Web CureIT: http://www.freedrweb.com/cureit/
Rulati-l si apasati “Start” pentru a scana PC-ul. Stergeti infectiile gasite.
3. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.
Loading ...
[...] This post was mentioned on Twitter by Dragos, C R. C R said: [Solutie] Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip: De cateva ore se raspandeste pe Ya… http://bit.ly/cByssj [...]
O, nu! Altul? Ăştia nu se mai satură?
@Official: Se pare ca e amuzant sa creezi un virus, mai ales ca nu muncesti mult la el: variatiuni pe aceeasi tema.. sau pe aceeasi bitsi.
Pe de alta parte, eu cred ca te refereai la utilizatori: nu se mai satura sa cada in capcana asta asa de veche?
Am facut removal pentru el. E doar un pic mai complicat decat celalalt dar merge.
Nu e Palevo, e Buzus.
L-am prins si eu la unul din userii mei, saptamana trecuta, eu am mai gasit un exe in folderul “Start Up”. Nici ComboFix nu l-a vazut, nici MalwareBytes. L-a gasit NOD32, varianta online.
Avast l-a detectat in timp ce incercam sa descarc zip-ul pentru a-l trimite la Virustotal
Nu stiu cum de ai eliminat tu acest virus cu Combofit-ul ala, dar sincer la mine nu a vrut de nici o culoare in masina virtuala sa il opreasca. Probabil o fi ceva cu Virtual Xp-ul de la Microsoft ca in timp ce folosesc Combofix acesta isi da restart instantaneu si virusul inca ramane
.
Nu as vrea sa fac publicitate, dar tind sa cred ca varianta mea de pe site e mult mai usoara, rapida, eficienta si fara bataie de cap pentru enduser daca are ceva notiuni elementare de calculatoare.
Am si eu o intrebare de ce nimeni nu stie de acest virus pe tot internetul tu fiind primul care face aceast articol?
Chiar nu s-a gasit unu care sa posteze macar un mesaj pe tot internetul asta pe care sa il gasesc dupa” principalele cuvinte cheie ale acestui articol”? ciudat dar ma rog cred ca nu e treaba mea nu?
@Ionut: Intr-adevar exista si solutii mai simple probabil. Am primit avertizarea de la o prietena, care primise link-ul de la colega ei de facultate. Asa ca am purces la analiza si postarea unei solutii.
Voi adauga maine si altele mai simple.
Chiar e misto cum lucreaza baietii astia
)
Parca ar fi romanii care faceau acum un an spam pe Raiffaisen
“Sparg” conturi de Remote si se joaca putin cu IIS-ul, mmmm nimic spectaculos doar virusul asta e chiar marfa imi place cum e facut
telnet http://www.MFOTOBLOG.COM:3389
………………………………………
To access IIS Help
Click Start, and then click Run.
In the Open text box, type inetmgr. IIS Manager appears.
From the Help menu, click Help Topics.
Click Internet Information Services.
Avand in vedere ca domeniul e relativ nou:
Domain Name: MFOTOBLOG.COM
Registrar: GANDI SAS
Whois Server: whois.gandi.net
Referral URL: http://www.gandi.net
Name Server: A.DNS.GANDI.NET
Name Server: B.DNS.GANDI.NET
Name Server: C.DNS.GANDI.NET
Status: clientTransferProhibited
Updated Date: 18-jun-2010
Creation Date: 18-jun-2010
Expiration Date: 18-jun-2011
Cred ca nu e mana de profesionist in asa ceva in afara de virus, tu ce zici RADU?
Cel sau cei care creaza astfel de virusi vor sa isi bata joc de cei cu vulnerabilitati ori vrea/vor sa ajunga undeva pe baza unui plan. Daca tot exista foarte multe solutii de securitate , de ce continua sa mai faca acesti virusi , dar … fiecare cu treaba lui.
@Radu
As putea te rog frumos sa preiau si eu acest articol ? (scriu sura ca de fiecare data …. :-bd )
Alta varianta creeaza wmpdt2.exe in loc de wmpdt1.exe. V-am lasat. Noapte buna.
am imbunatatit codul tuturor pentru 4 virusi de YM
http://pastebin.com/2WbZ6QE4
inchide procesele fiecarui virus
il sterge din locatiile respective
sterge ce ramane in registrii
adauga site-uri in lista cu site-uri restrictionate din internet explorer
repeta de 2 ori scriptul
lista cu environment variable de la windows, nu mai folositi adrese statice!!!
http://en.wikipedia.org/wiki/Environment_variable#Default_Values_on_Microsoft_Windows