[Solutie Virus] Niste poze interesante cu tine in arhiva asta…astept raspuns sa vad ce parere ai :))

Adoptand tehnica virusului Palevo, care se raspandeste prin Yahoo! messenger, a aparut un nou virus autohton, care trimite de data asta e-mail-uri.

Atentie! Printre alte adrese de e-mail folosit, virusul se trimite de la adresa concurs_faravirusi@rdslink.ro, care nu apartine blog-ului nostru, ci este doar o tactica de a induce in eroare.

Aceste mail-uri nu au subiect, iar continutul lor suna cam asa:

Niste poze interesante cu tine in arhiva asta…astept raspuns sa vad ce parere ai :))



Au atasat un fisier executabil cu denumirea cnbyx.exe, bjihofd.exe sau olnw.exe (posibil sa fie generata aleator totusi). Are 634KB si odata rulat creeaza %UserProfile%\upjdk.exe (de asemenea e posibil ca denumirea sa fie aleatorie).
Isi asigura rularea automata la fiecare pornire a sistemului prin modificarea cheii registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

De asemenea creeaza cheia registry:

HKEY_CURRENT_USER\comctl21

Virusul are capacitatea de a se autopropaga, trimitand e-mail-uri prin clientul de e-mail instalat, folosind protocolul SMTP.
Detectia pe VirusTotal.com este mica: 10 din 42 de programe antivirus.

DEVIRUSARE:
Solutia 1. Descarcati ComboFix si salvati-l pe Desktop.
Dezactivati temporar protectia Antivirus
Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.

Solutia 2. Descarcati Emsisoft Anti-Malware, scanati PC-ul si stergeti infectiile gasite:
http://download.cnet.com/Emsisoft-Anti-Malware/3000-2239_4-10292236.html?part=dl-6251182&subj=dl&tag=button

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

12 responses to “[Solutie Virus] Niste poze interesante cu tine in arhiva asta…astept raspuns sa vad ce parere ai :))”

  1. iulia

    La asta nu m-am asteptat dar oricum nu prea stiu cine s-ar lasa pacalit de asta mai ales ca blogul are alt profil

  2. Devirusare

    Radu poti sa imi dai si mie un forward ? Pe adresa asta de email 🙂

    Pls.

  3. bcman

    Am primit mail-ul si vroiam sa te injur. Stiu ca nu am antivirus, dar chiar asa de prost nu sunt. Mi-am dat si singur seama ca arhivele nu au extensia .exe :)) Are adresa mea pe care nu dau 2 bani si ma doare fix in cot 😀
    @Devirusare Daca vrei iti dau eu 😉

    //Edit:
    http://scanner.novirusthanks.org/analysis/0c2d7053b6fc8642b2d866b179047782/b2xudy5leGU=/

  4. Devirusare

    Le-am primit. Multumesc.

    Le-am trimis la analiza. Oricum e slabut virusul.

    1. alex

      dc e slabut ca eu nu pot sa il scot?

  5. Dan

    In mailul care l-am primit eu fisierul avea numele “khxcha.exe”

    Analiza:
    http://www.virustotal.com/analisis/e2a4f382b37268c72ec3057cd31747e8490919cbc5903ba39b3774150b99f5cd-1280153855

  6. Devirusare

    Emsisoft Anti-Malware dupa 30 zile o sa ceara licenta.

    Asta nu:

    http://www.softpedia.com/get/Antivirus/Emsisoft-Emergency-Kit.shtml

    Si face acelasi lucru.(ma refer la indepartare)

  7. happyday

    Cred ca e randul altora sa scrie articole de genul : “blogul faravirusi.com infectat sau nu ?” 😛 si iarasi schimb de politeturi…tot sunt buni virusacii astia la ceva…contribuie la dezvoltarea fratiei blogeristice 😀

  8. vlad

    e si greu sa schimb extensia si icon macar schimbal.bat putina lume stie ca se comporta la fel ca un .exe sau scr pif

Leave a Reply