Amenintare noua “Here you have” (W32/VBMania@MM) afecteaza NASA, Coca-Cola, ABC

Worm US-CERT a avertizat Vineri despre existenta unui vierme informatic de tip mass-mailing ce trimite un link spre ceea ce pare un fisier PDF, dar de fapt este un screensaver infectat. Odata executat, acesta va dezactiva solutia de securitate instalata in computer si va trimite mesajul tuturor contactelor din cartea de adrese a contului e-mail-ul.

Subiectul e-mail-urilor primite variaza si poate fi unul din urmatoarele: “Here you have” sau “Just for you,” si “This is the Free Dowload (sic) Sex Movies, you can find it Here,” conform McAfee Avert Labs.

Continutul lor suna astfel:

Hello:
This is The Document I told you about,you can find it Here.
hxxp://www…..PDF_Document21.025542010.pdf
Please check it and reply as soon as possible.
Cheers,

sau

Hello:
This is The Free Dowload Sex Movies,you can find it Here.
hxxp://www….SEX21.025542010.wmv
Enjoy Your Time.
Cheers.



Virusul se poate raspandi prin dispozitive la distanta, in retea sau prin unitati amovibile de tip stick-uri USB, folosindu-se de functia Autorun, afirma McAfee, care detecteaza virusul ca W32/VBMania@MM.
El creeaza fisierul CSRSS.EXE, in C:\Windows. A NU se confunda cu acelasi fisier, localizat in C:\Windows\system32, care este un fisier legitim.

Creeaza de asemenea si urmatoarele fisiere:

  • %WINDIR%\system\Administrator CV 2010.exe
  • %WINDIR%\system\updates.exe
  • %WINDIR%\Administrator CV 2010.exe
  • %WINDIR%\autorun.inf
  • %WINDIR%\autorun2.inf
  • %WINDIR%\csrss.exe
  • %WINDIR%\vb.vbs
  • %DIR%\Administrator CV 2010.exe
  • %WINDIR%\tryme1.exe
  • %WINDIR%\im.exe
  • %WINDIR%\csrss.exe
  • %WINDIR%\vb.vbs
  • %TEMP%\~DF1DC7.tmp
  • %WINDIR%\ie.exe
  • %WINDIR%\rd.exe
  • %WINDIR%\re.exe
  • %WINDIR%\system\updates.exe
  • %WINDIR%\SYSTEM32\SendEmail.dll
  • %WINDIR%\gc.exe
  • %WINDIR%\hst.iq
  • %WINDIR%\ff.exe
  • %WINDIR%\op.exe
  • %WINDIR%\pspv.exe
  • %WINDIR%\re.iq
  • %WINDIR%\ff.dlm
  • %APPDATA%\addons.dat

Apoi va incerca sa opreasca serviciile si procesele tuturor programelor antivirus instalate in sistem.

“Intentia atacului este de a fura informatii,” a afirmat Graham Cluley din partea Sophos. “Virusul descarca diverse componente si utilitare care extrag parolele din browsere (Firefox, Chrome, Internet Explorer, Opera), clientii de email si alte aplicatii.”
Sophos detecteaza virusul ca W32/Autorun-BHO.


Virusul a afectat deja companii si organizatii cu renume: NASA, Google, Coca Cola, Comcast si ABC/Disney.

DEVIRUSARE:
Descarcati si rulati utilitarul Stinger de la McAfee: http://vil.nai.com/vil/vbm/stinger.exe

Malware Hunters pentru Malwarebytes’ Anti-Malware

7 responses to “Amenintare noua “Here you have” (W32/VBMania@MM) afecteaza NASA, Coca-Cola, ABC”

  1. Gigi

    Linkul malitios trimis nu mai functioneaza inca de vineri.

  2. tipo

    @ gigi
    vor veni si altele!

    1. happyday

      e foarte posibil ceea ce spui atata vreme cat, se pare, un vajnic hacheras erijat in creatorul maretului malware si-a transmis mesajul de suparare pe care il regasim aici : http://blogs.forbes.com/andygreenberg/2010/09/13/here-you-have-virus-writer-claims-credit-in-video-denouncing-iraq-invasion/

    2. Gigi

      Spamul nu va inceta niciodata. Conform Symantec, in luna August mesajele spam s-au triplat fata de luna Iulie.

  3. ellpooty

    ceel mai tare site!!!!

  4. tipo

    f interesant ceea ce scrii, dar de cate ori ma uit la poza cu 3 viermi de atatea ori ma gandesc la alte prostii…
    😛

    1. Gabi

      E problema ta, la ce-ti fuge mintea….
      😀

Leave a Reply