Virusul Palevo se intoarce – “face-girlz.com/view_img.php” (Solutie)

Virusul de tip image.php (Win32.Palevo) circula pe Yahoo! Messenger, MSN si Skype de cateva luni bune si se pare ca nu se va opri prea curand.
V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.

Pentru ca aceasta infectie continua, deoarece virusul creeaza si alte fisiere si lista de link-uri devenise prea lunga, voi crea un nou topic care va va tine la curent cu noutatile alaturi de metodele pentru devirusare.
Iata ultimul mesaj trimis:

http://face-girlz.com/view_img.php

Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:

P1753577.JPG-www.facebook.exe
Detectia acestuia este scazuta momentan: 9 din 43 de antivirusi.


Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:

Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.

Metoda 2: Descarcati Dr.Web Cureit! si scanati PC-ul stergand infectiile gasite.

Metoda 3: Descarcati Kaspersky Removal Tool si scanati partitia C:\ cu el, stergand infectiile gasite.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:

  • %Windir%\mdlu.dl
  • %Windir%\nvsvc32.exe (acesta va fi si procesul activ)
  • %Windir%\wintybrd.png
  • %Windir%\wintybrdf.jpg

De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [NVIDIA driver monitor = “%Windir%\nvsvc32.exe”]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run [NVIDIA driver monitor = “%Windir%\nvsvc32.exe”]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [NVIDIA driver monitor = “%Windir%\nvsvc32.exe”]

Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.

De asemenea deschide automat pagina urmatoare in browser:
http://browseusers.myspace.com/Browse/Browse.aspx

Va initia o conexiune de tip IRC prezentata mai jos:

NICK NEW-[USA|00|P|01084]
USER XP-0491 * 0 :COMPUTERNAME
MODE NEW-[USA|00|P|01084] -ix
JOIN #!nn! test
PONG 22 MOTD

NICK NEW-[USA|00|P|01084]USER XP-0491 * 0 :COMPUTERNAMEMODE NEW-[USA|00|P|01084] -ixJOIN #!nn! testPONG 22 MOTD

si va crea o conexiune de tip outbound si trafic pe porturile 1234, 80 si 443.

Va incerca conexiuni la urmatoarele servere:

184.73.209.168 80
204.0.5.56 80
204.0.5.58 80
207.38.101.12 80
216.178.38.103 80
216.178.38.168 80
216.178.39.11 80
63.135.86.30 80
64.208.241.27 80
64.208.241.41 80
205.234.236.19 1234
74.125.227.31 443

In plus, va dezactiva Automatic Updates din Windows.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “Virusul Palevo se intoarce – “face-girlz.com/view_img.php” (Solutie)”

  1. aa
  2. Alin

    Palevo nu se intoarce ca nu a plecat niciodata.

Leave a Reply