Fun Awards – Photo has been moved. Virus nou care circula pe Facebook

Circula pe Facebook un nou virus, care pretinde a fi o poza ce a fost mutata de pe un anume profil. Pagina Fun Awards (http://www.facebook.com/pages/Fun-Awards/121180154684034) este cea care gazduieste o aplicatie ce serveste acest virus tuturor celor care dau click pe un anume link.

Link-ul primit pe facebook de la un prieten este de forma http://on.fb.me/KRFExV?YO4OWWMMU4U si directioneaza spre aplicatia malitioasa: http://www.facebook.com/pages/Fun-Awards/121180154684034?sk=app_190322544333196

Acolo este afisat mesajul:

Photo has been moved.

This photo has been moved to other location. To view this photo click View Photo.

Apoi se incarca in mod automat spre descarcare fisierul: May10-Picture19.JPG_www.facebook.com.zip, ce contine fisierul infectat May10-Picture19-JPG.exe. Detectia sa este ingrijorator de mica: doar 9 din 42 de Antivirusi pe VirusTotal.com.

fun awards virus facebook

Daca faceti greseala de a rula fisierul este creat alt fisier in calculator: C:\WINDOWS\iqs.exe. Alte actiuni ale virusului sunt: dezactivarea firewall-ului, pornirea automata odata cu Windows-ul, auto-propagarea.

Pentru DEVIRUSARE:

Descarcati ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Apoi asigurati-va ca ati inchis toate programele care ruleaza (yahoo messenger, firefox, etc)

Dezactivati temporar protectia Antivirus!
Rulati apoi ComboFix. Va va intreba daca sa inceapa curatirea. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “Fun Awards – Photo has been moved. Virus nou care circula pe Facebook”

  1. Usr

    sau eliminare manuala:
    1. kill process iqs.exe
    2. eliminare intrari start-up din registri
    3. stergere c:\WINDOWS\iqs.exe (Read Only/Hidden/System)
    4. restart

    Start up:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\iqs.exe

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\iqs.exe

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Microsoft Firevall Engine c:\windows\iqs.exe

  2. REX

    Am impresia ca si Malwarebytes’ Anti-Malware poate face curat.Apropo azi am gasit si eu pe wall-ul de facebook al unui apropiat chestia asta numai ca te “arunca” pe alta pagina iar troianul are alta denumire si nu cred ca e acelasi: http://on.fb.me/KdyF3V?cc8S0Sa0QQ88 sau http://www.facebook.com/pages/Funny-Picture-Awards/334356109969904?sk=app_190322544333196 May18-Picture29-JPG.exe =Trojan.VBKrypt (Malwarebytes Anti-Malware), VIRUS TOTAL 7 / 42 https://www.virustotal.com/file/06063bef79f9c35cb10fc858bab0bf9096117aeaad705d19bc136c15f0e4f395/analysis/1337347196/ Datorita voua nu mi-am infectat PC-ul fiindca m-ati informat voi aici cu multe zile inainte si am trecut postul respectiv ca fiind spam (sa nu-si infecteze nici ceilalti PC -ul din greseala), intr-un final persoana respectiva a sters comentariul respectiv ce continea adresa de mai sus,.Multumesc!

  3. REX

    Eu numai inteleg nimic,troianul repectiv este raspandit de o pagina falsa a unei compani.Compania respectiva detine site-ul asta http://www.funawards.com/ iar pagina de facebook oficiala este http://www.facebook.com/funny.awards.Pe cand http://www.facebook.com/pages/Fun-Awards/121180154684034? se foloseste de logo_ul acelei compani si sub pretextul ca posteaza cele mai haioase imagini ale altora pe pagina lor imprastie troieni (sau imagini si troieni).Eu nu inteleg de ce nu denunta nimeni pagina respectiva ca vad ca sunt o gramada care se plang pe pagina lor ca au luat u troieni sau ii injura pe respectivi care detin pagina.Daca nu vor fi opriti la timp se vor crea probleme mai tarziu. Apropo dupa cate vad eu au mai creat o astfel de pagina http://www.facebook.com/pages/Fun-Awards/457926854233061 si daca nu mai insel mai dadusem de una astazi.Ceea ce nu ii sta in caracter unei companii sa creeze pagini in nestire.

Leave a Reply