[Solutie] UPS Delivery Notification, Tracking Number CDE31400FCA9E1A9 – Virus raspandit prin email

Tehnicile celor care raspandesc virusi se modifica, adapteaza si imbunatatesc pe zi ce trece. Se raspandeste astfel un nou email inselator, care propaga un nou virus deosebit de periculos.

Subiectul email-ului suna astfel: UPS Delivery Notification, Tracking Number CDE31400FCA9E1A9, pretinzand a fi trimis de la UPS Quantum View auto-notify@ups.com.
Continutul sau este urmatorul:

You have attached the invoice for your package delivery.

Thank you,
United Parcel Service

*** This is an automatically generated email, please do not reply ***

Are atasat fisierul, aparent inofensiv, cu denumirea: invoiceCDE31400FCA9E1A9.html. Odata descarcat si vizualizat vi se va afisa o pagina ca cea de mai jos: Important Delivery Information, Tracking Number etc, toate dand aparenta unui site legitim pe care-l vizitati.

ups delivery

Dand click pe link-urile subliniate sunteti directionati fie spre http://www7apps-myups.com/main.php?page=cde31400fca9e1a9, fie spre http://track.www7apps-myups.com/invoiceCDE31400FCA9E1A9.JPG.exe, http://track.wwwmyups.org/WebTracking/ sau http://track.wwwmyups.org/WebTracking/javaupdate.exe.
Daca in primul caz virusul se incarca direct printr-un script Java malitios, ce se executa odata cu accesarea site-ului, in al doilea caz este vorba de un fisier pe care-l descarcati in calculator, clasica extensie dubla.

Detectia html-ului initial atasat la email este de doar 4 din 42 pe VirusTotal.com, in timp ce fisierul executabil infectat are o detectie de 8 din 42 Antivirusi pe VirusTotal.com.

Virusul creeaza in calculator o intrare registry care ii asigura pornirea cu Windows-ul si un fisier cu o locatie si denumire asemanatoare cu urmatoarea: C:\Documents and Settings\User\Application Data\Umviu\enwiy.exe.

Daca ati facut greseala sa rulati sau accesati fisierele cu pricina, folositi pentru DEVIRUSARE solutia urmatoare:
Descarcati Dr.Web Cureit! si scanati PC-ul:

http://www.freedrweb.com/cureit/?lng=en

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

3 responses to “[Solutie] UPS Delivery Notification, Tracking Number CDE31400FCA9E1A9 – Virus raspandit prin email”

  1. Kalju

    What story is it? What computer contains this kind folder or address? Maybe You mean C:\Users\Usename\AppData\..etc
    But what is this: C:\Documents and Settings\User\Application Data\.. – old XP?

  2. Usr

    eliminarea manuala:

    fisiere noi:
    %APPDATA%\Yqew\heka.exe *
    %APPDATA%\Ozikx\ *
    nuer.tmp
    nuer.yzf

    start-up
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    {1316C508-4700-B878-8A56-6C72E66C1445} %APPDATA% \Yqew\heka.exe

    *%APPDATA% = C:\Documents and Settings\{username}\Application Data

    1. BlueStrut

      *Linkurile dintre semnele de procent pot fi lipite in bara din explorer fara probleme, nu e nevoie sa inlocuiesti cu calea completa. (aviz amatorilor 😀 )

Leave a Reply