Catalin Botezatu se afla in stare grava la spital ! – Virus propagat prin email

Se raspandeste prin email un nou virus romanesc ce se foloseste de faima a doua vedete autohtone si a unui binecunoscut post de stiri.

Iata mesajul trimis ce pretinde a veni de la adresa stiri@antena3.ro:

Bine cunoscutul designer roman, Catalin Botezatu, a suferit un nefericit accident de masina luni, in jurul orei 04:30 (a.m.), in apropiere de Bucuresti, relateaza DC News.

Acesta este internat momentan la Spitalul de Urgenta Floreasca din Capitala, sectia Neurochirurgie, fiind diagnosticat cu traumatism cranian sever si politraumatism. La aflarea vestei cumplite, fosta iubita, Bianca Dragusanu, si-a retinut cu greu lacrimile si in mod surprinzator a decis sa-i fie alaturi in aceste clipe grele.

Creatorul de moda se afla pe “locul mortului” in masina unor prieteni, care aparent ar fi consumat bauturi alcoolice si substante halucinogene inainte sa conduca. Cei doi amici ai designerului au suferit fracturi deschise si contuzii usoare.

Vezi aici imagini foarte emotionante surprinse de reporterii DC News
cu Bianca din nou in bratele lui Catalin Botezatu.

© 2005-2013 S.C. Antena 3 S.A. Toate drepturile rezervate

Link-ul de pe cuvantul “aici” este infectat si directioneaza spre http://silware.eu/catalin-botezatu.jpg.exe sau http://gsh.hu/catalin-botezatu.jpg.exe.

Detectia sa este medie pe VirusTotal.com: https://www.virustotal.com/file/de87269165ff96431f0d00d32e5f7cc9cd930e2491f6e546e6701d538c31932e/analysis/.

Pentru DEVIRUSARE folositi Dr.Web Cureit!: http://www.softpedia.com/get/Antivirus/Dr-WEB-CureIt.shtml

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

35 responses to “Catalin Botezatu se afla in stare grava la spital ! – Virus propagat prin email”

  1. Farcas Gelu Danut

    Tocmai v-am trimis si eu acelasi e-mail spre analiza.
    O rugaminte: prin pagina contact v-am trimis pre analiza acum catva timp un astfel de e-mail suspect si din eroare am lasat linkul activ (am dat copy-paste la e-mailul pe care l-am primit). Puteti dvs. sa corectati, va rog, sa nu dea cineva click pe el din eroare si sa aiba probleme?

  2. micky001

    Doar ce am primit respectivul mail,intrat direct in spam.Nu l-am deschis,in schmb am dat direct cautare la titlul mail-ului si…am ajuns aici.ma asteptam la asa ceva…

  3. Farcas Gelu Danut

    In general trimit prin e-mail, dar uneori nu-mi permite e-mailul sa trimit mesajul (cazul prezentat).

  4. Malware.analysis

    in gluma fie zis, insinuezi ca antivirusul nr 1 nu-l detecteaza? 😀
    serios vorbind, este doar un mirc modificat si archivat sfx, deci nu prea ar avea ce sa detecteze

    identificare infectie:
    process: dwm.exe (C:\WINDOWS\Temp\Cookies\dwm.exe)

    in caz de infectie, nu este greu de eliminat asa ca voi prezenta pas cu pas etapele:
    pentru a vedea fisierele avem nevoie de niste setari mai speciale ale explorerului:
    my computers>tools>folder options> view>
    bifam show hidden file and folders >apply>ok

    task manager/process explorer/sau orice alt process manager
    kill dwm.exe (C:\WINDOWS\Temp\Cookies\dwm.exe)

    acuma deschidem my computer, navigam pana in c:\windows\temp\cookies\
    si stergem toate fisierele de acolo

    ultima etapa, eliminam din registri intrarea care ii permite sa reporneasca dupa restartul pc-ului:
    descarcam autoruns.exe (google, este pe site-ul technet.microsoft.com)
    executam autoruns, ne uitam dupa
    “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
    si vom vedea acolo:
    dwms mIRC mIRC Co. Ltd. c:\windows\temp\cookies\dwm.exe, click pe acea linie si delete

    analiza completa: http://virii.tk/catalin-botezatu-jpg-exe/

  5. Marian

    Am o MARE Nelamurire, eu am instalat pe calculator BITDEFENDER INTERNET SECURITY 2013 cu licenta gratuita un an optinuta acum cateva zile de pe YODA.RO..stiti promotia, acum am instalat si DR.WEB CUREIT ca sa verific mesajul de mai sus. Problema esta ca dupa scanare mi-a gasit 2 troieni in BITDEFENDER :
    Trojan.syggen4.44927\firewall\bdfwfpf,sys
    Trojan.syggen4.44935\system32\drivers\bdvedisk.sys
    Sunt falsi/positive sau sunt reali? cum ma afecteaza?
    In cazul asta aplicatia Bitdefeder vine gata virusata?
    Va multumesc.

  6. xiorel123

    Si eu am primit stirea in dimineatza asta, gasita in “spam” insa nu dau crezare unor astfel de stiri si am sters-o direct preferand a da “search” pe google folosind ca termeni de referinta “catalin botezatu accident” si astfel am ajuns pe o pagina http://www.exclusivnews.ro/showbizz/antena-3-tinta-unui-atac-informatic-botezatu-a-suferit-un-grav-accident.html unde au mentionat ca stirea este o capcana si ca la cat de excelent e realizata ar fi posibil sa fi fost trimisa chiar de catre niste angajati ai A3.N-as spune ca e excelent realizata deoarece orice stire capcana e lipsita de poze pe tema mentionata in mesaj si contine la sfarsitul textul o fraza de genul “apasati AICI”. Acestea sunt criteriile de baza de care tin cont pentru a-mi da seama daca este ceva serios sau o capcana.

  7. xiorel123

    Tinand cont de o veche vorba romaneasca “intr-un copac neroditor nu se arunca cu pietre” tin sa cred ca postul asta de televiziune pe cat de faimos devine pe atat de expus atacurilor ajunge, atacuri ce tin sa cred ca vin intr-un mod indirect din partea acelor pup-in-curisti-basisti (deci prin “munca” altora).

  8. sandu

    Mare sau ne-mare lucru, intr-adevar “antivirusul numarul unu” nu detecteaza nimic.

  9. sandu

    Cu Magda Ciumac nu sunt virusi?

  10. C@t@lin C

    Salutare am intrat pe acest link http://virii.tk/catalin-botezatu-jpg-exe/ si Malwarebytes a blocat acest ip ISP: GoDaddy.com, LLC
    Host Name: ip-184-168-88-189.ip.secureserver.net
    Organization: GoDaddy.com
    Country: United States (US)
    Region/State: AZ Arizona
    City: Scottsdale
    Postal Code: 85260……De ce se posteaza link-uri infectate pe acest blog ???
    IP-BLOCK 184.168.88.189 (Type: outgoing, Port: 49641, Process: opera.exe)
    2013/01/28 13:37:44 +0200 IP-BLOCK 184.168.88.189 (Type: outgoing, Port: 49642, Process: opera.exe)
    2013/01/28 13:38:24 +0200 IP-BLOCK 184.168.88.189 (Type: outgoing, Port: 49651, Process: opera.exe)
    2013/01/28 13:38:24 +0200 IP-BLOCK 184.168.88.189 (Type: outgoing, Port: 49652, Process: opera.exe)

    1. Malware.analysis

      esti sigur ca de la adresa respectiva ti se trage alarma ? :-D, blogul (al meu) nu are nici o legatura cu godaddy sau cu ip postat de tine

      1. virus2009

        @ Malware.analysis

        Roaga-l pe Radu sa corecteze mesajul omului ,sa puna IP 87.98.132.48 sa il cred si eu. 😛

  11. sandu

    C@t@lin C
    Pai de ce…uite…ca sa ne testam antivirusii. Bravo Malwarebytes. Si Avast vad mereu ca sta foarte bine la noile dracovenii.

  12. VladX

    Si totusi pun si eu intrebarea:Antivirusul nr1 cum se face ca nu-l detecteaza?Radu de ce eviti aceasta intrebare?
    Acum cateva zile am schimbat si eu Avast 7 free pe BDIS 2013 dar vad ca am facut o greseala foarte mare.

    1. VladX

      Hmm..pare ca GData detecteaza virusul cu motorul bit defender deci nu cred ca e actualizat BitDefender pe VT.

  13. Marian

    Astept raspuns la ce am postat mai devreme, de fapt mai postez odata
    Am o MARE Nelamurire, eu am instalat pe calculator BITDEFENDER INTERNET SECURITY 2013 cu licenta gratuita un an optinuta acum cateva zile de pe YODA.RO..stiti promotia, acum am instalat si DR.WEB CUREIT ca sa verific mesajul de mai sus. Problema esta ca dupa scanare mi-a gasit 2 troieni in BITDEFENDER :
    Trojan.syggen4.44927\firewall\bdfwfpf,sys
    Trojan.syggen4.44935\system32\drivers\bdvedisk.sys
    Sunt falsi/positive sau sunt reali? cum ma afecteaza?
    In cazul asta aplicatia Bitdefeder vine gata virusata?
    Va multumesc.

  14. andreea

    Ce face virusu totusi?
    Eu l-am deschis pe telefon, dar nu era format care sa-l vada telefonul si l-am sters. E posibil sa mai fi ramas ceva fisiere?

  15. sandu

    @Marian
    Stai linistit, alarme false se intampla intre antivirusi. Ca sa te lamuresti pe deplin fa de exemplu o scanare cu Hitman Pro. Simplu si usor.

  16. Marian

    Da stiu asta, totusi am verificat pe Virus total si unii antivirusi zic ca cei 2 sunt troieni
    Dar am verificat ce reprezinta fiecare si unul este un fisier helper din firewall, de fapt este al firewallului si al doilea este in drivers care este tot al lui bitdefender

  17. Marian

    App am scanat si cu Combo fix si tot asa a gasit cele 2 fisiere

  18. Marian

    Ti-am trimis acum cele doua fisiere arhivate de la bitdefender
    Multumesc frumos

  19. Marian

    Pe Metascan zice bdfwfpf,sys nu este troian iar pt. bdvedisk.sys doar un antivirus a zis ca e troian respectiv ClamWin =Win.Trojan.Agent-86116

  20. sandu

    @Marian
    Sunt ok, lasa-le in pace…

  21. Paul

    Salut!

    Marian…ClamWin e varza, plin de alarme false.

    Legat de fisierele asa zis virusate:
    -> bdfwfpf.sys – e legat de Bitdefender Firewall
    -> bdvedisk – e legat de FileVault

    O seara placuta!

  22. marian

    ok multumesc frumos, astept si raspunsul lui Radu

  23. nte

    Am si eu o intrebare…care este cel mai bun antivirus?

  24. robert

    Varianta GData free detecteaza virusul sau varianta cumparata?

  25. C@t@lin C

    The website is accessible but there is a server error (403)
    The last time we tried to visit virii.tk we received a 403 HTTP status code as response. By analyzing the HTTP status code we know that the website is accessible but there is a client error in the homepage. The web server that is hosting the website has the IP address as 87.98.132.48 and its hostname is shadow.virtual-info.eu. This report was last updated 3 months ago. Do not forget to share Netirk.com on Facebook!

    Report: Rescan | 25-01-2013, 15:38:10 GMT (4 days ago) | All Reports
    IP Address: 87.98.132.48 (Network Tools) (View Websites Hosted Here)
    ISP: Ovh Systems
    Organization: OVH SAS
    IP Hostname: shadow.virtual-info.eu
    IP Country: France (FR)
    Detections 1/36 (2.78%)
    Status DETECTED…. Deci ceva e putred la mijloc si nu cred ca Malwarebytes are false positive !!!

    1. virus2009

      Pentru http://virii.tk/ , nu exista nici o alarma si nici nu trebuie sa fie, totul e curat, e paranoic Mban-ul tau.

    2. Malware.analysis

      vad ca ai gasit ip-ul serverului(shared hosting) unde este tinut blogul, e un progres 🙂

      Netirk.com: CHECK WEBSITE AVAILABILITY >
      VIRII.TK STATUS
      The website is accessible and the response code is 200
      perfect adevarat:)
      p.s. “code 200” e de bine!!!

  26. anonim

    la aia care trimit virusi de astia le doresc sa moara in chinuri groaznice

Leave a Reply