In timp ce ma uitam pe un profil de hi5 mi-a aparut o casuta de download: hi5update.exe. Initial am ignorat casuta de download si m-am uitat mai departe pe alte profiluri de hi5 si din nou surpriza: hi5update.exe. Am observat ca doar pe unele profiluri imi aparea casuta de download.
Fara dar si poate este un virus asa ca nu il downloadati! Hi5 nu isi va face niciodata update prin patchuri .exe (sper!).
Eu va recomand sa nu il downloadati. Voi alegeti: cheia e la voi! 
Pentru a sterge acest virus (in cazul in care v-a fost infectat profilul) intrati la sectiunea About me sau Interest, iar acolo veti gasi un cod mai ciudat cu embed: stergeti-l si salvati modificarile facute.
Scanat Online pe Kaspersky.com:
hi5update.exe – infected by Trojan.Win32.Buzus.cxad
Cred ca e vorba de virusul ala inteligent de pe mess (ala care reuseste sa poarte discutii cu cei din lista infectata, iar apoi le da linkul infectat, astfel incat ai crede ca vorbesti chiar cu persoana respectiva).
Iata de ce este in stare acest virus:
* Isi creeaza procese care sa fie executate la pornirea calculatorului, de unde pot rezulta actiuni ce pot fi facute in mod automat, fara acordul vostru.
* Isi creeaza fisiere in folder-ul in care este instalat Windows-ul. Fisierele malware obisnuiesc sa isi tina copii de rezerva acolo pentru a nu fi descoperite de utilizatorii calculatorului, dat fiind faptul ca acolo nu umbla nimeni.
* Creaza si modifica fisiere din calculator care nu sunt temporare.
* Creaza procese in timpul executiei sale care va suprasolicita procesorul.
* Citeste si modifica intrarile din registri. Se poate sa fie un keylogger care inregistreaza fiecare tasta pe care o apasati si fiecare aplicatie pe care o porniti pe calculator.
!Update
Nytro a studiat putin mai amanuntit acest virus:
Test hi5update.exe
Se copiaza in: Windows/system32/winlog.exe
StartUp: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Trimite date catre: 188.27.212.206 ( Romania , Bucuresti, RDS ) – XAMPP
Posibil ca datele sa fie salvate in: http://188.27.212.206/log.txt
Datele sunt trimise cryptat ( cred ).
Scan simplu ( nmap ):
PORT STATE SERVICE
25/tcp filtered smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-dsInca nu stiu exact ce vrea sa faca, cred ca este stealer, a “cautat” prin Temporary Internet Files si alte foldere gen Cookies de la Internet Explorer. Probabil doar IE pentru ca nu am si Mozilla sau altceva.
Revin cu mai multe detalii dupa ce studiez logurile. Pentru a scapa de el stergeti-l din system32 si scoteti-l de la startup.
Intre timp, siteul pe care era gazduit initial virusul, a fost suspendat in urma unui mail trimis de sonyxbz companiei respective de hosting, insa virusul (o noua versiune modificata genetic) si-a gasit un nou hosting:
Nytro a analizat si ce-a de-a doua varianta a virusului:
Are 217kb, celalalt avea 60. Sa vad diferente…
Pentru inceput:
E cryptat cu Polifemo Ebrio Crypter. Encryptia cred ca e RC4. Crypterul e scris tot in Visual Basic 6.
Noul IP e: 79.117.73.154 ( Romania, Constanta, RDS ) – 3728.zapto.org
Si mai e unul de SUA: nf4-no-ip.com ( 69.65.5.122 ) – Dar nu imi dau seama ce legatura are.
Se copiaza in : Windows/system32/boot.exe
Ca sa scapati de el stergeti boot.exe din C:\Windows\system32
Se pune la startup la: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Font
dar ce face virusul asta?
cand mam uitat prin virus am obs la original file name yorll00.exe…cred k asta e virusul
sper sa se gaseasca o rezolvare, devine foarte enervant ” virusu’ “
@biry – cel mai probabil, cred eu, acest virus este un keylogger (fura parole si date),dar poate fi si un zombie dintr-un botnet.
Din cate am observat pana in momentul de fata, doar pe unele profiluri romanesti apare acest virus. Cred ca s-a folosit ceva cod html in comentariile de profil, cod care duce inspre virus.
azi nu am intrat pe hi5… is curios sa vad virusu, sa ma rad de ei ca incep sa aiba asa ceva
Ehh, eu nu sunt cu hi5-urile dar multumim ca ne-ai zis.
mie imi apare alta dracie pe hi5, care imi cere sa se salveze … oricum, nu cred ca e nimeni atat de inteligent incat sa-i dea save sau run …
da…stiam de virusul asta…si mie mi-a aparut, insa nu l-am salvat
nu degeaba sunt la facultatea de inginerie-calculatoare
si cum pot scapa d acel virus???
va rog daca cmv stiti sa ma contactati