Downloadati combofix, instalati-l si lasati-l sa-si faca treaba!

O sa primiti mesaje de tipul:

foto http://zhelefun.com/image.php
foto http://tviceimg.com/image.php
foto http://tuesimages.com/image.php
foto http://ariafotos.com/image.php

Ideea este sa nu accesati aceste linkuri infectate. Nici macar de curiozitate.
Pana in prezent, virusul nu este detectat decat de vreo trei antivirusuri.

Aici aveti o analiza a virusului (anubis sandbox).

Totusi, exista solutie pentru aceasta problema!

Avand in vedere ca acest virus blocheaza accesul la siteurile cu aplicatii de dezinfectare, rugati pe cineva sa downloadeze KidoKiller de pe linkul de mai jos si sa vi-l trimita (asa ar trebui sa functioneze).

1. Downloadati KidoKiller.exe -> http://kaspersky-labs.com:8080/special/KidoKiller_v2.zip

2. Rulati aplicatia KidoKiller si asteptati pana finalizeaza scan’ul.

3. Dupa ce a terminat, scanati inca o data cu un antivirus, de preferat, Kaspersky.

Cred ca am sa revin cu detalii suplimentare zilele astea (daca o sa am timp liber sa analizez virusul mai bine).

veo una foto tuya pero no se si eres tu.. acepta y dime http://find.mytinypic.info:84/shared/ksdk30f/DTV-MiPictura014.JPEG.zip

Ideal ar fi sa nu dati click pe linkurile astea dubioase si sa avertizati persoana care v-a trimis mesajul ca este virusata!

Este es un nuevo tipo de virus! Creo firmemente recomendamos que no lo haga clic en este tipo de vínculos y también utilizar un buen antivirus!

tu ti-ai facut profilu asta?  http://roamateursxx.freehostking.com/profile.php?user=id

cine ti-a pus pozele aici?? :0 hxtp://supercool.001webs.com/profile.php?user=id

cine ti-a pus pozele aici?? :0 hxtp://realhot.001webs.com/profile.php?user=id

tu esti aici http://profilexx.001webs.com/profile.php?user=id

Din numarul de mesaje primite pe Yahoo Messenger, imi dau seama ca au fost infectate multe persoane!

Pentru devirusare urmati pasii de aici si aici!
Nu mai dati click pe link’urile dubioase si folositi un AntiVirus bun si updatat la zi!

Dupa virusul de pe Hi5, a aparut un nou virus care se raspandeste pe Yahoo Messenger. Este un virus inteligent, reusind sa poarte adevarate conversatii cu cei din lista celui infectat, iar in cele din urma reuseste (sau nu) sa-si convinga interlocutorul sa dea click pe un link infectat.
Metoda folosita de acest virus pare destul de inteligenta: trimite mesaje pe Y!M de genul: “Ti-am gasit pozele pe profilexx .. “.
Fetele, in general destul de curioase, fara nicio banuiala, intra pe site-ul cu pricina. Odata ajunse pe acel site, li se cere sa instaleze ultima versiune de Macromedia Shockwave player (la fel ca in imaginea de mai jos).
Ideal ar fi sa nu intrati pe link-uri suspecte primite pe Y!M (si nu numai).

Pentru a sterge acest virus (in cazul in care v-a fost infectat profilul) intrati la sectiunea About me sau Interest, iar acolo veti gasi un cod mai ciudat cu embed:  stergeti-l si salvati modificarile facute.

Scanat Online pe Kaspersky.com:
hi5update.exe – infected by Trojan.Win32.Buzus.cxad

Cred ca e vorba de virusul ala inteligent de pe mess (ala care reuseste sa poarte discutii cu cei din lista infectata, iar apoi le da linkul infectat, astfel incat ai crede ca vorbesti chiar cu persoana respectiva).

Iata de ce este in stare acest virus:
* Isi creeaza procese care sa fie executate la pornirea calculatorului, de unde pot rezulta actiuni ce pot fi facute in mod automat, fara acordul vostru.
* Isi creeaza fisiere in folder-ul in care este instalat Windows-ul. Fisierele malware obisnuiesc sa isi tina copii de rezerva acolo pentru a nu fi descoperite de utilizatorii calculatorului, dat fiind faptul ca acolo nu umbla nimeni.
* Creaza si modifica fisiere din calculator care nu sunt temporare.
* Creaza procese in timpul executiei sale care va suprasolicita procesorul.
* Citeste si modifica intrarile din registri. Se poate sa fie un keylogger care inregistreaza fiecare tasta pe care o apasati si fiecare aplicatie pe care o porniti pe calculator.

!Update

Nytro a studiat putin mai amanuntit acest virus:

Test hi5update.exe
Se copiaza in: Windows/system32/winlog.exe
StartUp: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Trimite date catre: 188.27.212.206 ( Romania , Bucuresti, RDS ) – XAMPP
Posibil ca datele sa fie salvate in: http://188.27.212.206/log.txt

Datele sunt trimise cryptat ( cred ).
Scan simplu ( nmap ):
PORT STATE SERVICE
25/tcp filtered smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds

Inca nu stiu exact ce vrea sa faca, cred ca este stealer, a “cautat” prin Temporary Internet Files si alte foldere gen Cookies de la Internet Explorer. Probabil doar IE pentru ca nu am si Mozilla sau altceva.

Revin cu mai multe detalii dupa ce studiez logurile. Pentru a scapa de el stergeti-l din system32 si scoteti-l de la startup.

Intre timp, siteul pe care era gazduit initial virusul, a fost suspendat in urma unui mail trimis de sonyxbz companiei respective de hosting, insa virusul (o noua versiune modificata genetic) si-a gasit un nou hosting:

Nytro a analizat si ce-a de-a doua varianta a virusului:

Are 217kb, celalalt avea 60. Sa vad diferente…
Pentru inceput:
E cryptat cu Polifemo Ebrio Crypter. Encryptia cred ca e RC4. Crypterul e scris tot in Visual Basic 6.
Noul IP e: 79.117.73.154 ( Romania, Constanta, RDS ) – 3728.zapto.org
Si mai e unul de SUA: nf4-no-ip.com ( 69.65.5.122 ) – Dar nu imi dau seama ce legatura are.
Se copiaza in : Windows/system32/boot.exe
Ca sa scapati de el stergeti boot.exe din C:\Windows\system32
Se pune la startup la: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Font