Noul Virus “foto” http://ow.ly/26x6I?=http://www.facebook.com/photo.php

Posted: July 5, 2010 in how to..., info
Tags:
0

Noul Virus foto http://ow.ly/26x6I?=http://www.facebook.com/photo.php

Un nou virus se răspândeşte pe Yahoo Messenger în ultimele 3-4 zile. Aparent el face parte din familia Palevo.

Mesajul trimis este:

foto http://ow.ly/26x6I?=http://www.facebook.com/photo.php

foto http://205.234.161.140/n11975310_09.JPG-www.facebook.exe

foto http://ow.ly/23U3V?=http://facebook.com/photo.php

foto http://julietgardiner.com/photo.php

Deşi la prima vedere site-ul pare a fi facebook.com, chiar NU este. Acesta face redirect către http://julietgardiner.com.

Virusul crează procesul jusched.exe în folderul Windows şi în folderul Users. (C:\WINDOWS\jusched.exe , C:\Users\Public\jusched.exe).

Detecţie pe VirusTotal.com:

http://www.virustotal.com/analisis/2fb7808eb05bee0673be08fd4c2e537635ccd0b06d21390a39b21832ca434ac5-1277800939

Devirusare automată:

Descărcaţi Malwarebytes Anti-Malware 1.46.

Instalaţi programul şi la sfârşit asiguraţi-vă că aţi bifat următoarele:

Update Malwarebytes’ Anti-Malware

Launch Malwarebytes’ Anti-Malware

Apăsaţi Finish.

După lansarea programului, selectaţi Perform full scan şi apăsaţi pe Scan.

După ce termină, click pe OK şi apoi pe Show Results.

Asiguraţi-vă că e totul bifat şi apoi click pe Remove Selected.

Descărcaţi ComboFix de aici:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Descărcaţi următoarele fişiere:

http://www.mediafire.com/?zilynmznztd

http://www.mediafire.com/?j40mtyiywrz

Scoateţi cablul de net/modem, opriţi protecţia antivirus.

Asiguraţi-vă că aţi închis toate programele ce rulează (Winamp, Yahoo Messenger, Firefox, etc)

Extrageţi conţinutul arhivei Removal.zip descărcată anterior. În ea se află Removal.bat.

Rulaţi Removal.bat. Aşteptaţi să termine procesul.

Trageţi fişierul CFScript.txt descărcat anterior peste ComboFix.exe aşa cum este afişat în figura de mai jos:

Rulaţi ComboFix.

Confirmaţi cu Yes de fiecare dată când vă întreabă ceva (dar citişi cu atenţie înainte de a da Zes chiar la orice). Nu-l opriţi în timp ce scanează şi devirusează sistemul.

E posibil ca în timpul rulării sale imaginea de pe desktop să dispară. (wallpaper-ul)

Porniţi protecţia antivirus, conectaţi cablul de internet/modem.

Virusul a fost semnat de 18 producători din cei 41 prezenţi pe VirusTotal.com

Leave a comment