Stiu ca nu de foarte mult timp am anuntat un virus aici ce se raspandeste prin messenger si cu o luna si ceva in urma aici anuntasem primul virus de messenger de cat acest blog este online.

Astazi imi pare rau sa va anunt, dar a aparut o versiune mult mai agresiva care ca si cele amintite mai sus se raspandeste tot prin Yahoo! Messenger.

Datorita faptului ca virusul vine cu un mesaj in spaniola, multi dintre romani o sa isi dea seama de aceasta amenintare si o sa fie protejati.

Iata mesajul Virusului www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip:

edite esta foto… crees que se ve bien? la acabo de crear en photoshop http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip

Daca la prima vedere terminatia link-ului este ca o poza arhivata cu zip:  IMAGEN006.JPEG.zip va sugerez sa nu va lasati pacaliti, deoarece in aceasta se ascunde fisierul “IMAGEN006.JPEG_www.mfotoblog.com” cu extensia .com, fiind un EXECUTABIL (virus) .

Toata aceasta smecherie compusa din IMAGEN006.JPEG si un nume de website www.mfotoblog.com este facuta in asa fel incat sa induca in eroare utilizatorul pentru a accesa fisierul si ai ascunde ata adevarata extensie cat si scopul.

Din pacate conform site-ului VirusTotal acest virus este detectat doar de 13 din 41 de antivirusi pana in momentul in care realizez acest articol.

Datorita faptului ca folosesc Avast 5 ca antivirus pot spune ca in acest moment cei care il folosesc si sunt cu update-urile la zi sunt protejati. De asemenea iata si lista cu restul de antivirusi care il detecteaza:

• AhnLab-V3       Trojan/Win32.Buzus
• Avast                   Win32:Trojan-gen
• Avast5                 Win32:Trojan-gen
• BitDefender       Trojan.Buzus.HQ
• DrWeb                  BackDoor.IRC.Bot.518
• eSafe                    Win32.Injector.Fam
• eTrust-Vet          Win32/Buzus.MV
• Fortinet               W32/Injector.fam!tr
• GData                   Trojan.Buzus.HQ
• McAfee                 Artemis!08A6D3885A19
• McAfee Edition Win32.NewMalware.B
• Prevx                    High Risk Cloaked Malware
• Sophos                 Sus/UnkPack-C

Virusul http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip ca si “fratii lui” mai mici daca as putea spune asa isi creeaza doar un singur fisier si anume:

C:\Users\Public\wmpdt1.exe
C:\WINDOWS\system32\wmpdt1.exe

Ca si orice program creat, acest virus devine din ce in ce mai performant deoarece de data aceasta el pot spune ca a fost facut de un profesionist.

De ce zic asta?

Pai sincer m-am intalnit cu tot felul de virusi, dar sa inchizi toate procese si virusul sa ramana inca rezident in memorie atunci sigur aici e treaba de profesionist.

Din cate am observat o inalturare manuala in timp real nu prea se poate, iar virusul continuandu-si treaba rezident in memori. Acesta in primul rand deschide conexiuni catre diverse Ip-uri din internet ele fiind Italia si Germania de la care probabil asteapta raspunsuri sau comenzi.

De asemenea acest virus IMAGEN006.JPEG.zip sau wmpdt1.exe se transmite prin intermediul Yahoo Messenger-ului, dar in background sau pe romaneste in spate scaneaza reteaua in care va afla pe portul 445 pentru a exploata alte calculatoare.

Acest port 445 este folosit in general pentru file sharing, deci e posibil ca acesta sa se rapandeasca si prin folderele sharate cu permisiuni de scriere.

Tutorial devirusare IMAGEN006.JPEG.zip respectiv wmpdt1.exe

Chiar daca nu pot sa va dau o unealta de inlaturare in momentul de fata, acest virus se poate scoate manual foarte usor si fara prea mare bataie de cap:

Pentru inlaturarea virusului http://www3.mfotoblog.com/uploads/1346536/IMAGEN006.JPEG.zip mergeti in:

C:\Windows\system32

unde va trebui sa dati remove la orice permisiune pe virus si anume:

Daca nu vedeti fisierele ascunse atunci mergeti pe Tools sus in meniu Folder Options si bifati/debifati urmatoarele casute dupa cum urmeaza:

• Show Hidden Files and Folders
• Debifati Hide protected operating system files (Recomended)
• si jos de tot daca aveti Windows-ul in Engleza debifati Use simple File sharing (asta pentru a avea acces la permisiuni avansate pe fisiere/foldere)

Acum  mai mult ca sigur ca o sa vedeti fisierul sau mai bine zis virusul wmpdt1.exe. Dati click dreapta pe el si urmati pasii de mai jos:

1. Properties dupa ce ati dat click drepata pe wmpdt1.exe
2. Mergeti pe tab-ul Security (acesta apare doar daca debifati Use simple File sharing asa cum am zis mai sus)
3. Dati click pe butonul Advance
4. Debifati casuta de jos unde scrie: “Inherit from parent the permision entries that apply to chlid objects. Include this explicitly defined here.” si apoi mergeti pe butonul Remove.
5. Dati Ok respectiv Yes la toate ferestrele dupa care va trebui sa ii dati un restart la computer.

VIRUS IMAGEN006.JPEG_www.mfotoblog.com sau wmpdt1.exe

Dupa restart virusul nu va mai porni. Pentru inlaturarea definitiva a acestui virus v-as sfatui sa folositi un antivirus ca AVAST sau refaceti pasii de mai sus de la 1 la 5 dar in mod invers si apoi dati delete la fisierul wmpdt1.exe.