Virusul de tip image.php -Win32.Palevo- contraataca!

Virusul de tip image.php Win32.Palevo


Virusul de tip image.php (Win32.Palevo) circula pe Yahoo! Messenger de mai mult de o saptamana si se pare ca nu se va opri prea curand.
V-am prezentat instructiunile plus link-urile care circula si sunt distribuite ca mass-uri.

Pentru ca aceasta infectie continua, deoarece virusul creeaza si alte fisiere si lista de link-uri devenise prea lunga, voi crea un nou topic care va va tine la curent cu noutatile alaturi de metodele pentru devirusare.
Iata ultimele mesaje trimise:

fotooo ha http://photo-o5vip.com/image.php
fotooo ha http://www.facebook-style.com/image.php?=pic346436.JPG=
hahaha footo http://tinyurl.com/38bj2cp – nume fisier: ano.exe si descarca hxtp://82.114.87.46/a2re.jpg
http://hit-img.com/image.php
hahaha footo http://www.toplmages.com/image.php
foto: http://msearch-lmages.com/image.php
foto: http://save.infos-blog.net/photos/pic08052010-jpg.scr
foto: http://jbillu.net/image/IMG08052010-JPG.scr
foto: http://space4lamges.com/image.php

Odata accesat acest link primit pe messenger de la un contact din lista, vi se va oferi spre descarcare un fisier cu o denumire asemanatoare cu cea de mai jos:

IM56245.JPG-www.myspace.com.exe

Cei mai multi nu vor vedea extensia de la final .exe, deoarece Windows-ul vine setat by default sa nu afiseze extensia unui fisier. (Mare greseala dupa parerea mea)

Pentru a nu lungi vorba, iata cum puteti scapa de acest intrus:

Metoda 1: Descarcati Malwarebytes Anti-Malware.
Instalati-l si la sfarsit asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish
Dupa lansarea programului, selectati Perform quick scan (sau Full scan, dar dureaza mult mai mult) si apoi apasati pe Scan.
Dupa ce termina apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
La final va solicita restartarea PC-ului.

Metoda 2: Descarcati si rulati acest utilitar generic de curatare a virusului (multumesc Official):
http://www.faravirusi.com/utile/Remover_Palevo_Official__v5.zip

Metoda 3: Descarcati si rulati utilitarul BitDefender pentru Worm.P2P.Palevo.DP: http://www.bitdefender.ro/site/view/palevo-vierme-messenger.html
Este posibil sa nu functioneze pentru ultimele versiuni.

Metoda 4: Descarcati Kaspersky Removal Tool si scanati partitia C: cu el, stergand infectiile gasite.

Metoda 5:
Descarcati ComboFix si salvati-l pe Desktop.

Apoi asigurati-va ca ati inchis toate programele care ruleaza (Yahoo Messenger, MozilaFirefox, etc) si rulati ComboFix. Va va intreba daca sa inceapa sa curete sistemul. Confirmati cu Yes de fiecare data. Nu-l opriti in timp ce scaneaza si dezinfecteaza sistemul. E posibil ca in timpul rularii lui desktop-ul sa dispara, dar nu va ingrijorati.
La sfarsit va afisa rezultatele scanarii. Salvati acel fisier si trimiteti-mi continutul prin e-mail.

Pentru cei interesati de mai multe detalii, virusul creeaza urmatoarele fisiere:
%Windir%infocard.exe (acesta va fi si procesul activ; pot fi folosite si alte denumiri, cum ar fi net.exe sau net1.exe)
C:Program Filesinfocard.exe
%Windir%mds.sys
%Windir%mdt.sys
%Windir%mdll.dll
%Windir%wintybrd.jpg
%Windir%winbrd.jpg

De asemenea urmatoarele chei registry ii apartin:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftwareMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun [Firewall Administrating = „%Windir%infocard.exe”]

Prin aceste intrari in registry-ul Windows, virusul isi asigura rularea la fiecare pornire a computer-ului.

De asemenea descarca dupa rulare fisierul aflat la adresa:
http://82.114.87.46/a2re.jpg
si deschide automat pagina urmatoare in browser:

http://browseusers.myspace.com/Browse/Browse.aspx

Va initia o conexiune de tip IRC prezentata mai jos:

JOIN #jakarta test
MODE NEW-[USA|00|P|74133] -ix
PONG irc.priv8net.com
NICK NEW-[USA|00|P|74133]
USER XP-2877 * 0 :COMPUTERNAME

si va crea o conexiune de tip outbound si trafic pe portul 1234:

00000000 | 5041 5353 2078 7878 0D0A | PASS xxx..

Va incerca conexiuni la urmatoarele servere:

200.113.159.243 1234
204.0.5.40 80
204.0.5.42 80
204.0.5.43 80
204.0.5.50 80
208.71.123.131 80
216.178.38.168 80
63.135.80.58 80
63.135.86.21 80
63.135.86.25 80
64.210.61.208 80

si va descarca unele (sau o parte) din pozele urmatoare:

http://c1.ac-images.myspacecdn.com/images02/114/s_bad52a2352e847d1be9f540d0b2557fc.jpg

http://c1.ac-images.myspacecdn.com/images02/140/s_afb4236b40944f02b470c3bba1b4c6d8.jpg

http://c1.ac-images.myspacecdn.com/images02/128/s_2e54033bf4904bdd9a21d446f5bf1ffc.jpg

In plus, va dezactiva Automatic Updates din Windows.

SURSA ARTICOLULUI AICI

One thought on “Virusul de tip image.php -Win32.Palevo- contraataca!

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Top