Info: MSN-orm, hxxp://www.hi5-image.net/image.php

15 innlegg i emnet

Skrevet (endret)

MSN-melding med link:

foto?? ha ha hxxp://www.hi5-image.net/image.php?=min_mailadresse

Det som skjer er at du blir bedt om å laste ned, tilsynelatende, et bilde: Eks. DSC00020012009.jpg.exe

Hvis du lagrer fila, så vil man i de fleste tilfeller kun se filnavnet DSC00020012009.jpg fordi man ikke vanligvis ser vanlige filendelser som .exe Fila vil også ha et typisk 'bilde'-icon

----

Hvis du kjører fila, skjer følgende:

Følgende filer/registeroppføringer blir opprettet:

C:\WINDOWS\fxstaller.exe

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\YOUGOT~1.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center|fxstaller.exe

Pc kobles til et IRC-nettverk, sannsynligvis fungere som en zombie i et botnet

MSN sender meldinger til de du har i kontaktlista di.

HijackThis-logg vise følgende:

C:\WINDOWS\fxstaller.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

Det vil bli opprettet ei mappe/fil av typen:

C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\YOUGOT~1.EXE

(Denne fila startes av DSC00020012009.jpg.exe og setter hele prosessen i gang)

Info om fila DSC00020012009.jpg.exe

Filstørrelse: 102913 bytes

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

Microsoft: VirTool:Win32/CeeInject.gen!J

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

Det er få 'antivirus'-programmer som detekterer fila på nåværende tidspunkt. Noen av-prog gir en advarsel om at fila har "Hidden extension .EXE"

Info om fila YOUGOT~1.EXE

Filstørrelse: 48690 Bytes

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

Microsoft: VirTool:Win32/CeeInject.gen!J

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

Info om fila fxstaller.exe:

Fila blir opprettet av YOUGOT~1.EXE og legger seg i oppstarten slik at den kjører når windows starter.

Filstørrelse: 17176 bytes

Type infeksjon:

BitDefender: MemScan:Backdoor.RBot.YBJ

F-Secure: Trojan-Downloader.Win32.Agent.bfyq

Kaspersky: Trojan-Downloader.Win32.Agent.bfyq

Løsning:

Last ned Malwarebytes Anti-Malware til skrivebordet.

Kjør og installer programmet. Velg Norsk-språk

La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann.

Det kommer en meldingsboks om at scannen er ferdig, klikk Ok

Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet.

Det vil deretter åpnes en logg i notisblokk. Den kan du kopiere og poste.

Malwarebytes fjerner alle filer (unntatt selve nedlastingsfila) og registeroppføringer knyttet til denne infeksjonen.

Til slutt kan det være greit å kjøre registerrensen til CCleaner (sørg for at MUI Cache er avmerket)

Ang. ny variant MSN-orm II

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk for info ^_^

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takker.

En del venner som har begynt å få dette, så dette var til stor hjelp. Good work, norbat!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

en litt tips..

det kan bruk hosts også

gå inn C:\Windows\System32\drivers\etc og se etter en som heter hosts og lim kode inn

127.0.0.1 www.hi5-image.net

127.0.0.1 hi5-image.net

Endret av Spion2010
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Iriterende de greiene her, får vel ivertfal 5-6 meldinger av folk som sender virus hver dag.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Tusen takk snille gutta og jentene i Symantec, som har gitt oss det aldeles fortreffelige programmet Norton Antivirus....

:D

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja, Norton er utvilsomt et bra antivirusprogram, men dessverre har den ikke rullet ut definisjonen for å ta DSC00020012009.jpg.exe på nåværende tidspunkt

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Mye tyder på at domenet som er involvert i dette, er tatt ned. La oss håpe det forblir slik, sånn at ingen flere blir infisert med dette.

De som ER infisert bør fjerne dette da disse ormene har det med å laste ned annet malware (keyloggere etc).

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

I det hele tatt, hvorfår få sånne virus??? Ville skammet meg om jeg fikk et slikt virus overhodet, enten det skulle skylde seg feilklikk eller bare uhovelig sløvhet.. de fleste greier vel å lese slike linker å skjønne at det er snakk om bøff? hehe.. jaja.. bra dere rydder opp etter blondinene som måtte være så uheldig å trykke på disse linkene =p hehe! Å dessuten, hvis dere vil ha programmer som sinker systemet så er Norton perfekt =D

Endret av dixxy
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Problemet er vel ja, at når man får ting og tang tilsendt fra venner, så rekker man akkurat å klikke og kjøre før det slår en at det kanskje ikke var så lurt :)

[OT]Vet ikke hvilken Nortonutgave du sikter til, men 2009 versjonen er noe helt annet enn tidligere versjoner.[/OT]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Når det er flere ti-talls millioner mennesker som bruker MSN, hvorav x-antall millioner er mindre kyndige databrukere, er det ganske naivt å tro at alle folk klarer å skille mellom hva som er reelt og ikke.

De som har håndtert datamaskiner og vært på internett en god stund, skjønner bedre at enkelte ting er for godt til å være sant, og styrer unna..

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

hxxp://www.hi5-image.net/image.php?=min_mailadresse

men de kom med ny: hxxp://www.hi5-image.net/picture.php?=min_mailadresse

Edit: Norton kom med info om hi5-images.net

Edi2: se opp for hxxp://site.hi5-images.net/images.php?=min_mailadresse

Endret av Spion2010
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk for tipset Norbat. Synes nå at Microsoft må fokusere mer på dette emnet, alt for mange virus.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Til Microsoft sitt forsvar så bør det nevnes at de var blant de første som hadde oppdatert verktøy for denne infeksjonen, og det vil vel til sjuende og sist alltid være brukeren som må vurdere hva man ønsker å foreta seg bla. med tilsende linker/popup. Holder man i tillegg sine programmer oppdatert, er noe kritisk til 'gratisprogrammer' (hva sier jeg ja til når jeg innstallerer slike program) så burde ikke dette egentlig være så problematisk.

Siste oppdatering ang. hvilke av-program som detekterer DSC00020012009.JPG.EXE

File DSC00020012009.JPG.EXE received on 02.01.2009 23:03:49

a-squared 2009.02.01 Backdoor.Rbot!IK

AhnLab-V3 2009.02.01 -

AntiVir 2009.02.01 DR/Dldr.Agent.bfyq

Authentium 2009.02.01 -

Avast 2009.02.01 -

AVG 2009.02.01 Dropper.Generic.AGWU.dropper

BitDefender 2009.02.01 MemScan:Backdoor.RBot.YBJ

CAT-QuickHeal 2009.01.31 TrojanDropper.Agent.yyg

ClamAV 2009.02.01 -

Comodo 2009.02.01 -

DrWeb 2009.02.01 -

eSafe 2009.02.01 Win32.MemScanBackdoo

F-Prot 2009.02.01 -

F-Secure 2009.02.01 Trojan-Downloader.Win32.Agent.bfyq

Fortinet 2009.02.01 W32/Agent.BFYQ!tr.dldr

GData 2009.02.01 MemScan:Backdoor.RBot.YBJ

Ikarus 2009.02.01 Backdoor.Rbot

K7AntiVirus 2009.01.31 -

Kaspersky 2009.02.01 Trojan-Downloader.Win32.Agent.bfyq

McAfee 2009.02.01 -

Microsoft 2009.02.01 VirTool:Win32/CeeInject.gen!J

NOD32 2009.02.01 -

Norman 2009.01.31 -

nProtect 2009.01.30 MemScan:Backdoor.RBot.YBJ

Panda 2009.02.01 -

PCTools 2009.02.01 -

Prevx1 2009.02.01 Cloaked Malware

Rising 2009.02.01 -

SecureWeb 2009.02.01 Trojan.Dropper.Dldr.Agent.bfyq

Sophos 2009.02.01 -

Sunbelt 2009.01.16 -

Symantec 2009.02.01 -

TheHacker 2009.02.01 -

TrendMicro 2009.01.30 -

VBA32 2009.02.01 Backdoor.Win32.IRCBot.hpa

ViRobot 2009.01.31 -

VirusBuster 2009.02.01 Trojan.DR.Agent.Gen.15

Selv om ikke Norton har oppdatert definisjonen for denne fila, så får man nå et varsel om blokade av et inntregningsforsøk fra et nettsted som forsøker å kontakte fxstaller.exe-fila. Så det er ingen grunn til å bytte ut Norton om det er dette man har som av-prog. Antar noen av de andre av-prog. som heller ikke har definisjonen, gir melding om et eller annet suspekt :)

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Ang Microsoft så har de faktisk gjort hva de kan gjøre...

Dette sier IE om siden:

This website has been reported as unsafe

www.hi5-image.net

We recommend that you do not continue to this website.

(Go to my home page instead)

This website has been reported to Microsoft for containing threats to your computer that might reveal personal or financial information.

(More information)

This website has been reported to contain the following threats:

Malicious software threat: This site contains links to viruses or other software programs that can reveal personal information stored or typed on your computer to malicious persons.

(Learn more about phishing)

(Learn more about malicious software)

(Report that this site does not contain threats)

(Disregard and continue (not recommended))

For i heletatt å få gå inn på siden må du klikke deg forbi advarselen ved å klikke på "Vis mer"!

Endret av MrConn
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive