Hackpedia -Ethical hacking and programming community
http://hackpedia.info/

Nou virus in libertate : se propaga prin y! im
http://hackpedia.info/viewtopic.php?f=20&t=12986		 Page 1 of 1
Author:  begood [ Tue Nov 24, 2009 2:04 am ]
Post subject:  Nou virus in libertate : se propaga prin y! im
Rezumat :
Din cate observ, cauta valoarea ETS din registrii => iti fura tokenul de autentificare pentru a se putea loga pe contul tau yahoo.com.

Virustotal. MD5: 975b3b8757223713adf2872481dbb291 Heuristic.Malware HEUR/Malware W32/Banload.E.gen!Eldorado

ThreatExpert Report: Possible_Virus

* The following files were created in the system:

# Filename(s) File Size File Hash Alias
1 %System%\libeay32.dll 1,028,096 bytes MD5: 0xDB003F88A9A7498DD0999214CA4304EB
SHA-1: 0x28660092D1D8B9DCC288DF2EEA1CD437D2307E2E (not available)
2 [file and pathname of the sample #1] 2,910,208 bytes MD5: 0x975B3B8757223713ADF2872481DBB291
SHA-1: 0x9B2462D23E007DD301A7B8D2373583FED9BF6004 (not available)
3 %System%\ssleay32.dll 200,704 bytes MD5: 0x1D77A023F3EA2B9442D2C34B8B607E37
SHA-1: 0x9E41DCF7F8E42FF146ABE5BC614BFF9129C70229 (not available)
4 %System%\YahooAuth2.dll 551,424 bytes MD5: 0xBE6E3784CEE3F7DECE23ED9D4DE5B4A2
SHA-1: 0xCD5BB8DC1736564F4D799D30766E9EA1284892B8 (not available)
5 %System%\yahooui.exe 644,608 bytes MD5: 0x7DA80FF7E6FA6824C10A0052C5FFFB20
SHA-1: 0xA916FA03A6D0A7B6BF489A81088262BDEF780EDC Possible_Virus [Trend Micro]

Vreti sa-l analizati ?
Code:
http://romanisme2009.blogspot.com/


Iti cere sa instalezi un addon pentru browser (divix.exe) "cica" pentru a vedea un filmulet.
Iar asa te duce pe filebox, (nu mai stiu exact locatia, n-am timp acum de analiza).

LE:
discutie cica:
prieten (infectat): o cunosti? hxxp://romanisme2009.blogspot.com/ :)))
eu: hopa
prieten (infectat): brb
eu: virus
eu: sau un idiot care s-a logat pe idul asta

Hide Recent Messages (F3)

prieten (infectat): sa intrii sa imi zici ce parere ai ca sigur recunosti personaju

LE2 : cred ca sunt primul care a prins (aceasta(?)) versiune de trojan in libertate. (nu era analizat pe virustotal nici pe threatexpert)

LE3 : doar pentru SEO.
libeay32.dll 1,028,096 bytes MD5: DB003F88A9A7498DD0999214CA4304EB
SHA-1: 28660092D1D8B9DCC288DF2EEA1CD437D2307E2E
libeay32.dll 2,910,208 bytes MD5: 975B3B8757223713ADF2872481DBB291
SHA-1: 9B2462D23E007DD301A7B8D2373583FED9BF6004
ssleay32.dll 200,704 bytes MD5: 1D77A023F3EA2B9442D2C34B8B607E37
SHA-1: 9E41DCF7F8E42FF146ABE5BC614BFF9129C70229 (not available)
YahooAuth2.dll 551,424 bytes MD5: BE6E3784CEE3F7DECE23ED9D4DE5B4A2
SHA-1: CD5BB8DC1736564F4D799D30766E9EA1284892B8
yahooui.exe 644,608 bytes MD5: 7DA80FF7E6FA6824C10A0052C5FFFB20
SHA-1: A916FA03A6D0A7B6BF489A81088262BDEF780EDC Possible_Virus [Trend Micro]
Author:  DetoX [ Tue Nov 24, 2009 11:04 am ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Si cu e asta mai special ca zecile de virusi de tipul asta care circula pe Y!M?
Author:  Andrewboy [ Tue Nov 24, 2009 3:36 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Nu e detectabil inca,sau nu de cine trebuie.
Author:  rimagheo [ Tue Nov 24, 2009 5:44 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Chiar zilele trecute, nu mai stiu ce cautam pe net, si la un moment dat mi-a aparut optiunea sa instalez divix.exe pt a putea viziona nu stiu ce balarie. Suspectand ca nu e tocmai lucru curat, bineinteles ca nu am dat accept si am trecut mai departe. Niciodata cand sunt invitat de browser sa instalez vreun plugin nu o fac cu linkul recomadat acolo. Caut pe pagina producatorul si-l instalez. Asa sa faceti si voi...
Author:  professional.NooB [ Fri Nov 27, 2009 1:22 am ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Sunt mai multe. Cu hahaha MIchael jackson Gay sau super bataie inre fete, o stiti? dar se scot usor,

E ciudat ca daca primesti mesajul si ii spui ceva in casuta care s-a deschis, acea persoana nu vede ca ai scris ceva :rolleyes:
Author:  Cracknel [ Fri Nov 27, 2009 8:47 am ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
@Andrewboy E detectabil ca a venit sora-mea la mine sa-mi arate minunatia :)) Cel putin NOD32 l-a vazut.
@DetoX Virusul asta e special pentru ca vorbeste cu tine. A aparut si pe site-ul celor de la CHIP un articol.

Mai raportati si voi site-urile de genul asta + fisierele care sunt puse pe site-uri de filesharing.
Author:  cRizatu [ Mon Nov 30, 2009 8:11 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
asta pana la urma afla doar parola de yahoo messenger sau sta in calculatorul tau si iti afla parolele de pe orice site care te loghezi?youtube/trackere/forumuri/jocuri etc?daca e doar pentru parola la mess. nu e mare lucru :)
Author:  bcman [ Wed Dec 02, 2009 12:42 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Exista doua versiuni una mai "veche" cu care ai avut ghinion sa te intalnesti descrisa aici si aici plus o versiune noua deoarece blogul celelalt a fost sters si s-a facut unul nou descris aici. Cel mai bine si chiar primii care aveau dezinfectie au fost kasperski.

LE:Scuzati folosirea de "aici" dar nu vroiam sa umplu postul cu linkuri prea lungi
Author:  punzzer [ Wed Dec 02, 2009 9:49 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
cine ma ajuta si pe mine....am o intrebare am in task manager winsys.exe.....si am gasit pe net k ar fi "winsys32.exe is a process which is registered as a trojan.\r "This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data.\r" This process is a security risk and should be removed from your system.\r " este adevarat ce zic astia aici? si dak da imi spuneti va rog cum as putea sa scap de el.....? ma scuzati dak nam postat unde trebe .....
Author:  bcman [ Thu Dec 03, 2009 12:48 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Nu ai postat deloc unde trebuie.Dar te ajut.Acel proces chiar e un virus, dar nu downloada toate programele idioate de pe net si fa cum spun eu.Dar e recomandata si o scanare cu un antispyware bun.Inainte sa incepi fa mai bine un back-up la sistem

1.Da un Search la winsys si vezi ce gasesti.Virusul ar trebui sa fie in XP prin C:\Windows\System32.Nu-l sterge.copiaza doar locatia deoarece o vom folosi la punctul 3.

2.In regisrty il gasesti in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run si in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run.Asta il face sa porneasca la bootare

3.Deschide task managerul si opreste procesul.

4.Du-te acolo unde ai gasit virusul si dai Folder Options -> View-> Show Hidden files and folders.Sterge-l.Acest pas cel mai bine il faci in cmd.Start->cmd->locatia /A numele_folderului (ex.C:\Spyware-folder adica fisierul in care e spyware-ul)->del numele_fisierului (virusului) sau ca sa stergi tot folder-ul rmdir /S numele_folderului.

Ai grija tot cea mai buna varianta e un spyware bun.Dar nu ce gasesti legat de virusul asta pe net, deoarece cam toate nu sterg doar scaneaza.E bun spyware terminator sau spyware doctor saukasperski removal tool.
Sper ca ti-am fost de ajutor.Nu uita daca faci metoda manuala fa un back-up inainte sau un restore point.Poti folosi si tutoriale de pe net dar nu si acele programe cum ar fi RegistryBooster.

Sursa: http://www.spywareremove.com/removewinsysexe.html si http://www.file.net/process/winsys32.exe.html

LE:daca mai ai probleme cu procese dubioase ia-ti Ultimate Process Killer care da si informatii despre proces sau intra pe http://www.processlibrary.com

LE2:daca te intereseaza ce nume poate avea si ce poate face winsys32 intra pe http://www.threatexpert.com/files/winsys32.exe.html
Author:  punzzer [ Thu Dec 03, 2009 11:25 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
mersi de ajutor, eu am sters exe ala k ma enerva.....am instalat de la kaspersky, avast, avira, bitdifender si nod32....si niciun ativirus dinasta nu mi la detectat ca virus....ceea ce ma enervat si facut sa ajung la concluzia ka sar putea sa am si alti virusi de care eu nam habar......o singura intrebare am......dak reinstalez windowsu exista riscu ka vrun astfel de virus sa fie ascuns printr-un alt fisier de pe o alta partitie? folosesc windowa 7........
Author:  alcol [ Fri Dec 04, 2009 8:32 am ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
punzzer wrote:
mersi de ajutor, eu am sters exe ala k ma enerva.....am instalat de la kaspersky, avast, avira, bitdifender si nod32....si niciun ativirus dinasta nu mi la detectat ca virus....ceea ce ma enervat si facut sa ajung la concluzia ka sar putea sa am si alti virusi de care eu nam habar......o singura intrebare am......dak reinstalez windowsu exista riscu ka vrun astfel de virus sa fie ascuns printr-un alt fisier de pe o alta partitie? folosesc windowa 7........

Pai depinde de virus..unii se pot "plimba" prin tot pc-u` ,altii nu....Daca vrei sa-l formatezi..da-i drumul si dupa aceea vei afla daca erau doar in c sau si in alte partitii(se vor vedea efectle daca sunt in D,E..etc)
Author:  punzzer [ Fri Dec 04, 2009 8:42 am ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
poi si de unde sa stiu eu dak sunt sau nu virusi odata ce niciun antivirus nu e capabil sa-i detecteze?
Author:  begood [ Fri Dec 04, 2009 12:38 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Cine da un split la acest topic de unde incepe offtopicul ?
Author:  rimagheo [ Fri Dec 04, 2009 12:38 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
punzzer wrote:
poi si de unde sa stiu eu dak sunt sau nu virusi odata ce niciun antivirus nu e capabil sa-i detecteze?

...dupa actiunile sale. Daca ai un firewall pe care-l cunosti foarte bine si l-ai setat corespunzator, acesta te averizeaza ca respectivul exe incearca sa se conecteze nu stiu unde. Apoi intri in actiune cu niste utilitare; TCP/IP View, process Explorer sau, cel mai bun, Ice Sword. Nu mai intru in detalii...
PS: Intodeauna cand nu aveti incredere intr-un executabil, rulati-l in SandBoxie.
Virusul cu pricina este detectat.
Author:  punzzer [ Fri Dec 04, 2009 3:45 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
ce parere aveti de eset smart security? lam avut instalat acuma vreo 2 ani..dar ma enerva firewall...dar se pare k nu stiam ce e bun.... :"> ..si imi cer scuze pt offtopic
Author:  alcol [ Fri Dec 04, 2009 3:48 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
punzzer wrote:
ce parere aveti de eset smart security? lam avut instalat acuma vreo 2 ani..dar ma enerva firewall...dar se pare k nu stiam ce e bun.... :"> ..si imi cer scuze pt offtopic


Daca ai resurse destule iti recomand Kaspersky,daca ai 1 gb ram(maxim)..E bun si Eset Smart Security..Daca chiar vrei ceva bun iti recomand Avira Premium Security Suite .E pe net o chestie (gen Bitdefender) iti da 3 luni de licenta gratuita..L-am avut si yo..are si firewall inclus si pot spune ca am fost foarte multumit de el ..Dar pot spune ca sunt multumit si de AVG... :)
Author:  MyT42XxX [ Fri Dec 04, 2009 3:50 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Mai bine pui Eset Nod32 (care este FARA firewall) si instalezi tu un firewall separat. In nici un caz sa nu-l folosesti pe cel de la windows :|
Firewall-ul de la Eset nu este prea bun, si este complicat/greu de setat.
Author:  punzzer [ Fri Dec 04, 2009 5:58 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
dak n-ati citit ce am scris mai sus...va mai zic odata...am instalat de la kaspersky, avira, ..bitdifender..nod32....avast...si na detectat niciunu acest virus....
Author:  rimagheo [ Fri Dec 04, 2009 7:50 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
punzzer wrote:
dak n-ati citit ce am scris mai sus...va mai zic odata...am instalat de la kaspersky, avira, ..bitdifender..nod32....avast...si na detectat niciunu acest virus....

Am citit, nu suntem chiori... dar am considerat ca atunci cand ai scris nu era inca recunoscut de antivirusul tau - desi ma indoiesc. Probabil ca ai uitat sa ii faci update...
Ca sa te convingi daca iti detecteaza sau nu virusul, da clik si descarca-l de aici: http://dl.fisier.ro/files/fdihmj3mf84ca2r/divix2.exe.html ATENTIE! VIRUS! NU-L RULATI IN NICIUN CAZ DUPA DOWNLOAD! Daca nu sti sa umblati cu "focul", recomand sa ignorati postul meu de aici. Nu da-ti clik si nu descarcati nimic.
Daca Antivirusul tau te avertizeaza si interzice downloadul, inseamna ca este OK. Antivirusul isi face treaba. Daca nu, ori nu ai virusul cu pricina ori ai alte probleme - incusiv de exprimare.

PS: Dupa ce ati downloadat virusul de pe linkul de mai sus si antivirusul dvs nu a anuntat nimic, recomand stergerea lui imediata fara a fi rulat.
Si in ultimul rand, nu mai faceti offtopic despre firewall-uri ,etc...
Author:  punzzer [ Fri Dec 04, 2009 8:53 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
nam nicio problema de exprimare..crezi k mie imi arde de misto? sa te trezesti si tu ca mine cu un virus si sa te miri ca prostu de ce nu til detecteaza nici-un antivirus....sa bagi si sa scoti antivirusi din calculator.......si tot sa nu rezolvi nimik.....si atunci poate o sa intelegi la ce mam referit eu...in fine ..in legatura cu virusu care lai postat tu...o sa-l descarc duminica seara k atunci ajung la calculatoru meu si o sa postez pe forum aici dak mi la detectat antivirusu sau nu.
Author:  dranaxum [ Sat Dec 05, 2009 8:53 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
Se poate sterge virusul manual.
A scris temp despre asta aici: http://rstcenter.com/forum/117474-post17.html
Author:  punzzer [ Tue Dec 08, 2009 10:13 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
rimagheo , am descarcat virusu pus de tine si Norton Internet Security 2010 v17.0.0.136 mi la detectat ca virus :D ; deci pentru o perioada o sa las norton .....am luat la rand cam toti antivirusi :)...si oricum eu nu ma refeream la virusu din titlu acestui topic.
Author:  begood [ Tue Dec 08, 2009 11:08 pm ]
Post subject:  Re: Nou virus in libertate : se propaga prin y! im
TROLLS, stop spamming my topic !

Dati split la acest topic va rog ! de unde incepe offtopicul.
Page 1 of 1 All times are UTC + 3 hours
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/