Cảnh báo về loại virus mới trên Yahoo! Messenger

iamgod · 1/5/10

Tình hình là có con này đang lây lan rất nhanh. Victim khi bị nhiễm sẽ tự động send toàn list yahoo tin nhắn với nội dung như sau:

foto hxxp://miggiphotos.com/image.php

Và, khi click vào thì...

yeah. exe

mai rảnh sẽ cài máy ảo làm chuột bạch xem rốt cuộc nó làm cái gì. just announcing

more updates:
các domain như miggiphotos, twitter-photos v.v đều đã bị suspend, thay vào đó là

Mã:

http://photo4urspace.com/image.php

and more, điểm chung là đều có /image.php

virus đã chính thức có biến thể mới, nhưng vẫn bị detect bởi các AV, như avast của mình hôm qua chưa detect đc thì hôm nay đã detect đc cả biến thể của nó
quy trình hoạt động (vắn tắt):
- victim click vào link bạn bè gửi, của sổ download file sẽ hiện ra. đó là theo như mình test ở Firefox 3, IE 7 và 8; còn không rõ ở IE 6 thì hacker có lợi dụng exploit gì đó để activate virus mà không cần qua hộp thoại download file hay không :-?

- file name sẽ có dạng IM93424.JPG-www.myspace.com
- sau khi run, nó sẽ drop 4 file sau vào folder \WINDOWS
+ infocard.exe (copy bản thân virus vào folder windows và rename)
+ mds.sys
+ mdt.sys
+ winbrd.jpg (chả hiểu nó là cái hình gì)

ở biến thể mới nhất thì nó còn drop vào \documents and settings\administrator
+ cluin.exe

registry: tạo khóa start-up : hkey_current_user\software\microsoft\windows\currentversion\run

Mã:

Firewall Administrating -> infocard.exe

kèm theo cluin.exe đã nói ở trên

tương tự với

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
thêm vào exception của windows firewall
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

mở trang web

http://browseusers.myspace.com/Browse/Browse.aspx -> sạch

fake keyboard + mouse activity để send toàn bộ list yahoo messenger 15~20 phút / lần với nội dung

Mã:

 foto :D [link to attacked site]

cách diệt: hiện tại phần lớn AV đã có thể xử lý con này, nếu muốn nhẹ nhàng có thể xài malwarebytes anti malware
còn nếu thích mày mò thì có thể tự diệt bằng cách xóa các file và registry key ở trên

haru_iosha · 1/5/10

a có bạn bên security cũng đang hỏi về con này, mình bảo tắt sys restore và scan full máy -> ko biết kq ra sao ?

Wittgenstein · 1/5/10

Hôm qua con bạn mới bị, giờ xong rồi.

Mã:

http://translate.google.com/translate?hl=en&sl=auto&tl=en&u=http%3A%2F%2Fdevirusare.com%2F2010%2F04%2F30%2Fyahoo-messenger-virus-httpzhelefun-comimage-php-si-httptviceimg-comimage-php%2F

Gucci_Vuittons · 1/5/10

cái này thằng bạn mình mới gửi,send toàn bộ yahoo lít :-w

làm tốn hơi đi xin lỗi :-<

mình quét bằng AVG thì diệt được

---------- Post added at 22:34 ---------- Previous post was at 22:31 ----------

cái này thằng bạn mình mới gửi,send toàn bộ yahoo list :-w

làm tốn hơi đi xin lỗi :-<

mình quét bằng AVG thì diệt được

kid2110 · 1/5/10

tưởng chương trình làm hình gì hay nhấn vào hên có IDM nó đỡ cho =))

MyGiss · 1/5/10

từ tối bị boom ym vì con này 8-}

tin cứ đến tới tấp 8-}

lần đầu thì ấn vào nhưng ra cái bảng IDM thì thôi luôn ;))

ZicZic · 1/5/10

thế là phải bật lại AV 24/24 rồi, hết cắm 3 acc Kiếm Thế.

ThePlea · 2/5/10

Thằng bạn bị mà sao mình chả thấy nó send gì cho mình... =))

Vinie'sMan · 2/5/10

Cũng may mà có idm =))

.
Mà trong list của mình cũng có mỗi 1 ng bị

Devide · 2/5/10

Chưa Bị!
Mai là Nick Mới nên Ít Add!

anti_intermilan · 2/5/10

thời nay còn có người "hồn nhiên vô tư" bấm vào link share qua Yahoo! à 8-}

halocompac · 2/5/10

Vừa bị hôm qua.

Con ** nó. Làm mình bị cả list chửi oan.

Nagano · 2/5/10

ta mới dính hồi sáng :((

Kiểu này teo rồi, chuẩn bị nghe tụi bạn rủa thôi :(

mayakesy · 2/5/10

Ơ thế tác hại có mỗi là send cả list thôi à :-??

May mình chưa dính

luckyluke113 · 2/5/10

Trình duyệt bây giờ đều hỏi trước khi download file .exe về , cần gì phải có IDM mới đỡ được. Mà download về rồi mình click vào thì nó mới cài -> Dính.

haru_iosha · 2/5/10

^ không chỉ send cả list mà còn send đều -> gây khó chịu, chứ send cả list không thôi thì thường quá.
#3 có nêu info của nó rồi mà.

NguyenQuyDuy · 2/5/10

con bạn tớ vừa bị, nó xóa Y!M đi và cài lại, thế là hết 8-}

soidenband · 2/5/10

Vừa thấy có thằng send cái link như này hxxp://lmages-space.com/image.php :))

. May mà gamevn luôn online 15/24 nên cập nhật thông tin nhanh

halocompac · 2/5/10

KiS chơi được thằng này. H hết rồi

Devide · 2/5/10

Cứ Tưởng Forum hay Cái Gì Có [URL""][/URL]
Yahoo Cũng Có Nữa!
Có Thời Toàn Là HotGirl Gì Nữa Đấy!

Cảnh báo về loại virus mới trên Yahoo! Messenger

Mayor of SimCity

Dragon Quest

C O N T R A

Mega Man

Moderator

T.E.T.Я.I.S

T.E.T.Я.I.S

Fire in the hole!

Fire in the hole!

T.E.T.Я.I.S

<blink><font color="Red"><b>Rossoneri</b></font>

Mr & Ms Pac-Man

C O N T R A

Dragon Quest

Mr & Ms Pac-Man

Dragon Quest

Mario & Luigi

Fire in the hole!

Mr & Ms Pac-Man

T.E.T.Я.I.S