Devirusare yahoo!.exe-www.afla-parola.tk Atentie ramaneti fara cont

Posted by Devirusare on Sep 17, 2010 in Devirusare, New |

Hello there! If you are new here, you might want to subscribe to the RSS feed for updates on this topic.

Un nou tip de spam incepe sa curga pe forumuri si pe Yahoo Messenger. Autorii pretind faptul ca soft-ul lor poate sa afle parola celorlalti din lista. Total gresit. In schmb multi il descarca si il ruleaza si constata un singur lucru: ei sunt cei care raman fara parola si cont.

Site-ul de pe care se promoveaza astfel de tehnici este:

http://yahoopass.ya.ohost.de/

http://afla-parola.tk/

iar fisierul descarcat este

http://yahoopass.ya.ohost.de/plug-in/new/create/show/passwor/yahoo!.exe

Spre surprinderea mea, detectia este 0/43 pe VirusTotal.com.

http://www.virustotal.com/file-scan/report.html?id=a208434f30bb9994baf103d4c9607cadc8df4fc057b0c5c9946e6cccd5

File name:
yahoo!.exe
Submission date:
2010-09-17 14:52:26 (UTC)
Current status:
finished
Result:
0 /43 (0.0%)

MD5 : 565c6b121c53df2f1adf1b70f5186cbf
SHA1 : df260870ba4d9b4abb73b8caaeb59af701eb7417
SHA256: a208434f30bb9994baf103d4c9607cadc8df4fc057b0c5c9946e6cccd594752c

Doar Norton Antivirus il vede cu ajutorul Sonar si il blocheaza.(posibil si alte produse).

Fisierul a fost trimis la analiza la toti producatorii.

Devirusare automata:

Descarcati Dr.Web CureIT. Se va descarca un fisier cu nume random pentru a nu fi recunoscut/inchis de virus.

Dublu click pe el si apasati “Start” pentru a scana PC-ul.

Stergeti infectiile gasite.

Descarcati Malwarebytes Anti-Malware 1.46.

Instalati programul si la sfarsit asigurati-va ca ati bifat urmatoarele:

Update Malwarebytes’ Anti-Malware

Launch Malwarebytes’ Anti-Malware

Apasati Finish.

Dupa lansarea programului, selectati Perform full scan si apasati pe Scan.

Dupa ce termina click pe OK si apoi pe Show Results.

Asigurati-va ca e totul bifat si apoi click pe Remove Selected.

malwarebytes 1.46

2 Responses to “Devirusare yahoo!.exe-www.afla-parola.tk Atentie ramaneti fara cont”

Vektor says:
20/09/2010 at 10:15

Programul este un password stealer care trimite log-urile la http://ftp.yahoopass.ya.ohost.de , folosind user “yahoo****” parola “parola***” , directorul /logs/ . Daca intri pe ftp poti sterge toate fisierele care tin de site inclusiv yahoo!.exe.
Troianul instaleaza si un keylogger in %systemroot%\install\kglil.exe care incearca sa se conecteze la una din urmatoarele adrese: mckfr.zapto.org:3460 , mckfr.zapto.org:81 , mckfr.zapto.org:999 (79.115.80.143) user: “remo**” password: “muha**5″ ).
Devirusare says:
20/09/2010 at 11:03

Esti bun