Palevo - Noul virus transmis pe Yahoo! Messenger - DEZINFECTIE

Versiuni ale virusului gasite de noi:

• MD5: 679916cf4648cb59a2c2a57a6f58910c
  
• MD5: 4a8059a95f6147967cb9ebb294a8bcda
  
• MD5: 38dcbf09ac7c3ab86d764d43d4e3c7c3
  
• MD5: d346f41a399553e4d0d5d168f1b81d5b
  
• MD5: 978e62ffbf8d66eb9f739b4e0c9858ca
  
• MD5: 528d863897729669b4e62bdd7e38f52c
  
• MD5: 2477f583f04a109485f7728da367a635
  
• MD5: 3e5f638a208f74fa24ac2b566c9af88f
  
• MD5: f03570f79337b9820d86b131eb1c8b86
  
• MD5: b45cd530f1bf4d9bb389514f756bca76
  
• MD5: f4ec8c9d9a2adc83a260989a160a4291
  
• MD5: 946b5ac58f0583f6a48b23da877ff830
  
• MD5: 91009117404865ea9e05d309155b704c
  
• MD5: cc6f5c421686fc1f992ca7fad9812c37
  
• MD5: 136b29e988545584c42f505ec0114e88
  
• MD5: 82aaf880b39bcc169193b79f4d7ee571
  
• MD5: 58a3bb46f38478217177400189031e7b
  
• MD5: e9e9f65e1b0364907a4195de87d743ba

Daca primiti link-uri asemanatoare celor de mai jos, NU dati click!

• fotooo ha hxxp://tinyur l.com/image-viewer-facebook-jpg
  
• fotooo ha hxxp://flacebuckets.com/image.php?=pic458973.JPG=
  
• fotooo ha htxp://hi5bucket.com/image.php?=pic458973.JPG=
  
• fotooo ha hxxp://flacelooks.com/image.php?=pic458973.JPG=
  
• foto : hxxp://www.onlinefotospace.com/image.php?=pic979834.JPG=
  
• foto : hxxp://onlinefotospace.com/image.php
  
• foto : hxxp://orkut-photos.net/image.php
  
• foto : hxxp://msspace-lmages.com/image.php?=pic458973.JPG=
  
• foto : hxxp://msspace-lmages.com/image.php
  
• foto : hxxp://tinyur l.com/facebok-logo2
  
• foto : hxxp://www.hi5-photoss.com/photos.php
  
• foto : hxxp://photo-o5vip.com/image.php
  
• foto : hxxp://www.viptabor-space.com/image.php
  
• foto : hxxp://facebook-style.com/image.php?=pic346436.JPG=
  
• foto : hxxp://facebook-style.com/image.php
  
• foto : hxxp://82.114.87.46/a2re.jpg
  
• foto : hxxp://tinyur l.com/38bj2cp
  
• foto : hxxp://205.234.171.116/suspended.page/ano.exe
  
• foto : hxxp://hit-img.com/image.php
  
• foto : hxxp://toplmages.com/image.php
  
• foto : hxxp://photobook-img.com/photos.php?=PIC435832435.JPG
  
• foto : hxxp://photobook-img.com/photos.php
  
• foto : hxxp://msearch-lmages.com/image.php
  
• foto : hxxp://save.infos-blog.net/photos/pic08052010-jpg.scr
  
• foto : hxxp://jbillu.net/image/IMG08052010-JPG.scr
  
• foto : hxxp://flacelbook-img.com/photos.php
  
• foto : hxxp://lmg001.com/getimage.php
  
• foto : hxxp://myspacee-img.com/ugetimage.php
  
• foto : hxxp://forestphotos.net/getimage.php
  
• foto : hxxp://flaceboolk-img.com/image.php
  
• foto : hxxp://spacelmagesfor.com/getimage.php
  
• foto : hxxp://myspacee-img.com/getimage.php
  
• foto : hxxp://fotolmg.com/getimage.php
  
• foto : hxxp://easyuploadphoto.com/getimage.php
  
• foto : hxxp://onlinelmages.com/getimage.php
  
• foto : hxxp://emoticlmages.com/getimage.php
  
• foto : hxxp://lmages4vip.com/image.php
  
• foto : hxxp://lmages1.com/image.php
  
• foto : hxxp://myspace-lmg.com/image.php
  
• foto : hxxp://cubaslmages.com/image.php
  
• foto : hxxp://i.phatobuckats.com/image.php
  
• foto : hxxp://urlmages.com/image.php
  
• foto : hxxp://photos4vpspace.com/image.php
  
• foto : hxxp://ficasebokse.com/image.php
  
• foto : hxxp://walletimages.com/image.php
  
• foto : hxxp://discophotos.net/image.php
  
• foto : hxxp://viplmages.com/image.php
  
• foto : hxxp://phlmages.com/image.php
  
• foto : hxxp://imsn-lmages.com/image.php
  
• foto : hxxp://space4l.com/image.php
  
• foto : hxxp://dlmages.com/image.php
  
• foto : hxxp://bflmages.com/image.php
  
• foto : hxxp://photo4urspace.com/image.php
  
• foto : hxxp://joblin.co.nz/image.php
  
• foto : hxxp://memorylmages.com/image.php
  
• foto : hxxp://wallerimages.com/image.php
  
• foto : hxxp://mbi-photos.com/image.php
  
• foto : hxxp://keralawebhosting.biz/image.php
  
• foto : hxxp:///lmagesspot.com/image.php
  
• foto : hxxp://foto-spaces.com/image.php
  
• foto : hxxp://photos-fb.com/image.php
  
• foto : hxxp://lmages-space.com/image.php
  
• foto : hxxp://myspace-lmg.com/image.php
  
• foto : hxxp://enfinito.net/image.php
  
• foto : hxxp://lmagesbucket.com/image.php
  
• foto : hxxp://margaretiamges.com/image.php
  
• foto : hxxp://facebook-lmg.com/image.php
  
• foto : hxxp://beautyphotoson.com/image.php
  
• foto : hxxp://myspace-lmages.com/image.php
  
• foto : hxxp://lmages.net/image.php
  
• foto : hxxp://myspace-imb.biz/image.php
  
• foto : hxxp://lmb-space.com/image.php
  
• foto : hxxp://facebook-lmages.com/image.php
  
• foto : hxxp://facebook-imb.com/image.php
  
• foto : hxxp://yungimages.net/image.php
  
• foto : hxxp://mimapic.com/image.php
  
• foto : hxxp://domimages.net/image.php
  
• foto : hxxp://post-photos.com/image.php
  
• foto : hxxp://kompnk.com/image.php
  
• foto : hxxp://domeimg.com/image.php
  
• foto : hxxp://vertiphotos.com/image.php
  
• foto : hxxp://myphotoarchives.net/image.php
  
• foto : hxxp://tvicephotos.com/image.php
  
• foto : hxxp://mycomimg.com/image.php
  
• foto : hxxp://smallimg4u.com/image.php
  
• foto : hxxp://miggiphotos.com/image.php
  
• foto : hxxp://funwiththisguy.com/image.php
  
• foto : hxxp://zhelefun.com/image.php
  
• foto : hxxp://tviceimg.com/image.php
  
• foto : hxxp://ariafotos.com/image.php
  
• foto : hxxp://tusfbfotos.com/image.php
  
• foto : hxxp://twittersphoto.com/image.php
  
• foto : hxxp://tuesimages.com/image.php
  
• foto : hxxp://red-myspace.com/image.php
  
• foto : hxxp://yunphotos.net/image.php
  
• foto : hxxp://limpskr.com/image.php
  
• foto : hxxp://mycomimg.com/image.php
  
• foto : hxxp://ceceliaimg.com/image.php
  
• foto : hxxp://o.w.ly/2752E?=http://www.facebook.com/photo.php
  
• foto : hxxp://o.w.ly/26x6I?=http://www.facebook.com/photo.php
  
• foto : hxxp://205.234.161.140/n11975310_09.JPG-www.facebook.exe
  
• foto : hxxp://o.w.ly/23U3V?=http://facebook.com/photo.php
  
• foto : hxxp://julietgardiner.com/photo.php

DEZINFECTIE AUTOMATA (recomandata):

Descarcati si rulati Palevo Removal.

http://download.bitd...levo.Gen-EN.zip

Il gasiti si atasat aici:

 Anti_Worm.Palevo.Gen_EN.zip   194.08K   288 downloads

Daca problema nu se rezolva, urmati pasii de mai jos.



• Descarcati Malwarebytes' Anti-Malware si instalati-l.
  
• Asigurati-va ca este actualizat (Update -> Check for Updates), scoateti cablul de Internet si opriti protectia real-time (scutul) a antivirus-ului instalat pe PC.
   3.png   115.67K   380 downloads
  
• Scanati full (Perform full scan -> Scan).
   4.png   96.82K   244 downloads
  
• La terminarea scanarii apasati OK, apoi Show Results.
   5.png   11.86K   186 downloads
  
• Asigurati-va ca totul este bifat si apasati Remove Selected.
   6.png   132.49K   298 downloads
  
• Vă va cere restart. Apasati Yes!
   7.png   12.82K   149 downloads

DEZINFECTIE MANUALA:

Stergeti fisierele:

• C:\<random>\infocard.exe
  
• C:\<random>\mds.sys
  
• C:\<random>\mdt.sys
  
• C:\<random>\winbrd.jpg
  
• C:\<random>\<random>\secupdat.dat
  
• C:\Documents and Settings SAU Users\<USER>\jjf.exe (random)

Rulati cleaner.reg dupa dezarhivare:

•  cleaner.rar   319bytes   240 downloads

Stergeti urmatoarele intrari in registru:

• [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "<<random>>"="C:\\WINDOWS\\infocard.exe:*:Enabled:Firewall Administrating"
  
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "<<random>>"="C:\\WINDOWS\\infocard.exe:*:Enabled:Firewall Administrating"
  
• [HKEY_USERS\<<random>>\Software\Microsoft\Windows\CurrentVersion\Run]
  "Firewall Administrating"="C:\\WINDOWS\\infocard.exe"

NOTA: <<random>> reprezinta adresa la care a fost rulat fisierul (virusul), iar <<random>> este cod generat de fiecare sistem. Folositi functia Find (Edit -> Find...) din Registry Editor pentru a viza toate intrarile.




In cazul in care intampinati probleme, deschideti cate un topic mai jos. Aici se primesc doar sugestii, 'reclamatii' si intrebari. Mentionati daca dezinfectia s-a efectuat cu succes.

Edited by crysty2k5, 05 July 2010 - 20:24.
update

Două mici chestii merită precizate: aseară m-am chinuit destul de mult să scot niște bazaconii dintr-astea. Sunt destul de sigur că infecția nu se rezumă la 4 fișiere de șters și 4 valori din regiștrii.

Pe unul din sisteme am scos vreo 3 driveri, procese ascunse, imagini redirectate (printre care regedit, cmd, msconfig și regedt32), autorun în partiții, și cu svchost.exe injectat până în măduva oaselor. După câteva ore de stat cu gmer și Rootkit Unhooker în față, tot mi-a mai rămas ceva de scos pe azi sau mâine pe acel sistem.

Poate că infecția originală se rezumă la acele 4 fișiere, și nu e nici exclus ca unele dintre infecțiile găsite acolo să fi fost anterioare infectării cu prostia asta. Însă unii antiviruși (cum ar fi COMODO) detectează acest malware ca Palevoși, din câte știu, ăsta e păcătos rău și infectează sistemul cu mai multe prostii, nu numai cu 4 executabile.


Și lucrul 2: nu știu cine a făcut fișierul REG atașat în primul post, dar ultima chestie din REG; referitoare la HKEY_USERS e absolut inutilă. Codul userului este generat automat pe fiecare sistem diferit. Deci este inutilă încercarea de a automatiza ștergerea unei chei din HKEY_USERS.

Edited by alexcrist, 01 May 2010 - 08:36.

OK. Eu am facut acel .reg. O sa sterg intrarea, ma gandeam eu ca ala e cod generat diferit, dar na...

Edited by JulotM, 01 May 2010 - 08:37.

Eu tot am trimis mail-uri la companii cu link-uri si samples.

Vad ca sunt detectate de cativa.


LE: A mai aparut o versiune.

Edited by crysty2k5, 01 May 2010 - 09:25.

foto : hxxp://smallimg4u.com/image.php
asta am primit-o azi dimineata

Edited by JulotM, 01 May 2010 - 10:37.

Multumim

Detectie 3/40:

https://www.virustot...e5d5-1272686549

Edited by crysty2k5, 01 May 2010 - 10:51.

Avast m-a lasat sa il descarc si sa il pun! Am vazut ce antivirus bun e!

Da, așa e. Avast sucks pentru că nu vede un virus (sau o versiune a lui) apărut în ultimele 24 de ore în vreo 10 variante (poate mai multe).

Oh, am menționat că mai nimeni nu-i detectează?

Eu am tot trimis, dar nu primesc raspunsuri:

Daca aveti si voi samples, aveti aici toate adresele de email:

http://forum.softped...howtopic=646904

Crysty, stai tu calm că nu se cam înghesuie nimeni să-i semneze individual. Omuleții așteaptă să primească suficiente sampleuri încât să poată face o detecțe generică pe ele. E mai eficient așa.

LOL. Nu e mai simplu sa ii semnezi separat si apoi modifici in generic ?

Mai bine lasi userii curiosi sa se infecteze si apoi actionezi....minuntat.

Avira face si el nani, nu il vede.

Suntem in weekend si astia nu lucreaza intens.

Nu e o scuza

MalwareBytes cum le-a semnat ?

Edited by crysty2k5, 01 May 2010 - 12:52.

Corect. Ce daca e free isi bate joc de user. MBAM, care nu de fapt nu e un av, e mai mult un scanner il semneaza, si ditamai Avira, nu. Rusine!

Eu le-am trimis si la Avira si la Avast

Eu ma rad de colegii mei de pe Messenger    Ii intrebam..\"si ai descarcati chestia aia "?.....Da....Si cum iti merge calcu....super, merge greu ..se inchide mesu

Si ce e asa de ras ?