RAPORTEAZA un virus!

S-ar putea sa fie un nou virus care se ia prin YM. Am primit un buzz de la un tovaras, dupa care urmatorul mesaj:

Sergiu: Hey, how are you. Just wanted to let you know about these new supplements I tried. I lost 12 pounds in just a week and a half. Best thing, it only cost me $5. Check it out here: http://keptlea*.*

Nu stiu exact ce e, dar am zis ca il raportez aici  

//Edit: Am editat linkul pt ca am inteles ca nu e voie sa postez un astfel de link care poate fi daunator. Voiam doar sa anunt  

Editat de forevertoday, 03 martie 2009 - 15:10.

'forevertoday' nu ai voie sa postezi link-uri care pot fi daunatoare in nicio parte a acestui forum,exceptie doar prin PM cand ti se cere express.

http://www.faravirus...messenger-spam/

Eu un virus ce pare ca doar face spam pe messenger. Am verificat si eu toate linkurile si momentan toate arata doar produse de slabit pe site-uri(de fapt e un singur template de site pe 10000000 de domenii)

Editat de crysty2k5, 03 martie 2009 - 19:02.

Am primit și eu mai demult (acum câteva săptămâni, poate chiar mai mult), de la un coleg, un mesaj de genul ăsta. Am verificat site-ul și părea curat (cu excepția faptului că era SPAM).

Mă face să cred că există totuși o metodă de a trimite mesaje SPAM pe YM. Poate că există pe undeva vreo vulnerabilitate în protocol (ar fi culmea să nu existe ) care se poate exploata astfel încât să se poată trimite mesaje în numele cuiva, fără a avea acces fizic la contul respectiv (exact la fel cum se pot falsifica header-ele unui email, ca să pară că vine de la altcineva).

Editat de alexcrist, 03 martie 2009 - 21:34.

alexcrist, on Mar 3 2009, 21:33, said:

Si totusi persoana care trimite este online, chiar daca ea are Pc-ul inchis.

Am descoperit cauza. Este vorba de .dll-ul libexpat.dll

Daca ati primit mass-urile de la vreo persoana spuneti-i sa va trimita acest fisier.
Apoi puneti-l intr-o arhiva cu parola si trimiteti-mi-l in PM.

Unde se află DLL-ul? Și cine îl încarcă?

Scuze... dll-ul se afla aici: C:\Program Files\Yahoo!\Messenger\libexpat.dll
Nu stiu precis cine-l incarca.

No offense, dar DLLul ăla e legitim. Și eu îl am... sau poate-s virusat?

De unde ai tras concluzia că el e de vină?

alexcrist, on Mar 4 2009, 20:42, said:

Da, este legitim, insa cei infectati au o versiune modificata a .dll-ului.

pykko, on Mar 4 2009, 20:49, said:

Ok, mersi de informații. Let the hunting begin!

Size: 116 KB (118.784 bytes). La voi?

Tot atât e la mine, dar e irelevant, pentru că nu toți au aceeași versiune de YM, iar dimensiunea poate varia de la build la build.

La fel

Am ultima versiune de YM

Ok, să mai spun câteva chestii legate de mărime, și de ce e ea absolut irelevantă.

Când un malware de genul file-infector se atașează unui fișier legitim, de cele mai multe ori acesta NU se adaugă (modificându-i astfel mărimea), ci suprascrie o parte din codul original, marimea rămânând fix aceeași. De asemenea, suprascrierea are loc nu într-o zonă de cod sau date, ci într-o zonă vidă. Dacă deschideți un DLL cu un HEX-viewer veți vedea mai pe la sfârșit o bucată destul de mare de "zerouri". Exact nu știu ce rol au acele zerouri (nu m-a preocupat prea mult structura internă a unui executabil), însă acea parte binară nu face parte din codul executabil, și poate fi suprascrisă fără probleme... iar malware-ul ACOLO se bagă, fără a modifica mărimea originală a fișierului.

Așa că nu văd scopul postării pe forum a mărimii fișierelor, cel puțin până nu ni se confirmă de undeva că acest tip de malware modifică și dimensiunea fișierelor infectate.

pe acset site wxw.tonuselast.r* este un virus genul AV2009 de anul trecut
il gaseste bitdefender si endpoint din ce am incercat eu

Editat de crysty2k5, 06 martie 2009 - 10:23.

gabicostea75, on Mar 6 2009, 08:05, said:

Lol...daca folosesti Mozilla nu ai cum sa iei virusul pentru ca nici nu accesezi pagina. Din cate vad eu cand dai click pe cautarea din google cu site-ul asta te redirectioneaza spre site-ul vwv.world-antispyware.inf*. Este un site raportat ca fiind malware si banuiesc ca este de mult timp infectat pentru ca nu apare in cautarea google. Uitati o poza:
[ http://img147.imageshack.us/img147/5092/screenshot008.png - Pentru incarcare in pagina (embed) Click aici ]

ce se mai aude cu spam-urile de pe yahoo messenger? ca au inceput sa ma agaseze. nu s-a gasit nici o solutie?