Cine ti-a pus pozele aici ?
Un vierme pentru Yahoo! Messenger creaza ceva agitatie pe netul romanesc. Este identificat ca Win32.Worm.IM.J / Worm.Agent.AJ de Bitdefender.
Mai grava este insa ignoranta, ca sa nu-i spun altfel. Linkurile catre site-ul infectat pot fi gasite cu usurinta via Google si chiar pe Twitter. Asta pentru ca diversi, manati de ganduri bune presupun, le-au postat pe net. Ce-si poate dori altceva un autor de malware decat sa vada cum victimele sale colaboreaza la raspandirea viermelui.
Cand ai un cont pe Twitter cu 2000 si ceva de followers ar trebui sa te gandesti inainte sa postezi. Cand iti mai zici si “DJ & IT” la un radio celebru ma intreb ce o fi fost in capul omului.
Poti gasi si sfaturi pentru dezinfectie pe netul romanesc. Am vazut ca se recomanda folosirea programului ComboFix pentru eliminarea viermelui. In mod normal acest program ar trebui folosit doar asistat de un specialist, pentru ca o fi el bun, dar mai da si rateuri din cand in cand si te poate lasa cu sistemul de operare nefunctional daca nu stii ce sa faci. Uite asa eliminarea viermilor devine sport national.
Dar sa revenim la vierme si la cum se foloseste el de ingineria sociala:
- trimite mesaje de tipul “Cine ti-a pus pozele aici ? [link]” sau “tu ti-ai facut profilu asta? [link]”
- faci click pe link si ajungi la o pagina web compromisa, cu titlul “Profilul tau porno”
- afli ca trebuie sa instalezi Adobe Shockwave Player ca sa vezi continutul
“Aceasta pagina nu se poate afisa deoarece nu aveti instalata ultima versiune de Adobe Shockwave player”.
O fi avand asta vreo legatura cu faptul ca in ultimele zile a crescut numarul cautarilor pe Google.ro a “Shockwave Player” ? Posibil. Probabil ca unii nu au vazut “info bar” din pagina si au cautat sa instaleze un Shockwave Player original.
- un cunoscator si-ar da seama ca “info bar” din Internet Explorer ar trebui sa fie situat imediat sub address bar; in acest caz “info bar” este insa situat in pagina sub o reclama; cu toate astea victima poate fi usor pacalita.
- daca te roade curiozitatea sa vezi pozele faci click pe “info bar” si ajungi la alta pagina de unde poti descarca viermele.
Viermele sterge datele pentru login din Yahoo! Messenger pentru a-l obliga pe utilizator sa le introduca din nou. Numele de utilizator si parola, tastate de utilizator, sunt salvate in Windows Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\first
valorile USER si Parola.
Descarca un executabil de pe un site romanesc.
Viermele poate fi eliminat cu BitDefender Online Scanner. Nu trebuie sa folosesti alte tooluri sofisticate.
O descriere a modificarilor facute de vierme si a dezinfectiei se afla aici: Win32.Worm.IM.J. / Worm.Agent.AJ.
De acord ca virusul poate fi eliminat cu BitDefender online scanner, insa doar anumite variante. BitDefender nu a detectat fiecare varianta din primul moment al aparitiei acesteia.
Am folosit si recomandat ComboFix la sute de persoane si pentru nici una nu a lasat PC-ul nefunctional. Nu sterge niciodata fisiere critice de sistem, cel mult poate sa stearga anumite componente ale unui alt software instalat (in cazuri exceptionale)
Hi Radu,
Trebuie sa te contrazic in ce priveste ComboFix. In weekendul trecut, din cauza unui bug, programul stergea multe fisiere legitime. Pana cand s-a fixat bug-ul a fost si oprit de la download. Se poate intampla oricand din nou. Problemele devin si mai complicate daca omul il foloseste in Vista sau Windows 7.
In cazul viermelui asta nu merita sa folosesti un tanc cum e ComboFix. Nu are nici o protectie, ii tragi una si s-a dus.