Was auch immer die beliebtesten Anwendungen Aufmerksamkeit zu erregen, ob gute oder schlechte Absichten. Nehmen wir zum Beispiel die Mehrheit der PC-Virus mengganas in das Windows-Betriebssystem, da das Betriebssystem ist die beliebteste. Ein weiteres Beispiel ist das Handy-Virus, das ist in der Tat derzeit die beste Handy-Viren sind das Ziel von Handy mit Symbian OS, ist der Grund klar, weil das Mobiltelefon mit Symbian OS ist der Marktführer in der mobilen Welt. Wenn nun aufgefordert, zusätzlich zu den OS auf, was die beliebtesten, was in diesem virtuellen Universum?

Sicherlich würden Sie stimmen zu Facebook sagen. Offenbar geht es nicht nur uns, die wissen, dass Facebook den beliebtesten Anwendungen ist, werden die Virus-Hersteller bekannt. Daher Viren nutzen Facebook Popularität begann zu entstehen.

Nennen Sie es Koobface, dass, obwohl ihre Verteilung ist nicht zu hoch ist ein Indiz dafür, dass Facebook gestartet "berechnet" durch die Kriminelle im Internet, um ein Mittel zur Zielerreichung. In Zukunft wird die Schätzung Vaksincom schädliche Anwendungen, die Facebook nutzen immer weit verbreitet, so dass, wenn Sie Facebook-Nutzer sind, ist es gut, vorsichtiger zu sein. Derzeit schienen neue Trojaner verbreitet Versorgung Verwendung von Social Engineering, um Administratoren Facebook kommen, und wenn es ihr ermöglicht eine gefälschte Anti-Virus, oder häufiger durch den Begriff Scareware bekannt download. Für weitere Informationen entnehmen Sie bitte den unten stehenden Artikel Vaksincom.

Die Zahl penguna Facebook macht eine neue Öffnung für Entscheidungsträger Virus, das Virus durch die Ausnutzung von Social Engineering zu verbreiten, wenn wir uns nicht bewusst sind, dieses Virus ist sicherlich zu einem Erfolg in der virtuellen Welt von Facebook verbreitet, vor allem in den Gemeinden, wie etwa Viren verbreitet wurden Proben, die im Moment. Wir nennen es ein Virus oder Norman Facebook als W32/Obfuscated.D2 erkennen! Genes. Warum Facebook ist ein Virus? Weil es dieses Feature in denen das Virus die Opfer von Internet-Nutzern Ziel wird, vor allem für diejenigen, die eine Facebook-Konto haben, mit Sicherheit als Vorwand für Facebook Spaß sie (die Virus-Maker) senden Sie eine E-Mail, kommen wie aus dem "Admin Facebook" ist, wird Anlage zu vergessen bestehenden Facebook vor zurückgesetzt, da die Einführung des Facebook admin dann werden sie gewiß glauben würde, dass (E-Mail statt der Block Facebooknya Konto: p), als Ergebnis anstelle von Facebook sicher sind, aber Ihr Computer als Server, um Spam zu verbreiten Zombies verwendet werden Adresse, die er selbst und können per E-Mail, die von den "Admin Facebook", um eine Anlage, die einen Virus enthält, gehören zu kommen scheint verbreitet. Also bitte vorsichtig sein, zu halten, Entwicklungen zu beobachten und zu halten, wurde das Virus Spaß ... Facebook. Herkunft beeinträchtigt nicht die Arbeit J.

Genug ist, bis es?, Es nicht .. Maxime wie "fällt die Treppe hinunter, schon ... .... in Hundebiss wieder ", war er auch going to download Scareware / gefälschten Antivirus, dass verkleiden sich als Anti-Spyware mit dem Namen" Security Tools ", die automatisch in das EDV-System installiert wird, wurde infiziert. Fake Antispyware wird gefälschte Warnmeldung angezeigt wurde auch, ob Ihr System, indem er eine Reihe von Namen-Virus infiziert ist / Trojaner serem erfolgreich erkannt (aber tatsächlich die Datei / Virus existiert nicht), wenn der Benutzer versucht, die Reinigungswirkung durch Verwendung der Software falsch ist, dann wird der Bildschirm Benutzern zu ermöglichen, die Software kaufen, wenn dieses erscheint, sollten Sie ignorieren, da Sie nicht diese Anti-Spyware-Software zu erhalten. (siehe Abbildung 1)

Abbildung 1, Security Tools, die sich als Spyware Antispyware-Programme

E-Mail geschickt durch das Virus diesem Facebook wird die folgende Merkmale aufweisen: (siehe Abbildung 2)

Abbildung 2 wird beispielsweise per E-Mail mit dem Virus gesendet werden

Die Dateien werden in in dieser E-Mail enthalten hat eine Größe von 24 KB (ZIP) oder 30 KB (exe), in Form von EXE-Dateien werden auf den Typ haben MS.Excel Icon-Datei als "Anwendung" (siehe Abbildung 3)

Abbildung 3, File Eltern-Virus

Mit dem neuesten Update Norman Security Suite erkennt den Virus als W32/Obfuscated.D2! Genr während für Datei [reader_s.exe] als W32/Pandex.YE anerkannt. box Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini Mit der Technologie von Kästen San d Norman Security Suite erkennt auch neue Varianten dieser Viren [möglich, neue, unbekannte Viren] wie in der Abbildung 4 dargestellt :

Abbildung 4, die Ergebnisse der Erkennung Norman Security Suite

Wenn die Datei ist auf der Flucht, er würde eine "Master-Dateien erstellen, die zum ersten Mal auf dem Computer ausgeführt wird eingeschaltet:

• C: \ Dokumente und Einstellungen \% user% \ reader_s.exe
• C: \ Dokumente und Einstellungen \% user% \ Start Menu \ Programs \ Startup \ isqsys32.exe
• C: \ WINDOWS \ system32 \ reader_s.exe
• C: \ Windows \ System32 \ wbem \ proquota.exe
• C: \ windows \ system32 \ sdra64.exe
• C: \ Windows \ system32 \ lowsec
  - Local.ds
  - User.ds
  - User.ds.lll
• C: \ Dokumente und Einstellungen \ Elvina \ Application Data \ wiaservg.log

Registry

Das Virus ist nicht viel mit der Registrierung zu spielen, denn das Ziel ist der Download Scareware, dass "wenn es" funktioniert segambreng regisrti ändern wird, obwohl er immer noch versuchen, Änderungen an der Registry, vor allem für die erstellten Dateien machen kann ausgeführt werden, wenn der Computer zum ersten Mal in das Licht, und zwar:

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
  - Reader_s = C: \ Dokumente und Einstellungen \ Elvina \ reader_s.exe

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  - Reader_s = C: \ Wincdows \ system32 \ reader_s.exe

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  - C: \ WINDOWS \ System32 \ userinit.exe, C: \ WINDOWS \ system32 \ sdra64.exe,

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
  - EnableProfileQuota = 1

• HKEY_LOCAL_MACHINE \ SOFTWARE \ AGProtect

• HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)

• HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

Download Trojan / Spyware

Das Virus wird versuchen, auf eine vorgegebene Adresse zu verbinden, um einen Trojaner download / Spyware der andere dann automatisch ausgeführt wird, wird die Datei erfolgreich heruntergeladen wird in dem folgenden Verzeichnis gespeichert werden:

• C: \ Windows \ temp
  • Wp% xxx%. Exe (xxx ist anders, zum Beispiel wpv271256600826.exe)
  • _ex-08.exe
• C: \ Dokumente und Einstellungen \ Elvina \ Lokale Einstellungen \ Temp \ *. tmp
• C: \ Dokumente und Einstellungen \ All Users \ Application Data \ 47543326 \ 47543326.exe

Hier sind einige Server-Adressen, die mit dem Virus behandelt werden

• 202.39.17.53
• 217.23.7.162
• 95.211.27.211
• 202.169.46.56

Er werde versuchen, auf einige Web-Server zu verbinden folgt:
- Http: / / mmsfoundsystem.ru / public / controller.php? Action = bot & entity_list = & uid = & first = 1 & guid = 13441600 & v = 15 & rnd = 8520045
- Http: / / hostvegass.ru / cman / Receiver / online
- Http: / / wapdodoit.ru / mn / base.cfg
- Http: / / www.whatsmyipaddress.com

Er wird auch DNS-Abfragen Domain kesejumlah MX angegeben, wie in Abbildung 5 dargestellt Adresse:

G Bernstein 5, Aktion für Facebook Virus MX Server

Medienverteiler (Email)

Um die Ausbreitung ihr, sie werden alle E-Mail Adresse E-Mail hat diperolahnya durch Anhängen einer Datei in einem ZIP. Für diejenigen unter Ihnen, die ein Konto bei Facebook seien Sie vorsichtig, wenn Sie eine E-Mail, die Sie erhalten, als ob es von Facebook wegen der Möglichkeit, E-Mail-Admin, die Sie erhalten kam erhalten, ist eine E-Mail, die einen Virus enthält.

Wenn wir mit Netzwerk-Monitoring-Tools wie wireshark oder netstat-Befehl von einer DOS-Eingabeaufforderung telurusi, kann es sein, deutlich zu erkennen, dass der Computer mit dem Virus versucht, eine E-Mail an einige Adressen, die nachweislich auf einen Dateianhang, die einen Virus, Blick auf das unten stehende Bild 6 enthält ua senden infiziert :

Abbildung 6, sendet das Virus selbst Action

Neben E-Mails als käme sie aus dem Admin Facebook wird es auch auf dem infizierten Computer als Server, indem Sie eine E-Mail-Spam kesejumlah E-Mail-Adresse in das können (siehe Abbildung 7)

Abbildung 7, Email-Versand-Aktivität durch das Virus durchgeführt

Antispyware laden false "Security Tools"

Eine weitere Maßnahme, die durch das Virus Facebook getan werden wird zum Herunterladen und Installieren einer gefälschten Anti-Spyware-Programm namens "Security Tools". Diese falschen Anti-Spyware wird falsche Informationen durch die Anzeige einer Reihe von Viren bieten / Trojaner ist in der Erkennung erfolgreicher, falsche Informationen in der Regel kontinuierlich zu einem bestimmten Zeitpunkt angezeigt werden. (siehe Abbildung 8 und 9)

Abbildung 8, die falsche Warnung antiwpyware "Security Tools" angezeigt

Abbildung 9, die installiert wird Scareware wird ständig eine falsche Warnung (Tool Sicherheitswarnung)

Wenn ein Benutzer versucht, die Reinigungswirkung mit gefälschten Software dann wird der Bildschirm durchführen, um damit die Anwender die Software kaufen, wenn es den Anschein, dass Sie es außer Acht lassen sollten, weil man nicht erhalten diese Anti-Spyware-Software.

File antyspyware "Sicherheits-Tool" hat eine Größe von ca. 1103 MB, um den Dateityp "Antrag" (siehe Abbildung 10)

Abbildung 10, Datei-Anti-Spyware-Eltern "Sicherheits-Tools"

Antispyware werden folgende Dateien vorgenommen werden, um selbst aktiv zu bleiben:
- C: \ Dokumente und Einstellungen \ All Users \ Application Data \ 47543326
- C: \ Dokumente und Einstellungen \ Elvina \ Desktop \ security tools.lnk
- C: \ Windows \ temp \ _ex-08.exe
- C: \ Dokumente und Einstellungen \ Elvina \ Startmenü \ Programme \ Security tools.lnk

Security antispayware Registry-Tools

Als Unterstützer für ihn aktiv zu bleiben, wird er ein paar Strings in dem folgenden Registrierungsschlüssel zu machen:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
+ 47543326 = C: \ DOKUME ~ 1 \ ALLUSE ~ 1 \ ANWEND ~ 1 \ 47543326 \ 47543326.exe
+ PromoReg = C: \ WINDOWS \ Temp \ _ex-08.exe

- HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network
+ UID =% user% _00127065

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
+ Rlist

Aktion von Anti-Spyware "Security Tools"
· Zeigt eine SMS-Benachrichtigung, dass der Computer mit einem Virus infiziert wurde / Spyware (siehe Abbildung 11 und 12)

Abbildung 11, Pop-up-Einträge ständig von Scareware angezeigt, um die Opfer einzuschüchtern

Abbildung 12, wird eine Warnmeldung aus dem Security-Antispyware-Tools

· Angezeigte Bestätigung für die Aktualisierung der Datenbank Antispyware Security Tools (siehe Abb. 13)

Bild 13, bestätigen Sicherheits-Updates Antispyware-Tools

· Starten Sie den Computer in der Zeit Yeah ditetukan durch die Anzeige-Bildschirm "Blue Sreen" als ob es ein Fehler im System / Hardware, die infiziert sind.

· Ändern Wallpapers / Windows-Desktop (siehe Abbildung 14)

Bild 14, sind Desktop-Fenster von der Anti-Spyware "Sicherheits-Tools geändert"

Wie W32/Obfuscated.D2 sauber! Genr Sicherheit und Anti-Spyware-Tools

1. Deaktivieren Sie die Systemwiederherstellung während der Reinigung
2. Disconect den Computer aus dem Netzwerk / Internet
3. Sollte die Reinigung nicht auf den Modus "abgesicherten Modus"
4. Installieren Sie die Software "Unlocker" [http://www.filehippo.com/download_unlocker/]
5. Schalten Sie den aktiven Virus Prozess dimemory, verwenden Sie die Werkzeuge "Security Task Manager, bitte diese Werkzeuge an die Adresse http://www.neuber.com/taskmanager/download.html Download (siehe Abbildung 15)



Abbildung 15, Deadly Virus-Prozess mit "Security Task Manager"

6. Fix Registry, um den Prozess der Reparatur Registrierung zu beschleunigen, kopieren Sie bitte dieses Skript in Notepad und speichern Sie es mit dem Namen [repair.inf]. Führen Sie die folgende Weise:

Der rechten Maustaste auf die [repair.inf]
Klicken Sie auf die Installation von []

[Version]
Signature = "$ CHICAGO $"
Provider = Vaksincom

[DefaultInstall]
AddReg = UnhookRegKey
DelReg = del

[UnhookRegKey]
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ batfile \ shell \ open \ command ,,,"""% 1 "% *"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ comfile \ shell \ open \ command ,,,"""% 1 "% *"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ open \ command ,,,"""% 1 "% *"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ piffile \ shell \ open \ command ,,,"""% 1 "% *"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ regfile \ shell \ open \ command,,, "regedit.exe"% 1 ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ scrfile \ shell \ open \ command ,,,"""% 1 "% *"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, Shell, 0, "Explorer.exe"
HKCU, Software \ Microsoft \ Internet Explorer \ Main, tartseite, 0, 'about: blank "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon userinit, 0, "userinit.exe"

[del]
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, 47543326
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, PromoReg
HKCU, SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
HKCU, Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, EnableProfileQuota
HKEY_LOCAL_MACHINE \ SOFTWARE \ AGProtect
HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network, UID
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion, rlist
HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)
HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

7. Entfernen von Dateien durch das Virus durch Uraufführung tersebunyi erstellt wurde (siehe Abbildung 16)



Siehe Bild 16, Alle Dateien

Dann löschen Sie die folgenden Dateien:
§ C: \ Dokumente und Einstellungen \ All Users \ Application Data \ 47543326
§ C: \ Dokumente und Einstellungen \ Elvina \ Startmenü \ Programme \ Security Tools.lnk
§ C: \ Dokumente und Einstellungen \ Elvina \ Desktop \ Security Tools.lnk
§ C: \ Dokumente und Einstellungen \ Elvina \ Application Data \ wiaservg.log
§ C: \ Dokumente und Einstellungen \ Elvina \ Lokale Einstellungen \ Temp \ *. tmp
§ C: \ WINDOWS \ Temp \ wpv311256600826.exe
§ C: \ WINDOWS \ Temp \ wpv411256806849.exe
§ C: \ Dokumente und Einstellungen \% user% \ reader_s.exe
§ C: \ Dokumente und Einstellungen \% user% \ Start Menu \ Programs \ Startup \ isqsys32.exe
§ C: \ WINDOWS \ system32 \ reader_s.exe
§ C: \ Windows \ system32 \ wbem \ proquota.exe
§ C: \ windows \ system32 \ sdra64.exe
§ C: \ Windows \ system32 \ lowsec
o local.ds
o user.ds
o user.ds.lll

Hinweis:
Um den Ordner zu entfernen [C: \ Windows \ system32 \ lowsec] und [C: \ windows \ system32 \ sdra64.exe], verwenden Sie die Werkzeuge "Unlocker" trennen, um den Prozess Systemprozess Windows (explorer.exe und svchost.exe), da wird die Datei Datei zu injizieren [explorer.exe und svchost.exe] wie folgt vor:
o mit der rechten Maustaste auf die Datei [C: \ windows \ system32 \ sdra64.exe] oder [C: \ Windows \ system32 \ lowsec]
o Klicken Sie im Menü "Unlocker"
o In Unlocker Bildschirm, wählen Sie die Option delete []
o Klicken Sie dann auf [OK]
o Wenn die Fehlermeldung, in ihm außer Acht lässt (Klicken Sie auf OK)

8. Löschen von temporären Dateien und temporären Dateien interet, benutze die Werkzeuge ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (siehe Abbildung 17)





































Abbildung 17, Löschen von temporären Internet-Dateien und temporäre Dateien

9. Für eine optimale Reinigung und verhindern erneute Infektion, Anti-Virus-Scan mit up-to-date. Sie können auch Tools, um mit Norman Malware Cleaner sauber [http://www.norman.com/support/support_tools/58732/en-us] oder Malwarebytes Anti-Malware (www.malwarebytes.org) (siehe Abbildung 18 und 19)

Abbildung 18, Ergebnisse Malwarebytes Anti-Malware-Erkennung

Abbildung 19, Ergebnisse Norman Malware Cleaner Erkennung

Quelle: VaksinCOM

No related posts.