Quelles que soient les applications les plus populaires seront attirer l'attention, qu'il s'agisse de bonnes ou mauvaises intentions. Prenez par exemple la majorité des PC mengganas virus dans le système d'exploitation Windows, car l'OS est le plus populaire. Un autre exemple est le virus de téléphone portable qui est en fait actuellement le virus des téléphones mobiles sont les meilleures cibles de téléphones avec Symbian OS, la raison en est claire, parce que le téléphone mobile avec Symbian OS est le leader du marché dans le monde mobile. Si maintenant vous le demandera, en plus de l'OS sur le dessus, quelle est la chose la plus populaire dans cet univers virtuel?

Sûrement vous serez d'accord pour dire Facebook. Apparemment, il n'ya pas que nous qui savons que Facebook est les applications les plus populaires, les responsables des virus sont également connus. Par conséquent, les virus qui utilisent Facebook popularité a commencé à émerger.

Appelez ça Koobface que, bien que leur distribution n'est pas trop élevé est une indication que Facebook a commencé "calculée" par les criminels sur Internet comme un moyen d'atteindre des objectifs. À l'avenir, l'estimation des applications malveillantes qui exploitent Vaksincom Facebook sera de plus en plus répandue, donc si vous êtes utilisateurs de Facebook, il est bon de faire plus attention. Saat ini, sedang marak beredar trojan yang disebarkan memanfaatkan rekayasa sosial seakan-akan datang dari administrator Facebook dan jika diaktifkan ia akan mendownload antivirus palsu atau yang lebih dikenal dengan istilah scareware. Pour plus d'information s'il vous plaît se référer à l'article ci-dessous Vaksincom.

Le nombre penguna Facebook fait une nouvelle ouverture pour les responsables de virus de se propager le virus en profitant de l'ingénierie sociale, si nous ne sommes pas conscients de ce virus est certainement de se propager avec succès dans le monde virtuel de Facebook, en particulier dans les communautés, comme des échantillons de virus qui se répandent en ce moment. Nous appelons cela un virus ou Norman Facebook détecter comme W32/Obfuscated.D2! Genes. Pourquoi Facebook est un virus? Parce qu'elle dispose de cette fonctionnalité, où le virus ciblera les victimes d'utilisateurs d'Internet, surtout pour ceux qui possèdent un compte Facebook, avec la sécurité comme prétexte pour Facebook à l'amusement, ils (les créateurs de virus) envoyer un email qui viennent comme si de la "Admin Facebook" est attachement à réinitialiser votre mot de passe actuel avant de Facebook, depuis l'avènement de l'admin Facebook alors ils seraient certainement croire que le courrier électronique (plutôt que le bloquer le compte Facebooknya: p), en conséquence, au lieu de Facebook sont en sécurité mais que votre ordinateur sera utilisé comme un serveur de distribuer spam zombies à adresse qu'il peut et se répandre en envoyant un courriel qui semble provenir de la partie "Admin Facebook» pour y inclure une pièce jointe contenant un virus. Alors s'il vous plaît soyez prudent, gardez suivre les évolutions et empêcher le virus était amusant ... Facebook. origine ne perturbent pas la tâche J.

Suffit jusqu'à là??, Il n'a pas .. maxime comme "chute dans l'escalier déjà ... .... dans la morsure du chien à nouveau ", il allait aussi à scareware télécharger / faux antivirus qui se déguisent en anti-espions avec le nom" Outils de sécurité "qui sera installé automatiquement dans le système informatique a été infecté. Faux Antispyware affiche fausse mise en garde a aussi été, comme si votre système est infecté par l'affichage d'une série de noms de virus / trojan serem détecté avec succès (mais en fait le fichier / virus n'existe pas), si l'utilisateur tente d'effectuer l'action de nettoyage en utilisant le logiciel est faux alors il affiche l'écran pour permettre aux utilisateurs d'acheter le logiciel, si cela apparaît vous devez l'ignorer parce que vous ne recevrez pas de ces logiciels anti-espion. (voir figure 1)

Figure 1, Outils de sécurité, les logiciels espions font passer pour des programmes anti-espions

E-mail envoyé par le virus de cette Facebook aura les caractéristiques suivantes: (voir figure 2)

Figure 2 Exemple de message sera envoyé par le virus

Les dossiers sont en incluses dans cet e-mail a une taille de 24 KB (ZIP) ou 30 Ko (exe), sous la forme de fichiers exe devrez taper MS.Excel file icon comme "application" (voir Figure 3)

Figure 3, dossier virus parentaux

Avec la dernière mise à jour de Norman Security Suite détecte le virus comme W32/Obfuscated.D2! GENR tandis que pour le fichier [reader_s.exe] reconnu comme W32/Pandex.YE. box Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini Boîtes technologie SAN Norman Security Suite d reconnaissons également de nouvelles variantes de ces virus [nouvelles possibles, des virus inconnus] comme indiqué dans la figure en dessous de 4 :

Figure 4, les résultats de détection de Norman Security Suite

Si le fichier est en fuite, il créerait un maître des fichiers qui se déroulera la première fois à l'ordinateur allumé:

• C: \ Documents and Settings \% utilisateur% \ reader_s.exe
• C: \ Documents and Settings \% utilisateur% \ Start Menu \ Programs \ Startup \ isqsys32.exe
• C: \ WINDOWS \ system32 \ reader_s.exe
• C: \ Windows \ System32 \ WBEM \ Proquota.exe
• C: \ windows \ system32 \ sdra64.exe
• C: \ Windows \ system32 \ lowsec
  - Local.ds
  - User.ds
  - User.ds.lll
• C: \ Documents and Settings \ Elvina \ Application Data \ wiaservg.log

Registre

Le virus n'est pas bien de jouer avec le Registre, car l'objectif est de scareware téléchargement que "s'il" fonctionne regisrti segambreng va changer, mais il sera quand même essayer d'apporter des modifications au Registre, en particulier pour les fichiers créés peuvent être exécutés lorsque le temps le premier ordinateur dans la lumière, à savoir:

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
  - Reader_s = C: \ Documents and Settings \ Elvina \ reader_s.exe

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  - Reader_s = C: \ Wincdows \ system32 \ reader_s.exe

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  - C: \ WINDOWS \ System32 \ userinit.exe, C: \ WINDOWS \ system32 \ sdra64.exe,

• HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
  - EnableProfileQuota = 1

• HKEY_LOCAL_MACHINE! SOFTWARE! AGProtect

• HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)

• HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

Télécharger Trojan / Spyware

Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:

• C: \ Windows \ Temp
  • WP% xxx%. Exe (xxx est différent, par exemple wpv271256600826.exe)
  • _ex-08.exe
• C: \ Documents and Settings \ Elvina \ Local Settings \ Temp \ *. tmp
• C: \ Documents and Settings \ All Users \ Application Data \ 47543326 \ 47543326.exe

Voici quelques adresses de serveur qui sera traitée par le virus

• 202.39.17.53
• 217.23.7.162
• 95.211.27.211
• 202.169.46.56

Il tentera aussi de se connecter à un serveur web suivante:
- Http: / / / mmsfoundsystem.ru public / controller.php? Action = bot entity_list & = & uid = & first = 1 & guid = 13441600 & v = 15 & rnd = 8520045
- Http: / / / hostvegass.ru cman / récepteur / ligne
- Http: / / / wapdodoit.ru mn / base.cfg
- Http: / / www.whatsmyipaddress.com

Il participera également à effectuer des requêtes kesejumlah domaine DNS MX adresse spécifiée comme le montre la figure 5 ci-dessous:

G Amber 5, Action pour Facebook virus MX Server

Support de distribution (Courriel)

À se répandre, elle va Envoyez un email à l'adresse e-mail a diperolahnya en attachant un fichier dans une archive ZIP. Pour ceux d'entre vous qui ont un compte Facebook s'il vous plaît soyez prudent si vous recevez un courriel que vous avez reçu comme s'il venait de Facebook en raison de la possibilité Admin email que vous avez reçu est un email qui contient un virus.

Si nous telurusi avec le réseau de surveillance des outils comme wireshark ou la commande netstat DOS à partir d'une invite, on peut voir clairement que l'ordinateur a été infecté par le virus tente d'envoyer un e-mail à quelques adresses qui ont été trouvées pour inclure un fichier en pièce jointe contenant un virus, regardez l'image en dessous de 6 :

Figure 6, le virus s'envoie action

En plus d'envoyer des e-mails comme si vous venez du Facebook Admin, il sera également rendre l'ordinateur infecté comme serveur en envoyant un e-mail spam kesejumlah adresse de courriel dans la boîte (voir Figure 7)

Figure 7, l'activité de diffusion d'offres menées par le virus

Antispyware inviter false "Security Tools"

Une autre action qui sera faite par le virus Facebook va télécharger et installer un programme faux antispyware appelée «Outils de Sécurité». Ce faux antispyware fournira des informations fausses en affichant une ligne d'un virus / trojan est un succès en matière de détection, de faux renseignements habituellement sera affiché en permanence à un moment donné. (voir figure 8 et 9)

Figure 8, la fausse alerte affiché par antiwpyware Outils de sécurité ""

Figure 9, qui est installé Scareware continuellement fournir une fausse alerte (outil Avertissement de sécurité)

Si un utilisateur essaie d'exécuter l'action de nettoyage en utilisant un logiciel de faux alors il affiche l'écran pour permettre aux utilisateurs d'acheter le logiciel, s'il apparaît que vous devez l'ignorer parce que vous ne recevrez pas de ces logiciels anti-espion.

Fichier antyspyware "outil de sécurité" a une taille d'environ 1103 Mo pour le type de fichier comme "application" (voir figure 10)

Figure 10, le fichier antispyware parent "outils de sécurité"

Antispyware sera faite fichiers suivants pour se faire rester actif:
- C: \ Documents and Settings \ All Users \ Application Data \ 47543326
- C: \ Documents and Settings \ Elvina \ Desktop \ tools.lnk sécurité
- C: \ Windows \ temp \ _ex-08.exe
- C: \ Documents and Settings \ Elvina \ Start Menu \ Programs \ Security tools.lnk

Sécurité antispayware Registry Tools

En tant que partisan pour lui de rester actif, il fera quelques cordes dans le registre suivant:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
+ 47543326 = C: \ PROGRA ~ 1 \ ALLUSE ~ 1 \ APPLIC ~ 1 \ 47543326 \ 47543326.exe
+ PromoReg = C: \ WINDOWS \ Temp \ _ex-08.exe

- HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network
+ Uid =% user% _00127065

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
+ Rlist

Action des anti-espions "Security Tools"
· Affiche une notification de message que l'ordinateur a été infecté par un virus / spyware (voir la figure 11 et 12)

Figure 11, les messages pop up constamment affichée par scareware en vue d'intimider la victime

Figure 12, un message d'avertissement à partir des outils de sécurité Antispyware

Affichage de la confirmation · de mettre à jour la base de données Antispyware Security Tools (voir figure 13)

Figure 13, Confirmer à jour de sécurité Tools Antispyware

· Redémarrer l'ordinateur en temps Ouais ditetukan en affichant l'écran "Blue Sreen" comme s'il y avait une erreur dans le système ou de matériels informatiques qui ont été infectées.

· Fonds Changement / bureau de Windows (voir figure 14)

Figure 14, Windows Desktop sont changées par les "anti-espion outils de sécurité"

Comment nettoyer W32/Obfuscated.D2! GENR et antispyware Security Tools

1. Désactiver le système de restauration pendant le processus de nettoyage
2. Débrancher le ordinateur depuis le réseau / Internet
3. Devraient faire le ménage sur le mode "safe mode"
4. Installez le logiciel "Unlocker" [http://www.filehippo.com/download_unlocker/]
5. Eteignez le dimemory Active Virus traiter, à utiliser les outils "Security Task Manager", s'il vous plaît télécharger ces outils à la http://www.neuber.com/taskmanager/download.html adresse (voir figure 15)



Figure 15, Deadly processus du virus avec "Gestionnaire des tâches de sécurité"

6. Registry Fix, afin d'accélérer le processus de réparation du registre s'il vous plaît copier ce script dans le Bloc-notes et enregistrez-le sous le nom [repair.inf]. Exécutez la manière suivante:

Cliquez-droit sur le repair.inf []
Cliquez sur [Install]

[Version]
Signature = "$ CHICAGO $"
Provider = Vaksincom

[DefaultInstall]
AddReg = UnhookRegKey
DelReg = del

[UnhookRegKey]
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ batfile \ shell \ open \ command ,,,"""% 1 ""% * "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ comfile \ shell \ open \ command ,,,"""% 1 ""% * "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ open \ command ,,,"""% 1 ""% * "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ piffile \ shell \ open \ command ,,,"""% 1 ""% * "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ regfile \ shell \ open \ command,,, "regedit.exe"% 1 ""
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ scrfile \ shell \ open \ command ,,,"""% 1 ""% * "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, Shell, 0, "Explorer.exe"
HKCU, Software \ Microsoft \ Internet Explorer \ Main, tarte Page, 0, 'about: blank "
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, userinit, 0, "userinit.exe"

[Suppr]
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, 47543326
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, PromoReg
HKCU, SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
HKCU, Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, EnableProfileQuota
HKEY_LOCAL_MACHINE \ SOFTWARE \ AGProtect
HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network, UID
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion, Rlist
HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)
HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

7. Supprimer les fichiers créés par le virus en tersebunyi première diffusion de fichiers (voir figure 16)



Voir l'image 16, sur Afficher les fichiers cachés

Ensuite, supprimez les fichiers suivants::
§ C: \ Documents and Settings \ All Users \ Application Data \ 47543326
§ C: \ Documents and Settings \ Elvina \ Start Menu \ Programs \ Security Tools.lnk
§ C: \ Documents and Settings \ Elvina \ Desktop \ Security Tools.lnk
§ C: \ Documents and Settings \ Elvina \ Application Data \ wiaservg.log
§ C: \ Documents and Settings \ Elvina \ Local Settings \ Temp \ *. tmp
§ C: \ WINDOWS \ Temp \ wpv311256600826.exe
§ C: \ WINDOWS \ Temp \ wpv411256806849.exe
§ C: \ Documents and Settings \% utilisateur% \ reader_s.exe
§ C: \ Documents and Settings \% utilisateur% \ Start Menu \ Programs \ Startup \ isqsys32.exe
§ C: \ WINDOWS \ system32 \ reader_s.exe
§ C: \ Windows \ System32 \ WBEM \ Proquota.exe
§ C: \ windows \ system32 \ sdra64.exe
§ C: \ Windows \ system32 \ lowsec
local.ds o
user.ds o
o user.ds.lll

Note:
Pour supprimer le dossier [C: \ Windows \ system32 \ lowsec] et [C: \ windows \ system32 \ sdra64.exe], utiliser les outils "Unlocker" pour séparer les processus du système processus Windows (explorer.exe et svchost.exe), parce que le fichier permettra d'injecter le fichier [explorer.exe et svchost.exe] comment:
o Cliquez droit sur le fichier [C: \ windows \ system32 \ sdra64.exe] ou [C: \ Windows \ system32 \ lowsec]
o Ensuite cliquez sur le menu "Unlocker"
o Dans Unlocker écran, sélectionnez l'option [delete]
o Puis cliquer sur [OK]
o Si le message d'erreur, en faire abstraction (cliquez sur ok)

8. Supprimez les fichiers temporaires et les fichiers temporaires interet, utilisez les outils de ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (voir figure 17)





































Figure 17, Supprimer les fichiers Internet temporaires et les fichiers temporaires

9. Pour un nettoyage optimal et à prévenir la réinfection, anti-virus scan avec up-to-date. Vous pouvez également utiliser les outils pour nettoyer avec Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] ou Malwarebytes Anti Malware (www.malwarebytes.org) (voir figure 18 et 19)

Figure 18, les résultats Malwarebytes Anti-Malware de détection

Figure 19, les résultats de détection Norman Malware Cleaner

Source: Vaksincom

Pas de postes.