Home | Virus | Virus Facebook (Bredolab)

Facebook Virus (Bredolab)

Inviato da diancakra il 06 November 2009 00:32 | Lascia un commento



clip_image002[1] Qualunque sia la maggior parte delle applicazioni volontà popolare attirare l'attenzione, fatto di buone o cattive intenzioni. Prendiamo ad esempio la maggior parte dei mengganas virus nel PC il sistema operativo Windows, perché il sistema operativo è il più popolare. Un altro esempio è il virus della telefonia mobile che di fatto è attualmente il virus migliori di telefonia mobile sono l'obiettivo di telefono cellulare con Symbian OS, il motivo è chiaro, perché il cellulare con Symbian OS è il leader di mercato nel mondo mobile. Se ora ha chiesto, in aggiunta al sistema operativo in cima, ciò che la cosa più importante in questo universo virtuale?

Sicuramente si sarebbe d'accordo a dire Facebook. A quanto pare non è solo noi che sappiamo che Facebook sia le applicazioni più popolari, i produttori di virus sono anche noti. Pertanto, i virus che utilizza la popolarità di Facebook ha cominciato ad emergere.


Chiamano Koobface che pur non essendo la loro distribuzione è troppo alta è un'indicazione del fatto che Facebook ha iniziato "calcolato" dai criminali su Internet per essere un mezzo di raggiungimento degli obiettivi. In futuro, la stima applicazioni Vaksincom maligni che sfruttano Facebook sarà sempre più diffusa, quindi se siete utenti di Facebook, è bene essere più attenti. Attualmente, emergenti trojan fornitura distribuiti utilizzando tecniche di ingegneria sociale sembrava venire da amministratori di Facebook e, se sarà consentito scaricare un antivirus falso, o più comunemente nota con il scareware termine. Per ulteriori informazioni consultare il seguente articolo Vaksincom.

Il numero penguna Facebook fa una nuova apertura per i responsabili del virus di diffondere il virus, approfittando di ingegneria sociale, se non siamo a conoscenza di questo virus, è sicuramente a diffondersi con successo nel mondo virtuale di Facebook, soprattutto nelle comunità, come i campioni del virus, che si stavano diffondendo in quel momento. Noi lo chiamiamo un virus o Norman Facebook rilevare come W32/Obfuscated.D2! Genes. Perché Facebook è un virus? Perché ha questa caratteristica, dove il virus si concentrerà vittime di utenti Internet, specialmente per coloro che hanno un account di Facebook, con la sicurezza come un pretesto per Facebook per divertimento che (i creatori del virus), inviare un'e-mail che verrà, come se dal "Admin Facebook" è attaccamento per reimpostare la password esistente prima di Facebook, dopo l'avvento della admin Facebook poi certamente credo che la posta elettronica (anziché il blocco del conto Facebooknya: p), come risultato, invece di Facebook sono al sicuro, ma il computer verrà utilizzato come un server per distribuire spam zombie a indirizzo che si può e si diffuse con l'invio di una e-mail che sembra provenire dal "Admin Facebook" per includere un allegato che contiene un virus. Quindi, per favore fate attenzione, gli sviluppi di monitorare e mantenere il virus è stato divertente ... facebook. origine non interferire con il lavoro J.

Fino a quando non è sufficiente?, Esso non ha .. Maxim come "cadere giù per le scale già ... .... in morso il cane di nuovo ", è stato anche andare a scareware download / antivirus falsi che si travestono da antispyware con il nome di" Strumenti per la sicurezza "che verrà installato automaticamente nel sistema di computer è stato infettato. Fake Antispyware visualizzerà falso allarme è stato come se il sistema è infetto, visualizzando una serie di nomi di virus / trojan serem rilevato con successo (ma in realtà il file / virus non esiste), se l'utente tenta di eseguire l'azione di pulizia utilizzando il software è falso allora verrà visualizzata la schermata per consentire agli utenti di acquistare il software, se ciò appare si dovrebbe ignorare perché non sarà possibile ricevere questi software antispyware. (vedi Figura 1)

Figura 1, Strumenti per la sicurezza, spyware camuffati da programmi antispyware

E-mail inviata dal virus presente Facebook avrà le seguenti caratteristiche: (vedi figura 2)


Figura 2, ad esempio e-mail verrà inviata dal virus

I file sono inclusi in tale e-mail ha una dimensione di 24 KB (ZIP) o 30 KB (exe), sotto forma di file exe dovrà tipo di file icon MS.Excel come "Application" (vedi figura 3)

Figura 3, il virus dei genitori File

Con l'ultimo aggiornamento di Norman Security Suite rileva il virus come W32/Obfuscated.D2! Genr, mentre per il file [reader_s.exe] riconosciuto come W32/Pandex.YE. box Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus] seperti yang terlihat pada gambar 4 dibawah ini Con la tecnologia Boxes San d Norman Security Suite anche riconoscere le nuove varianti di questi virus [possibili nuovi virus sconosciuti], come mostrato nella figura seguente 4 :


Figura 4, i risultati del rilevamento di Norman Security Suite

Se il file è in fuga avrebbe creato alcuni master file che verrà eseguito la prima volta il computer è acceso:

  • C: \ Documents and Settings \% utente% \ reader_s.exe
  • C: \ Documents and Settings \% utente% \ Menu Avvio \ Programmi \ Startup \ isqsys32.exe
  • C: \ WINDOWS \ system32 \ reader_s.exe
  • C: \ Windows \ system32 \ wbem \ proquota.exe
  • C: \ windows \ system32 \ sdra64.exe
  • C: \ Windows \ system32 \ lowsec
    - Local.ds
    - User.ds
    - User.ds.lll
  • C: \ Documents and Settings \ Elvina \ Application Data \ wiaservg.log

Registro di sistema

Il virus non è molto a giocare con il Registro di sistema, perché l'obiettivo è quello di scaricare scareware che "se" funziona regisrti segambreng cambierà, anche se sarà ancora cercare di apportare modifiche al Registro di sistema, soprattutto per i file creati possono essere eseguiti quando il computer prima volta alla luce, vale a dire:

  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
    - Reader_s = C: \ Documents and Settings \ Elvina \ reader_s.exe
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    - Reader_s = C: \ Wincdows \ system32 \ reader_s.exe
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    - C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDOWS \ system32 \ sdra64.exe,
  • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
    - EnableProfileQuota = 1
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ AGProtect
  • HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)
  • HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

Scarica Trojan / Spyware

Questo virus tenta di connettersi a un indirizzo prestabilito, al fine di scaricare un trojan / spyware l'altra verrà quindi eseguito automaticamente, il file viene scaricato correttamente saranno memorizzati nella directory seguente:

  • C: \ Windows \ temp
    • Xxx% Wp%. Exe (xxx è diverso, per esempio wpv271256600826.exe)
    • _ex-08.exe
  • C: \ Documents and Settings \ Elvina \ Local Settings \ Temp \ *. tmp
  • C: \ Documents and Settings \ All Users \ Dati applicazioni \ 47543326 \ 47543326.exe

Ecco alcuni indirizzi di server che saranno affrontati dal virus

  • 202.39.17.53
  • 217.23.7.162
  • 95.211.27.211
  • 202.169.46.56

Anche lui cercherà di connettersi ad un server web segue:
- Http: / / / mmsfoundsystem.ru pubblico / controller.php? Action = bot & entity_list = & uid = & first = 1 & guid = 13441600 & v = 15 & rnd = 8.520.045
- Http: / / / hostvegass.ru cman / ricevitore / online
- Http: / / mn / wapdodoit.ru / base.cfg
- Http: / / www.whatsmyipaddress.com

Anche lui si esibiranno le query DNS del dominio kesejumlah MX all'indirizzo specificato come mostrato in figura 5 qui sotto:

G ambra 5, azione per Facebook virus MX Server

Di distribuzione ai media (e-mail)

Diffondere la farà e-mail a tutti gli indirizzi e-mail è diperolahnya allegando un file in un ZIP. Per quelli di voi che avete un account di Facebook si prega di fare attenzione se si riceve una e-mail che avete ricevuto come se venisse da Facebook a causa della possibilità Admin e-mail che hai ricevuto è un messaggio che contiene un virus.

Se ci telurusi con la rete di monitoraggio strumenti come wireshark o comando netstat da un DOS prompt, si può vedere chiaramente che il computer è stato infettato con il virus cerca di inviare una mail ad alcuni indirizzi che sono stati trovati per includere un file allegato che contiene un virus, guardate l'immagine di sotto di 6 :

Figura 6, il virus invia stessa azione

Oltre a inviare e-mail come se provenienti da Facebook Admin, sarà inoltre rendere il computer infetto come server per l'invio di una e-mail kesejumlah indirizzo email di spam in grado (si veda la Figura 7)

Figura 7, l'attività di recapito della posta elettronica intrapresa dal virus

Antispyware invitare false "Strumenti per la sicurezza"

Un'altra azione che verrà eseguita dal virus Facebook sta per scaricare e installare un falso programma antispyware chiamato "Strumenti per la sicurezza". Questo falso antispyware che fornisce informazioni false, mostrando una fila di un virus / trojan è successo nel campo della rilevazione, le informazioni false in genere viene visualizzato continuamente in un determinato momento. (vedi figura 8 e 9)

Figura 8, il falso avviso visualizzato dal antiwpyware "Strumenti per la sicurezza"

Figura 9, che viene installato Scareware continuerà a fornire un falso avviso (Tool Avviso di protezione)

Se un utente tenta di eseguire l'azione di pulizia usando il software falso allora verrà visualizzata la schermata per consentire agli utenti di acquistare il software, se risulta che si dovrebbe ignorare perché non sarà possibile ricevere questi software antispyware.

File antyspyware "strumento di sicurezza" ha una dimensione di circa 1103 MB per il tipo di file come "applicazione" (vedi figura 10)

Figura 10, antispyware genitore File "strumenti di protezione"

Antispyware saranno i seguenti file per farsi rimanere attivi:
- C: \ Documents and Settings \ All Users \ Dati applicazioni \ 47543326
- C: \ Documents and Settings \ Elvina \ Desktop \ tools.lnk sicurezza
- C: \ Windows \ temp \ _ex-08.exe
- C: \ Documents and Settings \ Elvina \ Menu Avvio \ Programmi \ Security tools.lnk

Sicurezza antispayware Registry Tools



Come sostenitore per lui di rimanere attivi, farà alcune stringhe nel Registro di sistema seguenti:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
+ 47543326 = C: \ DOCUME ~ 1 \ ALLUSE ~ 1 \ APPLIC ~ 1 \ 47543326 \ 47543326.exe
+ PromoReg = C: \ WINDOWS \ Temp \ _ex-08.exe

- HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network
+ UID =% user% _00127065

- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
+ Rlist

L'azione anti-spyware "Strumenti per la sicurezza"
· Consente di visualizzare un messaggio di notifica che il computer è stato infettato da un virus / spyware (vedi figura 11 e 12)

Figura 11, messaggi pop-up costantemente visualizzati scareware al fine di intimidire la vittima

Figura 12, un messaggio di avvertimento da parte del Security Tools Antispyware

· Conferma Visualizzazione per aggiornare il database Antispyware Strumenti per la sicurezza (vedi figura 13)

Figura 13 Conferma aggiornamenti per la protezione Antispyware Tools

· Riavviare il computer in tempo Yeah ditetukan visualizzando sullo schermo "Blue sreen" come se ci fosse un errore nel sistema / hardware del computer che sono stati infettati.

· Wallpapers Modifica / desktop di Windows (vedi figura 14)

Figura 14, Windows Desktop sono cambiate dal antispyware "strumenti di sicurezza"

Come pulire W32/Obfuscated.D2! Genr e antispyware Strumenti per la sicurezza

  1. Di disattivare il sistema di ripristino durante il processo di pulizia
  2. Disconect il computer dalla rete / internet
  3. Dovrebbe fare la pulizia della modalità "safe mode"
  4. Installare il software "Unlocker" [http://www.filehippo.com/download_unlocker/]
  5. Spegnere il dimemory attivo processo di virus, utilizzare gli strumenti di "Security Task Manager", si prega di scaricare questi strumenti al http://www.neuber.com/taskmanager/download.html indirizzo (vedi figura 15)

    6. Figura 15, processo di virus mortale con "task manager della sicurezza"

  6. Registry Fix, per accelerare il processo di riparazione del Registro di sistema copiate questo script in Blocco note e salvarlo con il nome [repair.inf]. Eseguire le seguenti modalità:

    7. Destro del mouse la repair.inf []
    Clic sul pulsante [Installa]

    [Version]
    Signature = "$ $ Chicago"
    Provider = Vaksincom

    [DefaultInstall]
    AddReg = UnhookRegKey
    DelReg = del

    [UnhookRegKey]
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ batfile \ shell \ open \ command ,,,"""% 1 ""% * "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ comfile \ shell \ open \ command ,,,"""% 1 ""% * "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ open \ command ,,,"""% 1 ""% * "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ piffile \ shell \ open \ command ,,,"""% 1 ""% * "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ regfile \ shell \ open \ command,,, "regedit.exe"% 1 ""
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ scrfile \ shell \ open \ command ,,,"""% 1 ""% * "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, Shell, 0, "Explorer.exe"
    HKCU, Software \ Microsoft \ Internet Explorer \ Main, crostata di Page, 0, 'about: blank "
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, Userinit, 0, "userinit.exe"

    [del]
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, 47543326
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, PromoReg
    HKLM, SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, reader_s
    HKCU, Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, EnableProfileQuota
    HKEY_LOCAL_MACHINE \ SOFTWARE \ AGProtect
    HKEY_LOCAL_MACHINE \ SOFTWARE \ 47543326
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Network, UID
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion, Rlist
    HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6)
    HKU,. DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ (8FFA689D-2C2B-2B2E-D865-74C04CA4EF06)

  7. Rimuovere i file creati dal virus dal primo tersebunyi mostrando file (vedi figura 16)

    8. Vedi foto 16, i file nascosti

    Quindi eliminare i seguenti file::
    § C: \ Documents and Settings \ All Users \ Dati applicazioni \ 47543326
    § C: \ Documents and Settings \ Elvina \ Menu Avvio \ Programmi \ Security Tools.lnk
    § C: \ Documents and Settings \ Elvina \ Desktop \ Security Tools.lnk
    § C: \ Documents and Settings \ Elvina \ Application Data \ wiaservg.log
    § C: \ Documents and Settings \ Elvina \ Local Settings \ Temp \ *. tmp
    § C: \ WINDOWS \ Temp \ wpv311256600826.exe
    § C: \ WINDOWS \ Temp \ wpv411256806849.exe
    § C: \ Documents and Settings \% utente% \ reader_s.exe
    § C: \ Documents and Settings \% utente% \ Menu Avvio \ Programmi \ Startup \ isqsys32.exe
    § C: \ WINDOWS \ system32 \ reader_s.exe
    § C: \ Windows \ system32 \ wbem \ proquota.exe
    § C: \ windows \ system32 \ sdra64.exe
    § C: \ Windows \ system32 \ lowsec
    O local.ds
    O user.ds
    O user.ds.lll

    Nota:
    Per rimuovere la cartella [C: \ Windows \ system32 \ lowsec] e [C: \ windows \ system32 \ sdra64.exe], utilizzare gli strumenti "Unlocker" per separare il processo di processo di sistema di Windows (explorer.exe e svchost.exe), perché il file si inietta file [explorer.exe e svchost.exe] come:
    Fare clic destro sul file o [C: \ windows \ system32 \ sdra64.exe] o C [: \ Windows \ system32 \ lowsec]
    Oh, allora fare clic sul menu "Unlocker"
    o In Unlocker schermo, selezionare l'opzione [cancellato]
    Poi fare clic su OK o []
    o Se il messaggio di errore, a non tenerne conto (Fare clic su OK)

  8. Eliminare i file temporanei e file temporanei interet, usa il tool ATF-Cleaner [http://majorgeeks.com/download.php?det=4949] (vedi figura 17)













    9. Figura 17, i file temporanei di Internet e Elimina file temporanei

  9. Per una pulizia ottimale e prevenire una nuova infezione, anti-virus scan con up-to-date. È inoltre possibile utilizzare gli strumenti per la pulizia con Norman Malware Cleaner [http://www.norman.com/support/support_tools/58732/en-us] o Malwarebytes Anti Malware (www.malwarebytes.org) (vedi figura 18 e 19)

Figura 18, Risultati Malwarebytes Anti-Malware rilevamento

Figura 19, Risultati Norman Malware Cleaner rilevamento

Fonte: VaksinCOM




Share and Enjoy:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
  • Add to favorites

No related posts.

Tag: Virus



Lasci una risposta

Clicca qui per cancellare la risposta.

CAPTCHA Image Audio CAPTCHA
Refresh Image
Copyright © 2009 diancakra.COM. Tutti i diritti riservati.
Powered by em2u.web.id.