Am prezentat in articolul anterior cate ceva despre acest virus, dar acum il vom “lua la bani marunti”.
Ca sa scapati de acest virus trebuie sa descarcati, apoi sa dezarhivati si sa rulati urmatorul utilitar. Download.
Nu ne asumam responsabilitate in cazul in care apar probleme la rularea utilitarului.
Mai intai vom prezenta pasii ganditi de atacator pentru a infecta cat mai multa lume.
1. Este trimis un mesaj de genul “tu ti-ai facut profilu asta? http://roamateursxx.freehostking.com/profile.php?user=ID”, unde ID este id-ul celui care primeste acest mesaj.
2. Pentru ca este primit de la cineva din lista probabilitatea ca acest utilizator sa dea click este foarte mare.
3. Dupa ce se da click va aparea o pagina ca urmatoarea.
Aici intalnim doua mesaje. Unul pentru a ne face sa credem ca avem nevoie de flash(cel de jos). Si un al doilea mai sus care ne “usureaza” munca dandu-ne link direct catre flash player. Problema este ca linkul nu duce catre situl oficial ci catre un site de file-sharing pe care gasim un fisier executabil.
Majoritatea ii vor da download si vor incerca sa il instaleze.
Va arata ca si cum face download la ceva de pe internet, dar de fapt e doar o bara care se incarca. Dupa ce termina va arata o eroare, iar procesul se va intrerupe.
In acest timp el ruleaza in background, unde face mai multe operatiuni.
Registri:
- Creeaza in “HKLM\SOFTWARE\first” doua chei. Una USER in care va fi salvat ID-ul si inca una Parola in care va fi salvata, logic, Parola.
- Modifica in “HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon” cheia “Shell” astfel incat sa ruleze odata cu bine-cunoscutul “explorer.exe”.
Mai creaza si urmatoarele fisiere in folderul system32 din windows.
- NAME.exe, unde NAME este un sir de caractere aleatoriu format din pana la 7 caractere.(totusi e posibil sa fie si mai lung). Iconita acestui executabil este de Internet Explorer.
- libeay32.dll
- ssleay32.dll
Mai trebuie neaparat sa spunem ca virusul se activeaza abia dupa primul restart dat calculatorului.
Dupa ce am dat restart virusul va sterge din registri ID-ul si parola, asta in cazul in care avem optiunea de “Remember ID and password” activata, pentru a ne obliga sa o scriem din nou si a o captura si salva in campurile special create din “HKLM\SOFTWARE\first”.
La prima logare ne va da o eroare, dar a doua oara va intra pe ID-ul nostru fara probleme si nu vom sti ca suntem virusati.
De aici si pana la trimiterea de mesaje la toata lista nu mai este decat o simpla comanda.
Interesant este ca pe tot parcursul acestor teste virusul nu a incercat conectarea la nici o adresa de internet.
Fisierele analizate pe virustotal.com
YahooAuth2.dll – link
libeay32.dll – link
ssleay32.dll – link
NAME.exe – link
Si pe rstcenter aveti virusul analizat, dar nici o metoda de dezinfectare viabila.
