Tình hình là có con này đang lây lan rất nhanh. Victim khi bị nhiễm sẽ tự động send toàn list yahoo tin nhắn với nội dung như sau: Và, khi click vào thì... yeah. exe mai rảnh sẽ cài máy ảo làm chuột bạch xem rốt cuộc nó làm cái gì. just announcing more updates: các domain như miggiphotos, twitter-photos v.v đều đã bị suspend, thay vào đó là Mã: http://photo4urspace.com/image.php and more, điểm chung là đều có /image.php virus đã chính thức có biến thể mới, nhưng vẫn bị detect bởi các AV, như avast của mình hôm qua chưa detect đc thì hôm nay đã detect đc cả biến thể của nó quy trình hoạt động (vắn tắt): - victim click vào link bạn bè gửi, của sổ download file sẽ hiện ra. đó là theo như mình test ở Firefox 3, IE 7 và 8; còn không rõ ở IE 6 thì hacker có lợi dụng exploit gì đó để activate virus mà không cần qua hộp thoại download file hay không - file name sẽ có dạng IM93424.JPG-www.myspace.com - sau khi run, nó sẽ drop 4 file sau vào folder \WINDOWS + infocard.exe (copy bản thân virus vào folder windows và rename) + mds.sys + mdt.sys + winbrd.jpg (chả hiểu nó là cái hình gì) ở biến thể mới nhất thì nó còn drop vào \documents and settings\administrator + cluin.exe registry: tạo khóa start-up : hkey_current_user\software\microsoft\windows\currentversion\run Mã: Firewall Administrating -> infocard.exe kèm theo cluin.exe đã nói ở trên tương tự với HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run thêm vào exception của windows firewall HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List mở trang web http://browseusers.myspace.com/Browse/Browse.aspx -> sạch fake keyboard + mouse activity để send toàn bộ list yahoo messenger 15~20 phút / lần với nội dung Mã: foto :D [link to attacked site] cách diệt: hiện tại phần lớn AV đã có thể xử lý con này, nếu muốn nhẹ nhàng có thể xài malwarebytes anti malware còn nếu thích mày mò thì có thể tự diệt bằng cách xóa các file và registry key ở trên
a có bạn bên security cũng đang hỏi về con này, mình bảo tắt sys restore và scan full máy -> ko biết kq ra sao ?
Hôm qua con bạn mới bị, giờ xong rồi. Mã: http://translate.google.com/translate?hl=en&sl=auto&tl=en&u=http%3A%2F%2Fdevirusare.com%2F2010%2F04%2F30%2Fyahoo-messenger-virus-httpzhelefun-comimage-php-si-httptviceimg-comimage-php%2F
cái này thằng bạn mình mới gửi,send toàn bộ yahoo lít làm tốn hơi đi xin lỗi mình quét bằng AVG thì diệt được ---------- Post added at 22:34 ---------- Previous post was at 22:31 ---------- cái này thằng bạn mình mới gửi,send toàn bộ yahoo list làm tốn hơi đi xin lỗi mình quét bằng AVG thì diệt được
từ tối bị boom ym vì con này tin cứ đến tới tấp lần đầu thì ấn vào nhưng ra cái bảng IDM thì thôi luôn
Trình duyệt bây giờ đều hỏi trước khi download file .exe về , cần gì phải có IDM mới đỡ được. Mà download về rồi mình click vào thì nó mới cài -> Dính.
^ không chỉ send cả list mà còn send đều -> gây khó chịu, chứ send cả list không thôi thì thường quá. #3 có nêu info của nó rồi mà.
Vừa thấy có thằng send cái link như này hxxp://lmages-space.com/image.php . May mà gamevn luôn online 15/24 nên cập nhật thông tin nhanh
