Virus DI MSN "PHOTO ALBUM"

predator87 · 01-04-2007, 12:02

Ragazzi da un pò di tempo a questa parte circola su msn un virus chiamato photo album... non accettatelo!! se qualcuno a qualche informazione scrivete (tipo di virus etc..)

wizard1993 · 01-04-2007, 12:50

Quote:

Originariamente inviato da predator87

Ragazzi da un pò di tempo a questa parte circola su msn un virus chiamato photo album... non accettatelo!! se qualcuno a qualche informazione scrivete (tipo di virus etc..)

ircbot.qc isolato da almeno due giorni

predator87 · 01-04-2007, 13:19

perfetto!

lucas84 · 01-04-2007, 13:44

Quote:

Originariamente inviato da wizard1993

ircbot.qc isolato da almeno due giorni

Ciao, sei sicuro del nome? a che antivirus è associato? quel nome risulta essere in giro da + di 2 giorni, diciamo mesi

Ciao

predator87 · 01-04-2007, 14:13

sto diavolo di virus cmq, è ancora tranquillamente in giro, infatti i miei contatti continuano a spedirlo tranquillamente e il mio antivirus nn lo riconosce.. (ho nod32) aggiornato a oggi!

Gianky....! :D :) · 01-04-2007, 14:59

Una mia compagna lo ha accettato e si stavo inviando anche a me!
è un file zip e bisogna accettarlo (normale procedura) e sotto il file ti compare una scritta in inglese che ho letto di fretta (non me la ricordo bene) ma si rifaceva a donne nude!
Cmq il file non mi è arrivato perchè la mia compagna ha chiuso msn !
Voi sapete se il kaspersky lo rileva?

lucas84 · 01-04-2007, 15:07

se ti vai mandare il file puoi vedere chi lo ricosce, essendo un file compresso non corri rischi, ciao

PS:Kspersky ha fatto questi aggiornamenti(ultimamente)
http://www.kaspersky.com/viruswatchl...hour_offset=-2
im sta per instant messanger il veicolo di questa infenzione, puo darsi che sia uno di quelli

Gianky....! :D :) · 01-04-2007, 15:10

Quote:

Originariamente inviato da lucas84

se ti vai mandare il file puoi vedere chi lo ricosce, essendo un file compresso non corri rischi, ciao

PS:Kspersky ha fatto questi aggiornamenti(ultimamente)
http://www.kaspersky.com/viruswatchl...hour_offset=-2
im sta per instant messanger il veicolo di questa infenzione, puo darsi che sia uno di quelli

ora vediamo se ci riesco...
Lei dice che non c'è l'ha più!

Ma dubito che abbia AV

lucas84 · 01-04-2007, 15:23

http://www.cisrt.org/bbs/viewthread....extra=page%3D1
http://www.cisrt.org/bbs/viewthread....extra=page%3D1

Gianky....! :D :) · 01-04-2007, 15:32

Quote:

Originariamente inviato da lucas84

http://www.cisrt.org/bbs/viewthread....extra=page%3D1
http://www.cisrt.org/bbs/viewthread....extra=page%3D1

è proprio questo!
è sotto leggendo c'è pure la frase delle ragazze nude

lucas84 · 01-04-2007, 15:36

Se hai ancora la possibilità di farti spedire l'archivio, me lo invieresti? Grazie

Ciao

Gianky....! :D :) · 01-04-2007, 16:12

Quote:

Originariamente inviato da lucas84

Se hai ancora la possibilità di farti spedire l'archivio, me lo invieresti? Grazie

Ciao

Si certo

Ma mi sa che non riuscirò a farlo arrivare...

lucas84 · 01-04-2007, 16:22

Ho appena ricevuto un sample di questo malware ma penso che sia un altra variante in quanto è compresso con eXPressor gli altri da come ho letto con upx, da un primo sguardo è uguale agli altri.
Il malware è stato scritto il 14 del mese scorso

Quote:

AhnLab-V3 2007.3.31.0 04.01.2007 Win32/ShadoBot.worm.24772
AntiVir 7.3.1.47 04.01.2007 TR/Agent.24772
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 03.31.2007 no virus found
AVG 7.5.0.447 03.31.2007 Worm/Generic.BAG
BitDefender 7.2 04.01.2007 Worm.Sedoubot.A
CAT-QuickHeal 9.00 03.31.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.01.2007 Trojan.IRCBot-967
DrWeb 4.33 04.01.2007 BackDoor.IRC.Shadowbot
eSafe 7.0.15.0 03.31.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3527 03.31.2007 no virus found
Ewido 4.0 04.01.2007 Backdoor.IRCBot.aaq
FileAdvisor 1 04.01.2007 no virus found
Fortinet 2.85.0.0 04.01.2007 W32/Parite.fam
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.01.2007 Backdoor.Win32.IRCBot.aaq
Ikarus T3.1.1.3 04.01.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 04.01.2007 Backdoor.Win32.IRCBot.aaq
McAfee 4997 03.31.2007 no virus found
Microsoft 1.2306 04.01.2007 no virus found
NOD32v2 2160 03.31.2007 a variant of Win32/IRCBot.WO
Norman 5.80.02 03.31.2007 W32/Malware.NKD
Panda 9.0.0.4 04.01.2007 no virus found
Prevx1 V2 04.01.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious
Symantec 10 04.01.2007 no virus found
TheHacker 6.1.6.083 03.30.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.3 04.01.2007 suspected of Trojan-PSW.Pinch.130 (paranoid heuristics)
VirusBuster 4.3.7:9 03.31.2007 no virus found
Webwasher-Gateway 6.0.1 04.01.2007 Trojan.Agent.24772
Trend Micro 8.310-1002 TROJ_IRCBOT.ST

Alcune stringhe presenti nel codice

Quote:

mfao hey im sending my new photo album, Some bare funny pictures!
lol my sister wants me to send you this photo album
Hey i been doing photo album! Should see em loL! accept please mate

HEY lol i've done a new photo album !

Second ill find file and send you it.
Hey wanna see my new photo album?
looooooooooooooooooooooooooooooooooooooo!!

OMG just accept please its only my photo album!!
Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...
Hey just finished new photo album!

might be a few nudes

lol...
hey you got a photo album? anyways heres my new photo album

accept k?
hey man accept my new photo album..

made it for yah, been doing picture story of my life lol..
\photo album.zip
PRIVMSG %s :MSN worm sent to: %d contacts
DdM
unknown
Explorer.exe
pstorec.dll
PStoreCreateInstance
ProtectedStorage
PRIVMSG %s : wow: %s %s:%s
StringIndex
:String
:String
http:/
https:/
PRIVMSG %s : wow:%s %s:%s
k#chat
w w w.free8.biz
e5d972968afa2721d683b61a0d237b54
lol lol lol :shadowbot2
net stop "Security Center"
net stop SharedAccess
SYSTEM\CurrentControlSet\Services\SharedAccess
Start
Start
SYSTEM\CurrentControlSet\Services\wuauserv
Start
Start
SYSTEM\CurrentControlSet\Services\wscsvc
Start
Start
wget
imstart
sp2f
pstore
skysyn
msnfuck
.exe
PRIVMSG %s :Executed [%s]
PRIVMSG %s :Failed [%s]
dnsapi.dll
suckmydick

omgfuckingstupidgay!!!
NICK [%s][%iH]%s
USER %s
JOIN %s
PING :
PING :
PING :
PONG :%s
NICK [%s][%iH]%s
JOIN %s
KICK
JOIN %s
.imstart
PRIVMSG
NOTICE
explorer.exe
rdihost.dll
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
rdihost
CLSID\
\InProcServer32
\photo album.zip
photo album2007.pif
rdihost.dll

wizard1993 · 01-04-2007, 16:23

Quote:

Originariamente inviato da Gianky....! :D :)

Si certo

Ma mi sa che non riuscirò a farlo arrivare...

metti in una file archivio protetto da password (inferiore a tre lettere per me sarebbe meglio) e lo metti su mytemp dir

Gianky....! :D :) · 01-04-2007, 16:54

Quote:

Originariamente inviato da wizard1993

metti in una file archivio protetto da password (inferiore a tre lettere per me sarebbe meglio) e lo metti su mytemp dir

RAGAZZI!!!!!!!!!
La cosa è grave!
Altre 2 mie compagne infette!
Accetto il virus ma kaspersky lo blocca non ne vuole sapere di farlo entrare!!!

lucas84 · 01-04-2007, 16:56

disattivalo

tanto so 10 secondi

oppure se trovano i files, te li fai inviare con la pass, sempre che non hai attivato l'opzione di kas che rompe anche sui file protetti da pass

Ciao

Gianky....! :D :) · 01-04-2007, 17:00

Quote:

Originariamente inviato da lucas84

disattivalo

tanto so 10 secondi

oppure se trovano i files, te li fai inviare con la pass, sempre che non hai attivato l'opzione di kas che rompe anche sui file protetti da pass

Ciao

Cmq sapete se esiste un removal tool per gli infetti ?

wizard1993 · 01-04-2007, 17:02

per rimuovere il virus
(citando una soluzione già utilizzata su un altro forum: p2p forum utente LadyHawke)

con avenger di cui potete trovare una guida qui, http://www.megalab.it/articoli.php?id=946
inserite lo script

Files to delete:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

Gianky....! :D :) · 01-04-2007, 17:11

Quote:

Originariamente inviato da wizard1993

per rimuovere il virus
(citando una soluzione già utilizzata su un altro forum: p2p forum utente LadyHawke)

con avenger di cui potete trovare una guida qui, http://www.megalab.it/articoli.php?id=946
inserite lo script

Files to delete:
%windows%\photo album.zip
%system%\rdfhost.dll
%system%\rdihost.dll
%system%\rdshost.dll

HO IL VIRUS
MESSO hxxp://www.mytempdir.com/1278669

lucas84 · 01-04-2007, 17:15

Quote:

Originariamente inviato da Gianky....! :D :)

HO IL VIRUS
MESSO hxxp://www.mytempdir.com/1278669

E' uguale al mio

01-04-2007, 12:02	#1
predator87 Senior Member Iscritto dal: Aug 2005 Messaggi: 12902	Virus DI MSN "PHOTO ALBUM" Ragazzi da un pò di tempo a questa parte circola su msn un virus chiamato photo album... non accettatelo!! se qualcuno a qualche informazione scrivete (tipo di virus etc..)

01-04-2007, 15:07	#7
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	se ti vai mandare il file puoi vedere chi lo ricosce, essendo un file compresso non corri rischi, ciao PS:Kspersky ha fatto questi aggiornamenti(ultimamente) http://www.kaspersky.com/viruswatchl...hour_offset=-2 im sta per instant messanger il veicolo di questa infenzione, puo darsi che sia uno di quelli __________________ Il dubbio è il padre del sapere.

01-04-2007, 15:23	#9
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	http://www.cisrt.org/bbs/viewthread....extra=page%3D1 http://www.cisrt.org/bbs/viewthread....extra=page%3D1 __________________ Il dubbio è il padre del sapere.

01-04-2007, 15:36	#11
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Se hai ancora la possibilità di farti spedire l'archivio, me lo invieresti? Grazie Ciao __________________ Il dubbio è il padre del sapere.

01-04-2007, 16:56	#16
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	disattivalo tanto so 10 secondi oppure se trovano i files, te li fai inviare con la pass, sempre che non hai attivato l'opzione di kas che rompe anche sui file protetti da pass Ciao __________________ Il dubbio è il padre del sapere.

01-04-2007, 13:19	#3
predator87 Senior Member Iscritto dal: Aug 2005 Messaggi: 12902	perfetto!

01-04-2007, 14:13	#5
predator87 Senior Member Iscritto dal: Aug 2005 Messaggi: 12902	sto diavolo di virus cmq, è ancora tranquillamente in giro, infatti i miei contatti continuano a spedirlo tranquillamente e il mio antivirus nn lo riconosce.. (ho nod32) aggiornato a oggi!

01-04-2007, 14:59	#6
Gianky....! :D :) Bannato Iscritto dal: Sep 2006 Città: Palermo Messaggi: 1241	Una mia compagna lo ha accettato e si stavo inviando anche a me! è un file zip e bisogna accettarlo (normale procedura) e sotto il file ti compare una scritta in inglese che ho letto di fretta (non me la ricordo bene) ma si rifaceva a donne nude! Cmq il file non mi è arrivato perchè la mia compagna ha chiuso msn ! Voi sapete se il kaspersky lo rileva?

01-04-2007, 17:02	#18
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	per rimuovere il virus (citando una soluzione già utilizzata su un altro forum: p2p forum utente LadyHawke) con avenger di cui potete trovare una guida qui, http://www.megalab.it/articoli.php?id=946 inserite lo script Files to delete: %windows%\photo album.zip %system%\rdfhost.dll %system%\rdihost.dll %system%\rdshost.dll __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza Ultima modifica di wizard1993 : 01-04-2007 alle 17:06.

Strumenti
Mostra una versione stampabile Invia questa pagina per email