• Guest, pentru o varianta fara reclame a forumului oferim conturi premium. Mai multe detalii aici.

Zsolt

King Nothing
Staff member
fly-ra 2017
Feb 12, 2012
6,659
2,171
113
39
EDDK
flightradar24 feed id
My fr24 statistics
flightaware feed
My flightaware feed
Flightdiary
My fr24 profile
#1
In ultimele zile a pornit la treaba worm-ul Stekct.A. Acesta se propaga pe cam toate softurile de instant messageing, Skype, YM, GT, etc in forma unui link http://bit.ly/________?Facebook.com-_______.JPG. am inlocuit cateva caractere, ca cei din titlu sa nu poate da clcik.
Odata clickuit se duce bine, unele softuri de protectie nici nu il observa. In astfel de cazuri, singurul lucru care il poate opri este un firewall pus pe manual si un user care sa nu ii dea "Yes", adica acces la internet. Oricum, daca se ajunge pana aici, el s-a instalat bine in calculatorul vostru si asteapta momentul in care poate sari pe internet, pentru sa isi cheme "prietenii" la voi in PC.

Cum procedeaza:
1. Creaza urmatoarele fisiere:
%windir%/mdm.exe
%ProgramFiles%/mdm.exe
%PUBLIC%/mdm.exe

3. Se adauga la registry, pentur a fi sigur ca porneste de fiecare data cu windows + altele:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="[a féreg fájlneve]"
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="%windir%/mdm.exe"
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Terminal Server/Install/Software/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="%windir%/mdm.exe"

3. Se trimite mai departe celor din IM-urile voastre.
Facebook
GIMP
Google Talk
ICQ
Skype
Windows Live Messenger
Yahoo Messenger

4. Se conecteaza la un server predefinit si isi aduce "prietenii"

5. In registry adauga:
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/[numefisier]="[numefisier]:*:enabled:microsoft firevall engine"

6. Opreste urmatoarele servicii, si eventual le sterge, in cazul in care le gaeste in PC:
egui.exe
ekrn.exe
msseces.exe
svhost.exe
YahooAUService.exe

Sunt multe discutii cum se poate scapa de el, dar prevenirea este cea ma buna, si sa nu dati click pe orice primit.
Pe langa un AV si firewall in PC e bine sa aveti Malwarebytes. Un program bun, are si varianta free, care isi face treaba foarte bine.

Bafta.
 

petrudimoff

Well-Known Member
Feb 13, 2012
1,117
80
83
LRCL
#2
Multumim, la mine apare ceva de gen "Ha, Ha, Ha funny photo ! " asta e mesajul care vine cu executabilul, a venit pe facebook si Yahoo messenger , NU DATI click PE EL !
 

Zsolt

King Nothing
Staff member
fly-ra 2017
Feb 12, 2012
6,659
2,171
113
39
EDDK
flightradar24 feed id
My fr24 statistics
flightaware feed
My flightaware feed
Flightdiary
My fr24 profile
#3
Da, este un .com in spate, clar ca nu este poza.
Pe sckype circula cu "haha foto" si link.