W32.Mubla.B - Nuovo Virus Delle Foto Su Windows Live Messenger e MSN

Luglio 31, 2007 on 7:57 pm | In Msn, Virus, Web, Windows Live Messenger |

Ecco il nuovo virus che gira tra i contatti del vostro windows live messenger / msn. Funziona come i vecchi. Basta che lo prenda uno e questo incominciera’ all’impazzata a mandare file e scritte a tutti i vostri contatti, infettando chi scarichera e aprira’ il file.

Il file in questione si chiama photosalbum-2007-5-26.sc

Delle volte oltre ad inviarvi il file vi manda anche un url di un sito tipo http://membres.lycos.fr/pictures2007/photos-webcam2007.zip NON APRITELO.

Solitamente prima di inviare il file il virus ti scrive una di queste cose:

You and Me !!! …. look :p
Look at my photos hihi :p
Hey please accept my photos :o !!
A photo with me and my best friend :$ !!
This is me totaly naked :o please dont send to anyone else
Look what i found on the NET :o Jessica Alba NUDE !!
images0
photos0
album
photo
pictures0
picture
bak sana Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! …. BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
bak ne buldum :o Jessica alba ciplak !!
lle ai .t. jeter en prison :(
Toi et moi !!! …. regarde :p
Regarde mes photos :p
Hey s’,27h,’il te plait accepte mes photos :o !!
Une photo de moi et mon meilleur ami :$ !!
envoie a personne d’,27h,’autre
NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! …. kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
Kijk wat ik gevonden heb :o Jessica Alba naakt !!
aus dem knast ist :(
du und ich !!! ….guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
!!
a :(
Tu ed io !!! …. guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
A !!
:(
Voc. e eu !!!! …. Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
ingu.m
Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! …. QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
KAN WO DE ZHAOPIAN :p
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Hey, acceptera mina bilder, sn.lla :o
En bild p. mig och min b.sta v.n :$ !!!
n.lla…
Kolla vad jag hittade p. n.tet :o Jessica Alba NAKEN !!
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
die
Mira lo que encontr. en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f.ngsel :(
Jer og Mig !!! … se :p
Se p. min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
il nogle :o
Lede hvad jeg fandt oven p. den net :o Jessica Alba bar !!

Se per caso avete aperto il file dentro il virus andra’ a scrivere nel vostro registro di sistema questo:

HKEY_CURRENT_USER\Software\Microsoft\[RANDOM LETTERS]\”[RANDOM LETTERS]” = “[BINARY DATA]”
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InProcServer32\”(Default Value)” = “notiffy.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\”printers” = “{[RANDOM CLSID]}”

e crea questi file:

* %System%\notiffy.dll
* %System%\printers.exe

—————————————
Per prima cosa aggiornate il vostro Antivirus e Fate una scansione COMPLETA del vostro pc.
Dopo di che andate su
Start -> Esegui -> e Scrivete REGEDIT

Cercate queste stringhe

HKEY_CURRENT_USER\Software\Microsoft\[RANDOM LETTERS]\”[RANDOM LETTERS]” = “[BINARY DATA]”
HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InProcServer32\”(Default Value)” = “notiffy.dll”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\”printers” = “{[RANDOM CLSID]}”

E cancellatele.

Popularity: 12% [?]

45 commenti »

RSS feed dei commenti a questo articolo. TrackBack URI

  1. KEY_CURRENT_USER\Software\Microsoft\[RANDOM LETTERS]\”[RANDOM LETTERS]” = “[BINARY DATA]”

    Ciao e scusa l’ignoranza… ma cosa si intende per random?

    Commento di Lupo — 1 Agosto 2007 #

  2. Ciao Lupo.. non ti devi scusare…

    Per random intendo a caso.. per esempio “suhfiaunfrpr” capito? :)

    Commento di goFFi — 2 Agosto 2007 #

  3. Ah.. ecco allora dove è la difficolt ! Le chiavi sono veramente tantissime.. =)
    Grazie della dritta.. mi metto a setacciare il registro.

    Commento di Lupo — 2 Agosto 2007 #

  4. ciao e grazie per l’aiuto! :)

    Commento di Gigi — 2 Agosto 2007 #

  5. Figurati ;) comunque ho scritto poco fa un articolo dacci un occhio. che magari usando il programma sei piu sicuro :) per aiuto dimmelo che io sono sempre qua :)

    Commento di goFFi — 3 Agosto 2007 #

  6. Scusate…. non è che per caso possa non aver scritto nulla nel registro? Ho fatto una ricerca di “notiffy.dll” e non mi ha trovato nulla!

    Commento di Marco — 3 Agosto 2007 #

  7. Ciao Marco! probabile.. pero’ ti consiglio di usare questo programma che ho postato su questo articolo
    http://blog.s0ka.com/programma-per-eliminare-piu-facilmente-il-virus-photoalbumzip

    e ricordati di fare una bella scansione completa sul tuo pc.!

    Commento di goFFi — 3 Agosto 2007 #

  8. Ti ringrazio….. La scansione l’ho fatta completa.

    Commento di Marco — 3 Agosto 2007 #

  9. Siamo sicuri vero che non è uno scherzo??! Posso tranquillamente lanciare il programmino?

    Commento di Marco — 3 Agosto 2007 #

  10. ma di file te ne può aver creato solo uno o per forza tutti e due??
    e le stringhe bisogna trovarle tutte??xkè io ne ho trovata solo una..

    Commento di magda — 3 Agosto 2007 #

  11. Ciao magda.. se hai problemi usa il programma che ne parlo qua http://blog.s0ka.com/programma-per-eliminare-piu-facilmente-il-virus-photoalbumzip

    è piu facile e ti aiutera’.

    Commento di goFFi — 3 Agosto 2007 #

  12. [...] W32.Mubla.B - Nuovo virus per MSN Messenger [...]

    Pingback di Best of Week #8 « Gioxx’s Wall — 5 Agosto 2007 #

  13. ciao,scusa il disturbo,ho il virus,con la prima scansione l’ho messo in quarantena,ma continuavo ad aver problemi a msn,ho provato col programmino,ma niente manda lo stesso messaggi ai miei contatti e mi chiude messenger,ho provato con il modo manuale ma non c’è nessuna delle 3 stringhe,che devo fare?a me al max dopo mezz’ora mi apre e chiude tutte le pagine dei contatti online(manddandogli il virus)e poi mi blocca messenger,in pratica devo chiudere e riaprire..
    ciao
    e grazie

    Commento di luca — 7 Agosto 2007 #

  14. @luca__ prova a scansionare con un buon antivirus tutto il pc. e riprova ad usare il programma. usi windows live messenger o msn? ciao

    Commento di goFFi — 7 Agosto 2007 #

  15. ciao ho sempre lo stesso problema nn trovo le stringhe ke mi dite nn posso scaricare il programma ke dite xkè ho gi norton360 cosa posso fare aiutoooo a e poi è grave questo virus mi può daneggiare il computer?

    Commento di patricia — 7 Agosto 2007 #

  16. @patricia : ciao anche te prova a fare una scansione completa e usare il programma che non funge come antivirus ma ha solo lo scopo di elimnare quelle stringhe che il virus ha “costruito”.

    Il computer non lo danneggia. pero’ i tuoi dati sensibili di msn sono stati rubati quindi ti conviene subito cambiare la password del tuo msn!

    Commento di goFFi — 8 Agosto 2007 #

  17. ciao..io ho provato a fare quello k c’è scritto sopra…ma sulla fdinestra k mi si apre non vedo nulla di simile a:

    HKEY_CURRENT_USER\Software\Microsoft\[RANDOM LETTERS]\”[RANDOM LETTERS]” = “[BINARY DATA]”
    HKEY_CLASSES_ROOT\CLSID\{[RANDOM CLSID]}\InProcServer32\”(Default Value)” = “notiffy.dll”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\”printers” = “{[RANDOM CLSID]}”

    è possibile?

    Commento di punx7 — 9 Agosto 2007 #

  18. @punx7 : A posto di [Random Letters] ci sono “LETTERE A CASO” del tipo “kzjsdbnuaisdbòdf” capito?
    Ogni volta che ce scritto Random = A caso.

    Commento di goFFi — 9 Agosto 2007 #

  19. [...] venuti fuori ho notato che molti dopo aver seguito le guide che ho scritto riguardanti il virus W32.Mubla.B a molti utenti non andava piu windows live messenger e quindi direi che come ultima chance di [...]

    Pingback di goFFi Blog » Riparare Windows Live Messenger Dopo Aver Tolto Il Virus Photo o Altro — 9 Agosto 2007 #

  20. Ciao, io ho il virus. Ho eseguito le procedure iniziali che tu ci hai gentilmente suggerito ma non riesco a cancellare le stringhe poiche la voce “elimina” non compare proprio… come fare? Grazie in anticipo

    Commento di laura — 17 Agosto 2007 #

  21. @laura : ciao purtroppo diciamo che è un errore del programma.. perche quando copi e incolli qualcosa lui pensa che in realta’ non ci sia scritto niente perchè tu non hai digitato.. fai una cosa.. alla fine di tutte le stringe vai a capo e scrivi “ciao” e poi cancellalo cosi lui pensa che hai scritto il tutto a mano.. per problemi riscrivi che ti aiuto :) ciaoz

    Commento di goFFi — 18 Agosto 2007 #

  22. Ciao , il virus con cui mi sta tartassando un mio amico dal suo msn si chiama S_00305_jpg.zip(379 KB) seguito o preceduto da frasi tipo (sguardo di lol a questo) , o pure (controllo di distorsione di velocit questo fuori) ed altre che non sto qui ad elencare , comunque io non l’ho aperto perchè mi è puzzato da subito di virus viste le frasi con un italiano poco corretto , ma ha colpito questo mio amico che ormai mi assilla, come posso aiutarlo, cioè a tuttoggi esiste un antivirus che lo riconosce che voi sappiate?

    Commento di retaras — 27 Agosto 2007 #

  23. ank’io ho il virus s_00305_jpg..come faccio ad eliminarlo?????

    Commento di laura — 31 Agosto 2007 #

  24. ciao skusa…ank’io ho il problema di lucia….mi compaiono le stringhe…ci clicco col tasto destro,ma nn compare la voce elimina…..nn capisco cosa devo fare………help!!!

    Commento di ANNA — 7 Settembre 2007 #

  25. @Anna lo gia scritto come fare, basta keggere bene i commenti.. cmq te lo riscrivo..:

    ciao purtroppo diciamo che è un errore del programma.. perche quando copi e incolli qualcosa lui pensa che in realta’ non ci sia scritto niente perchè tu non hai digitato.. fai una cosa.. alla fine di tutte le stringe vai a capo e scrivi “ciao” e poi cancellalo cosi lui pensa che hai scritto il tutto a mano.. per problemi riscrivi che ti aiuto

    Commento di goFFi — 7 Settembre 2007 #

  26. ciao scusate sono stata contattata da questo virus con frasi come le vostre però non ho ricevuto nessun file solo frasi senza senzo vorrei capire se per caso sono stata contaminata anche io e svolgere qualke procedura particolare grazie anticipatamente delle risposte

    Commento di criss — 8 Settembre 2007 #

  27. @criss : se non ti è arrivato nessun file e non hai accettato nessun file non sei stata infettata.. ma avverti i tuoi amici ( quelli che ti hanno inviato le scritte ) che sono stati infettati

    Commento di goFFi — 8 Settembre 2007 #

  28. ok grazie mille delle informazioni

    Commento di criss — 8 Settembre 2007 #

  29. ragazzi non so come fare! nel registro non compare nessuna delle cose descritte!
    non so come devo fare!grazie in anticipo! Luca

    Commento di luca — 10 Settembre 2007 #

  30. @luca : usa il programma che fa tutto in automatico! Leggi bene il blog che lo troverai! :)

    Commento di goFFi — 10 Settembre 2007 #

  31. scusate ma il programma funziona cn msn staccato?
    e poi lantivirus devo disabilitarlo?
    xkè nn mi si toglie sto virus!
    grazie 1000!

    Commento di Paris — 22 Settembre 2007 #

  32. ciao….scusa l’ignoranza ma vorrei saxe k intendi quando dici di cercare quelle stringhe?fino a digitare regedit ci sono….ma poi nn so andare avanti,….mi dici x favore al più presto km posso continuare la procedura???grazie

    Commento di vally — 2 Ottobre 2007 #

  33. ciao vally. C’e’ un post dove parla di un programma che fa tutto in automatico. usa quello.

    Commento di goFFi — 3 Ottobre 2007 #

  34. c’è un bastardo ke mi è entrato nel pc e la notte cambia i miei mex personal….come faccio a ricambiargli il favore??o almeno dimmi come faccio a cacciarlo dal pc…nn riesco a tracciarlo nn lo trovo e nn ho idea di ki cazzo sia!!!!!scusa ma potresti darmi una mano??

    Commento di pier — 2 Novembre 2007 #

  35. Ciao Pier. Per cacciarlo ti conviene cambiare password di msn.. vedrai che non potra’ piu entrare nel tuo contatto :)

    Commento di goFFi — 2 Novembre 2007 #

  36. ho gi usato il programma da te creato ma i miei contatti ancora si lamentano….come posso fare??? rispondimi al più presto nn ne posso più…..grazie

    Commento di Nicola — 19 Novembre 2007 #

  37. @Nicola : strano che con il programma non funzioni.. a sto punto ti consiglio di fare quella manuale.. anche se prima prova a fare una scansione con un antivirus tipo AVG o Antivirs e poi rifai partire il programma.

    Commento di goFFi — 19 Novembre 2007 #

  38. aiutami a sbloccare il virus che c’e sul mi computer quello che è su messsenger

    Commento di stefany — 12 Dicembre 2007 #

  39. @stefany : ho scritto come rimuoverlo. basta leggere e seguire quello che dice. ciao :)

    Commento di goFFi — 12 Dicembre 2007 #

  40. non sono la prima nè purtroppo l’ultima…ma nn riesco a levare sto cavolo di virus…cioè nelle stringhe nn trovo nulla di strano..o sn io ke nn so cercare..poi ho lanciato il tuo programma e dopo aver clikkato start si è kiusa la pagina senza problemi..ma il virus persiste..ho anke cambiato password..intanto sto scannerizzando pc…uffi…aiuto..ke cretina sn stata..mai accettati virus..nn c sn mai cascata..oggi è giornata no..

    Commento di veronica — 14 Gennaio 2008 #

  41. http://members.lycos.co.uk/facebookbeautifuls/?=adressmsn@hotmail

    qs è il virus ke mi sono beccata io…ovviamente al posto di address c’era il mio..e me l’aveva inviato un mio contatto..ma vuol dire ke l’avevo beccato prima io o prima lui??…

    Commento di veronica — 14 Gennaio 2008 #

  42. ok…io sono al primo passaggio…come si fa la scansione?sono andata nella baretta in basso su avast ma mi dice che è gi attivo…allora ho fatto il resto ma non vengono quelle scritte..pero sono stata sicuramente infettata…scusa l ignoranza ma non so che fare

    Commento di fra — 25 Gennaio 2008 #

  43. ciao,scusa ma non riesco a togliere il virus
    non trovo le cartelle che mi dici…mi puoi aiutare???grazie ciao

    Commento di micky — 25 Febbraio 2008 #

  44. anch’io ho il virus che parte da solo a tutti i miei contatti, eppure io non scrivo niente ma ai miei contatti viene scritto che devono cliccare su un certo link perchè c’è una loro foto, detto da me che però non è così!
    ho fatto il passaggio ESEGUI - REGEDIT
    ma devo cancellare proprio quelle 3 cartelle
    HKEY_CURRENT_USER, HKEY_CLASSES_ROOT e HKEY_LOCAL_MACHINE????? perchè provo a entrare dentro ma non trovo il percorso che mi dite voi…

    Commento di AIUTO — 28 Febbraio 2008 #

  45. MI HANNO APPENA CAMBIATO LA PASSWORD SU L’ACCOUNT DI MSN NN SO CHE VIRUS è AIUTATEMI

    Commento di ANTONIO — 29 Aprile 2008 #

Lascia un commento

XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Powered by WordPress and by s0ka.com & goFFi Top