Virus DELF.EL: Myalbum2007 - le mie foto calde via I.M.

[windino]

Ciao a tutti
Prendete per buone queste informazioni di 'prima mano'
si sta diffondendo cia I.M. un Trojan (DELF.EL) via messenger con questo invio da un contatto noto che informa che sta inviando 'le mie foto calde'
In seguito invia un file chiamato myalbum2007.zip , con doppia estensione. L'invio è ripetuto e l'utente infetto non ne è al corrente

Sul mio forum ho tutte le informazioni,quanto prima appronto un procedimento di rimozione standard++

Ciao a tutti

[windino]

Altre note:
Installa il file sysprinters.dll in system32 (backdoor ircbot.ak

Installa il file myalbum2007.zip in c:windows

crea la cartella c:install con 2 file
----
per la parte mancante devo prima aiutare le persone sul mio forum.
Ciao spero vi sarà utile

[eraser]

I software antivirus/antimalware gia riconoscono e rimuovono l'infezione (Vedi Kaspersky,Nod32,Prevx,Avira,AVG,BitDefender,Dr.Web [...])

Il dropper pure viene riconosciuto da un numero non esiguo di software antivirus/antimalware (Vedi Kaspersky,Prevx,Avira,AVG,BitDefender,Dr.Web [...])

[windino]

Ciao eraser
Lo so che viene riconosciuto. Non mi sarei certo permesso di aprire un 3d a titolo 'cè un virus ma non preoccupatevi, gli AV lo riconoscono'
In sintesi :stanotte uno contatto infetto ha cercato di inviarmelo via messenger ed avendo moltissimi contatti ho pensato che fosse molto recente (non tanto il troyan quanto le modalità di infezione )
E' facile prenderlo perchè viene preannunciato dal contatto 'nick' un messaggio che dice 'le mie foto calde'. Dopo un pò di secondi compare un allegato (myalbum2007.zip) a doppia estensione a volte (.zip.exe)
-----
Un AV lo rimuove solo un file ma i troyan effettivi sono 3 in 3 diverse cartelle : in system32, in windows e in c:\(cartella creata dal virus)

La difficoltà è che viene autorigenerato da non so quale file, ieri notte pensavo di avere rimosso tutto ma dopo poco mi è ricomparso l'invito a scaricare via mess in file infetto.
Ora: poichè non è molto documentato ed essendo inviato con preavviso italiano è facile caderci.
Questo post voleva solo essere un avviso per chiunque ricevesse una notifica simile. Stamattina per altro mi hanno fatto sapere di altre infezioni
------------
Chi non riuscisse a rimuoverlo può proseguire questo thread (diversamente dal recente 'Roberto') cosi che piu le informazioni sono circoscritte piu è facile giungere ad un esito positivo
Ciao a tutti e grazie agli admin della pazienza

[bootzenn]

Originariamente inviato da windino

E' facile prenderlo perchè viene preannunciato dal contatto 'nick' un messaggio che dice 'le mie foto calde'.

ma come è facile prenderlo si capisce lontano un miglio che è sospetto.... le mie foto calde :quote:

scusate il post poco tecnico ma a volte basta un po' di prudenza

ciao a tutti

[kkava]

io purtroppo lo ho aperto e adesso non so come toglierlo.
potete aiutarmi?

[bootzenn]

Originariamente inviato da kkava
io purtroppo lo ho aperto e adesso non so come toglierlo.
potete aiutarmi?

ciao
puoi scaricare e installare uno degli antivirus che riconosce l'infezioni (elencati da eraser)
kaspersky ha una versione di prova di 30 giorni(italiano)
ottimo anche bitdefender v8 completamente free(inglese)

[kkava]

grazie
io ho karpesky ma mi ha rimosso 2 file ma mi e' rimasto 1 che l'antivirus mi informa che non puo' essere eliminato.

[huntercity]

Originariamente inviato da eraser
I software antivirus/antimalware gia riconoscono e rimuovono l'infezione (Vedi Kaspersky,Nod32,Prevx,Avira,AVG,BitDefender,Dr.Web [...])

Il dropper pure viene riconosciuto da un numero non esiguo di software antivirus/antimalware (Vedi Kaspersky,Prevx,Avira,AVG,BitDefender,Dr.Web [...])

a me non la rilevato ne il Mcafee Viruscan
ne AVG anti Malware

per ora mi sono limitato a cancellare myalbum2007.zip nei file ricevuti in c:\windows e il file sysprinters.dll in C:\windows\system32

non ho nessuna cartella anomala in C:\

come informazione...appena vi arriva il file via msn in pratica viene bloccato msn verso quel contatto e quindi anche se gli scrivete non gli arriveranno mai i vostri messaggi

ciao

[bootzenn]

ciao

che tipo di file è quello che kaspersky non riesce a rimuovere? exe, dll.....

hai provato ad eliminarlo con kaspersky dalla modalità provvisoria?

hai provato ad eliminarlo manualmente con dei tool tipo hijackthis,avenger,killbox...