Primul virus pentru Y!Mess în limba română!!!
Mai devreme sau mai târziu, trebuia să apară și asta. Deși, aș zice că e mai degrabă un virus de genul celui care dădea massuri cu “Michael Jackson is gay”, în care au fost modificate linkurile și mesajele. Dar, după ce vă povestesc mai în detaliu, decideți singuri dacă așa e sau nu.
Aș băga mâna în foc că ai primt și tu în ultima lună un mass de genul:
-“sa intri sa imi zici ce parere ai ca sigur recunosti personaju 
o cunosti?”
-“chiar vroiam sa te apelez, ai virusi si imi trimiti tot felu de mailuri ia programu asta sa il scoti ca l-am avut si eu sau daca nu intra pe http://www.[link].ro”
-“afla cine te are pus la invizibil sau la ignore cu un singur click chiar si persoanele care sunt offline http://[link].blogspot.com”
-“ce faci? Super tare!!!!!!!! http://[link].blogspot.com”.
Și, uimitor, îi răspunzi, și, surpriză: vorbește cu tine! Răspunsurile pe care le primești sunt totuși limitate (e un robot, la urma urmei, mult mai slab decât cei pe care îi vom face noi la proiectul de la intelgineța artificială), și sunt în funcție de anumite cuvinte care se regăsesc în răspunsul nostru: dacă replica noastră conține cuvântul “virus”, vom primi răspunsul “intra ca nu e nici un virus”, pentru o replică ce conține cuvântul “esti”, primești răspunsul “uita`te si vrb dupa”. Lui “merge” îi corespunde “trebuie sa instalezi program ca sa mearga”, pentru mesaj ce conține cuvântul “frica” ți se răspunde cu “nu are de ce sa-ti fie frica”, etc.
dacă replica noastră conține cuvântul “virus”, vom primi răspunsul “intra ca nu e nici un virus”
Deci, tragi concluzia că nu e doar un mass, ci chiar ai purtat o conversație cu cel care ți-a dat linkul, și dai repede click. Intri pe site (cele mai multe de pe blogspot.com), iar aici, un filmuleț, pentru care ai nevoie de un codec “special”, pe care evident, nu îl ai instalat. Mare noroc ca pe site ți se oferă un link de pe care poți să descarci acel codec (divix, divxi, numele e destul de suspect). Curios din fire, descarci repede “codecul”, îl instalezi, și totuși nu poți să vezi filmulețul. Asta este, nu merge, nu merge.
Ce s-a întâmplat de fapt între timp?
Trecem la ceva detalii tehnice: de îndată ce execuți minunatul codec, următoarele fișiere sunt copiate pe system: %WINDIR%\system32\yahooui.exe, %WINDIR%\system32\yahooauth2.dll, %WINDIR%\system32\ssleay32.dll, %WINDIR%\system32\libeay32.dll. Primul din ele este virusul, următoarele 3, sunt fișiere clean. Și dacă primul tot e virus, nu se putea să nu pornească de fiecare dată cand bootezi. Pentru asta, adaugă în cheia de registri HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell stringul %WINDIR%\system32\yahooui.exe. Când yahooui.exe ajunge să ruleze (după primul restart), acesta creează cheia de regiștri HKLM\SOFTWARE\Yahoo\lidl și așteaptă ca userul să se logeze pe messenger și îi fură userul și parola și le memorează în cheia de registri tocmai creată, în campurile USER si PASS. Apoi, începe să dea massuri la toata lista, de genul celui pe care l-ai primit și tu de la care te-ai infectat.
fură userul și parola de Y!Mess și le memorează în cheia de registri
Și pentru că nu era de ajuns că te înjură jumătate de listă că îi stresezi cu massuri și le virusezi calculatoarele, virusul mai downloadeaza înca 3 executabile: %WINDIR%\seocfg.ex,%WINDIR%\upd1234.exe, %WINDIR%\vbn.sdf. Primele 2 sunt 2 bankeri – viruși care fură informațiile de la conturile bancare, atunci când încerci să accesezi siteurile de internet banking sau să faci plăți online. Cel de-al 3lea fișier, conține linkurile care sunt trimise în massuri. Acestea se schimbă destul de des, deoarece cei care hostează acele bloguri și fișiere executabile sunt sesizați și le suspendă. De aceea, virusul folosește acest fișier, căruia îi face update periodic, schimbând linkurile dacă acestea au fost suspendate.
Concluzia: nu tot ce zboara se mănâncă, nu tot linkul ce se primește pe mess trebuie accesat!
Marius Barat, anul III
marius.barat@asii.ro
