Say NO to hi5update.exe
La fel cum spune și titlul, rețeaua socială “Hi5” a fost atăcată de creatorii de malware.
Începând de anul trecut de la începutul lui decembrie, o mare parte din profiluri au fost injectate în informațiile personale (Interese, Despre mine, etc) cu un cod malware. Acest lucru a fost posibil datorită unei vulnerabilități CSS care se pare a fost ocolită de creatorii Hi5.
Ce s-a întâmplat de fapt?
A fost injectat un script care, la afișarea informațiilor personale, deschidea o nouă pagină care cerea descărcarea unui fișier numit “hi5update.exe” și care avea iconița asemănătoare cu sigla site-ului.
Acest malware se bazează pe naivitatea persoanelor neavizate, pe faptul că acestea nu vor observa că site-ul de download nu este nici măcar în același domeniu cu site-ul original.
Simptome
Simptomele după care vă puteți da seama că ați contactat acest malware sunt:
-există o copie a sa în %windir%\system32\winlog.exe sau %windir%\system32\boot.exe (%windir% însemnând locația unde este instalat windows-ul)
-un trafic mărit pe internet
-un proces de internet explorer fără fereastră
Efecte
Odată descărcat și executat, acesta se copie în locațiile de mai sus, depinde de versiunea oferită (aceasta schimbându-se odată cu trecerea în noul an). Deschide un proces de Internet Explorer care trimite informații către creatorii lor (deasemnea site-uri românești). Modifică chei de regiștri astfel încât să se execută la pornirea windows-ului.
Dezinfecție
Pentru o dezinfecție ușoară, închideți toate procesele iexplorer.exe și apoi ștergeți %windir%\system32\winlog.exe (sau %windir%\system32\boot.exe, depinde de versiunea cu care sunteți infectat).
Ca să nu mai apară la alți prieteni care se uită pe profilul de hi5, ștergeți din informațiile personale liniile care nu vă sunt cunoscute.
Pentru a evita o astfel de infecție este destul de simplu: nu dați accept la orice așa zis update pentru aplicații folosite.
Adrian POPESCU, anul I
adrian.popescu@asii.ro
