Trädvy Permalänk
Medlem
Registrerad
Mar 2011

Skype-virus

Hej vill varna er för ett virus som skickar ut: on tämä uusi profiilikuva? änk...=skype-namn

På ditt språk förstås. hej detta är din nya profilbild? länk=

Då det var på finska (halvt modersmål) så råkade jag klicka på den och sen så började ladda ner nått.. den så ut som om den var rar. så klicka på den och då började den skicka ut det där meddelandet till alla min skype kontakter

Har hittat virus med antivirusprogramet men går det att dra tillbaka meddelandet så inte så många av min kontakter laddar ner det?

Antivirusprogramet:

"C:\Program Files (x86)\AVG Secure Search\vprot.exe (5820)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\AVG Secure Search\vprot.exe (5820):\memory_006a0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe (1652)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe (1652):\memory_01050000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (5936)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (5936):\memory_02690000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (5128)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (5128):\memory_02d80000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Google\Drive\googledrivesync.exe (248)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Google\Drive\googledrivesync.exe (248):\memory_00150000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Google\Drive\googledrivesync.exe (5988)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Google\Drive\googledrivesync.exe (5988):\memory_05a70000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Intel\IntelAppStore\bin\AppUp.exe (2860)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Intel\IntelAppStore\bin\AppUp.exe (2860):\memory_00990000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe (4976)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe (4976):\memory_00df0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\ielowutil.exe (4612)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\ielowutil.exe (4612):\memory_003a0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\iexplore.exe (3772)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\iexplore.exe (3772):\memory_03810000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\iexplore.exe (8072)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Internet Explorer\iexplore.exe (8072):\memory_04590000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Skype\Phone\Skype.exe (4860)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Program Files (x86)\Skype\Phone\Skype.exe (4860):\memory_05a10000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (1092)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (1092):\memory_01ed0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (2016)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (2016):\memory_02ac0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (2172)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (2172):\memory_009f0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (4456)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (4456):\memory_049d0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (4624)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (4624):\memory_00330000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5180)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5180):\memory_00b00000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5212)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5212):\memory_02400000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5256)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (5256):\memory_05e40000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (6004)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (6004):\memory_009c0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (6800)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (6800):\memory_00a80000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (7060)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (7060):\memory_007d0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (7736)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Local\Google\Chrome\Application\chrome.exe (7736):\memory_03210000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\87A.exe (5996)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\87A.exe (5996):\memory_001c0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\Dropbox\bin\Dropbox.exe (5280)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\Dropbox\bin\Dropbox.exe (5280):\memory_041f0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (1672)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Users\Jonas\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe (1672):\memory_00390000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNACBSWK.EXE (1936)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNACBSWK.EXE (1936):\memory_02820000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNAP2LAK.EXE (4664)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNAP2LAK.EXE (4664):\memory_006d0000";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNAP2RPK.EXE (4996)";"Trojan horse BackDoor.Generic_r.AMQ"
"C:\Windows\System32\spool\drivers\x64\3\CNAP2RPK.EXE (4996):\memory_02010000";"Trojan horse BackDoor.Generic_r.AMQ"

Dold text
Trädvy Permalänk
Medlem
Plats
Skrivbordet
Registrerad
Mar 2012

tack för varningen

NZXT phantom 410 || ASUS M5A78L-M LX V2 || AMD fx 6100 6 core @ 3.3GHz || XFX Radeon hd 6870 1gb || Corsair Vengeance 8gb 1600MHz || Windows 7 ultimate 64bit || Cooler Master GX Lite 600W || Iphone 5 16GB

Citera för svar!

Trädvy Permalänk
SpelClockers
Plats
127.0.0.1
Registrerad
Jan 2012

återställ datorn till innan du instalerade det

Admin på Sweclockers Battlefield 4 servrar med tillhörande mumble samt för Skyttegrav och Hemligastugan (Minecraft)

Kolla in SpelClockers

Trädvy Permalänk
Medlem
Plats
Kalix
Registrerad
Nov 2005

Hmm, sammanträffande?
http://www.sweclockers.com/forum/14-internet-uppkoppling-och-...

Vet dock ingen som använder skype så kan själv inte kolla något om det =D

i5 2500K: 4.4GHz||16GB 1600MHz||ASUS P8Z77-V PRO||Phanteks PH-TC14PE
MSI GTX 980 Gaming||Corsair Force 2 80GB|| Fractal Design Newton r2 650W M
Asus xonar essence STX|| Antec p280
Dell u2711, Sennheiser hd650, Qpad 5k, fUnc f30r, KeyTronic kt2001 Ergoforce.
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Trädvy Permalänk
Medlem
Registrerad
Mar 2011
Skrivet av BergHa:

Hmm, sammanträffande?
http://www.sweclockers.com/forum/14-internet-uppkoppling-och-...

Vet dock ingen som använder skype så kan själv inte kolla något om det =D

Det vore ju drygt Om det är sant så får man sluta att vara fanboy av dem

Trädvy Permalänk
Medlem
Plats
Kebabens huvudstad
Registrerad
Feb 2005

"Detta är din nya profilbild? = "

Borde faktiskt säga nåt om att nåt inte stämmer helt rätt.

Trädvy Permalänk
Medlem
Plats
Kalix
Registrerad
Nov 2005
Skrivet av robixs:

Det vore ju drygt Om det är sant så får man sluta att vara fanboy av dem

Dem = anon?
Är ju inte bara de som använder botnät, lite dålig titel på killens tråd.

i5 2500K: 4.4GHz||16GB 1600MHz||ASUS P8Z77-V PRO||Phanteks PH-TC14PE
MSI GTX 980 Gaming||Corsair Force 2 80GB|| Fractal Design Newton r2 650W M
Asus xonar essence STX|| Antec p280
Dell u2711, Sennheiser hd650, Qpad 5k, fUnc f30r, KeyTronic kt2001 Ergoforce.
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Dec 2011

Fick det meddelandet på skype och mitt skype namn stog efter...
Kanske Anonymus efter som dom gjort väldigt mycket attacker på sistonde..

Mvh: Eric

Intel i7 2700k, 7970 3GB, 12GB Dominator GT, 2TB Seagate.

Trädvy Permalänk
Avstängd
Registrerad
Okt 2012

Det är den berömda skype masken som sprids.. håll utkik sprider som aids.. Ni, som håller till på underground hacker forums vet vad jag snackar om. Det är förövrigt inte Anonymous som ligger bakom den.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Varna din vänner, två kolla historiken och se om du ser meddelandet och kan radera det.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2010
Skrivet av robixs:

Det vore ju drygt Om det är sant så får man sluta att vara fanboy av dem

Skrivet av BergHa:

Dem = anon?
Är ju inte bara de som använder botnät, lite dålig titel på killens tråd.

Om ni hängt med i nyheterna så är det inte Anonymous som ddosat svenska hemsidor utan svenska ungdomar som använt deras namn. Om jag inte minns helt fel så var det Anonymous som fick dem att sluta då de hotade med att ge ut deras personuppgifter till polisen.

Chassi: Define R3 | Moderkort: MSI Z77A-S01 | CPU: i5-3570k @ 4.2GHz | GPU: HD7970 @ 1050/1500MHz | PSU: Tesla 650W | RAM: 8GB @ 1600MHz | Ljudkort: Asus Xonar Essence STX | Kylning: Noctua NH-U12P SE2 | SSD: 120GB Intel 520 | Skärmar: Eizo Foris FS2333 Benq E2200HD | Mus: Zowie FK1 | Tangentbord: Ducky Shine 3 MX Blue | Hörlurar: Sennheiser HD598 | Musmatta: QcK mini | Ultrabook: Asus Zenbook UX303LN-R4140H

Trädvy Permalänk
Medlem
Registrerad
Okt 2012

Råkade klicka på den tidigare idag, nån som vet nått bra virusprogram som tar bort det?

Trädvy Permalänk
Medlem
Registrerad
Mar 2011
Skrivet av lillen99:

Fick det meddelandet på skype och mitt skype namn stog efter...
Kanske Anonymus efter som dom gjort väldigt mycket attacker på sistonde..

Mvh: Eric

då fick du också viruset.. ´försvinner om du skannar din dator...

Skrivet av tcntad:

"Detta är din nya profilbild? = "

Borde faktiskt säga nåt om att nåt inte stämmer helt rätt.

Då jag bor på finland så kom det på finska kan inte alla böjningar så det såg ganska ok ut.

Trädvy Permalänk
Medlem
Plats
Norrland
Registrerad
Dec 2011
Skrivet av robixs:

då fick du också viruset.. ´försvinner om du skannar din dator...

Jag klickade inte??

Mvh: Eric

Intel i7 2700k, 7970 3GB, 12GB Dominator GT, 2TB Seagate.

Trädvy Permalänk
Medlem
Registrerad
Mar 2011
Skrivet av lillen99:

Jag klickade inte??

Mvh: Eric

läste fel, ursäkta.

Trädvy Permalänk
Medlem
Registrerad
Jun 2011

Skype virus: hej detta är din nya profilbild?

Hej, har sätt att flera på min kontaktlista har skickat ett meddelande till mig med en länk på som ska visa min nya profilbild, men det är ett virus man laddar ner.

bara tänkt att varna er på sweclockers att inte ladda ner eller öppna filen/länken.

http://www.youtube.com/watch?v=BIhyMZO71LQ&feature=plcp

NODE 304 - I5 3570K - GTX 680 - 240GB SSD - INTEGRA R2 650W

Trädvy Permalänk
Medlem
Plats
Norbotten
Registrerad
Jan 2012

Bra! alla skickar den till mig:/ Det är en keylogger

Chassi: Fractal Design R4. CPU:Intel Core i5 3570K @ 3,6 Ghz Moderkort: Z77 Asrock Extreme 4 GPU: XFX 6870. PSU: OCZ 600w 80+ Bronze HDD: Seagate 1TB RAM: Corsair 8GB CL9 1600Mhz VENGEANCE LP
CPU Kylare: Cooler Master Hyper 212 EVO

Trädvy Permalänk
Medlem
Plats
Kalix
Registrerad
Nov 2005

http://www.sweclockers.com/forum/22-microsoft-windows/1150739...

Ligger nästan högst upp i samma kategori som du gjorde den här tråden.

i5 2500K: 4.4GHz||16GB 1600MHz||ASUS P8Z77-V PRO||Phanteks PH-TC14PE
MSI GTX 980 Gaming||Corsair Force 2 80GB|| Fractal Design Newton r2 650W M
Asus xonar essence STX|| Antec p280
Dell u2711, Sennheiser hd650, Qpad 5k, fUnc f30r, KeyTronic kt2001 Ergoforce.
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Trädvy Permalänk
Avstängd
Plats
Mölndal
Registrerad
Aug 2010

Mitt Kaspersky skyddade mig emot det. Så kan rekommendera att installera det.
Jag tog även bort Skype helt och håller (även ur Roaming) samt bytta Skype lösenord.
Detta bör fungera, iaf ingen som klagat över att jag skickat konstigt länkar.

Hoppas detta hjälper er!

Trädvy Permalänk
Medlem
Plats
Visby
Registrerad
Jun 2012

Skype virus

Vill bara varna alla att inte öppna en länk som du får av en kompis på skype. Ser ut så här "hej detta är din nya profilbild? http://goo.gl/UPhHf?img=dittnamn" Öppnar du den som jag gjorde kommer du skicka samma sak till av på din vän lista. (Vad jag vet)

i5 3570K 4,4 Ghz | MSI Z77A-SO1 | Noctua NH-D14 | 120 GB Corsair SSD | Corsair 8GB CL9 1600MHz | Fractal Design R4 | Sapphire Radeon HD 7970 | OCZ ModXStream Pro 500W |

Jag ber om ursäkt till de som tycker att mina svar är otydliga eller innehåller många felstavningar, svenskan är inte riktigt på topp. :D

Trädvy Permalänk
Medlem
Plats
Enköping
Registrerad
Jan 2012

Är på min mammas dator och Tryckte på den men tror jag fick bort den....

Jag har Dyslexi! Det innebär att jag har läs- och skrivsvårigheter
CPU: Intel Core i7 2600 | GPU: XFX Radeon HD 7950 3GB | CHASSI: Antec p280 | KYLNING: antec kühler h2o 620 | NÄTAGG: corsair hx 650w |SSD: Samsung SSD Basic 830-Series 128GB | SATA: Seagate 1TB | MODERKORT: MSI Z77A-GD65 | RAM: Dubbel-Kanal DDR3 = 16,0 GB |

Trädvy Permalänk
Medlem
Plats
Skellefteå
Registrerad
Mar 2012
Skrivet av 25benja:

Är på min mammas dator och Tryckte på den men tror jag fick bort den....

om viruset är ett problem för folk så är det ganska onödig kommentar du skrev då du uteslöt hur du fick bort viruset då det kan hjälpa andra som gjort misstag och fått viruset.

"I awoke, only to see the rest of the World was still asleep" - Leonardo Da Vinci

Trädvy Permalänk
Medlem
Plats
Norbotten
Registrerad
Jan 2012

Det är en keylogger

Chassi: Fractal Design R4. CPU:Intel Core i5 3570K @ 3,6 Ghz Moderkort: Z77 Asrock Extreme 4 GPU: XFX 6870. PSU: OCZ 600w 80+ Bronze HDD: Seagate 1TB RAM: Corsair 8GB CL9 1600Mhz VENGEANCE LP
CPU Kylare: Cooler Master Hyper 212 EVO

Trädvy Permalänk
Medlem
Plats
Visby
Registrerad
Jun 2012

Räcker det med att ta bort dokumentet, och viruset är borta? någon som vet?

i5 3570K 4,4 Ghz | MSI Z77A-SO1 | Noctua NH-D14 | 120 GB Corsair SSD | Corsair 8GB CL9 1600MHz | Fractal Design R4 | Sapphire Radeon HD 7970 | OCZ ModXStream Pro 500W |

Jag ber om ursäkt till de som tycker att mina svar är otydliga eller innehåller många felstavningar, svenskan är inte riktigt på topp. :D

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Mar 2010

Själv förstår jag inte hur man kan få för sig att klicka på dessa länkar, iaf om man är något van interwebz-användare...

#framtiden

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Okt 2010

■║ ASUS P6T Deluxe V2 ║ Intel i7 950 ║ GTX780Ti ║ 24gb DDR3 1600MHz ║ 256GB 840PRO-OS, ~20TB-Data
■║ 3x Hazro HZ27WC-noneGlass
■║ Ultrasone PRO 900 ║ AKG K-701 ║ Matrix M-Stage AMP ║ C421 [OPA2227]

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Okt 2010
Skrivet av Poddarn:

Räcker det med att ta bort dokumentet, och viruset är borta? någon som vet?

http://community.skype.com/t5/Security-Privacy-Trust-and/Rece...

■║ ASUS P6T Deluxe V2 ║ Intel i7 950 ║ GTX780Ti ║ 24gb DDR3 1600MHz ║ 256GB 840PRO-OS, ~20TB-Data
■║ 3x Hazro HZ27WC-noneGlass
■║ Ultrasone PRO 900 ║ AKG K-701 ║ Matrix M-Stage AMP ║ C421 [OPA2227]

Trädvy Permalänk
Medlem
Plats
Skara
Registrerad
Dec 2009

En som jag är subscribad till på youtube la upp en video om hur man kan få bort det.

Mobiltelefon: OnePlus One 64GB Sandstone Black
Bildskärm: Dell Ultrasharp 30" 2560x1600
Datorsystem: Intel Core i7 4790K @ 4.7GHz - AMD Radeon R9 290x 4GB OC - Asus Maximus VI Gene - NZXT H440 Blue - Corsair AX850 - Corsair Vengeance 16GB - Corsair H80i - Corsair K95 RGB - Logitech G500s

Trädvy Permalänk
Medlem
Plats
Nacka
Registrerad
Aug 2011

och jag är dum nog och klickade på den (spammat hela min kontaktlista med 5 meddelande var... )

AMD FX-6100, 8GB ram 1600MHz, Asus DirectCU II GTX580, 500GB Seagate, 500W random gammalt nätagg, 3,14 Hallon modell B

Trädvy Permalänk
Medlem
Plats
x200t.laptops.local
Registrerad
Nov 2010

Here are the Virus Total Scan Reports:
Origin Url Scan: https://www.virustotal.com/url/f234e201a129296af2cabe6ae43407...

Download Zip Scan: https://www.virustotal.com/file/a693595cc58df0798f784c9b1dd14...
Extracted File Scan:
https://www.virustotal.com/file/264ed37abd2a32564432cc8f0ae3b...

NGRBot(Dorkbot)

MD5: 33A4ABE55C232E2D4E1618E796FCADD0
SHA-1: 4C07DD7E85C489415D03208AB5C39B43B1AF4D23
Original Filename: skype_04102012_image.exe
Size: 1.13MB
VirusTotal Result: 7 of 43
https://www.virustotal.com/file/264ed37abd2a32564432cc8f0ae3b...
EXE ID: Microsoft Visual C++ 9

Notes:
Red Pills in VM. No file/registry tracing done.

AV Products listed in strings:
webroot, fortinet, virusbuster, nprotect, gdatasoftware, virus, precisesecurity, lavasoft, heck.tc, emsisoft, onlinemalwarescanner, onecare.live, f-secure, bullguard, clamav, pandasecurity, sophos, malwarebytes, sunbeltsoftware, norton, norman, mcafee, symantec, comodo, avast, avira, avg, bitdefender, eset, kaspersky, trendmicro, iseclab, virscan, garyshood, viruschief, jotti, threatexpert, novirusthanks, virustotal.

Targets listed in strings:
IKnowThatGirl, YouPorn, Brazzers, Bcointernacional, Webnames, Dotster, Enom, 1and1, Moniker, Namecheap, Godaddy, Alertpay, Netflix, Thepiratebay, Torrentleech, Vip-file, Sms4file, Letitbit, Whatcd, Oron, Filesonic, Speedyshare, Uploaded, Uploading, Fileserve, Hotfile, 4shared, Netload, Freakshare, Mediafire, Sendspace, Megaupload, Depositfiles, eBay, LogMeIn, Twitter, Moneybookers, Runescape, DynDNS, Steam, Hackforums, Facebook, Yahoo, Live, GMX, Gmail, Fastmail, AOL, YouTube, PayPal.

AV Analysis:
http://blog.emsisoft.com/2011/06/24/warning-new-malware-ngrbo...
http://www.microsoft.com/security/portal/Threat/Encyclopedia/...
http://blogs.mcafee.com/mcafee-labs/ngrbot-spreads-via-chat

Dold text

Det enda den gör för att skada din dator är att den varje fredag den 13:e

raderar "fonts"-mappen i Windows, vilket gör att du inte kan se text över huvud taget.

Dold text

Enligt denna källa så gör den följande;

  • Lägger sig själv i "C:\Documents and Settings\%username%\Application Data\”

  • Genererar filnamnet på denna plats med hjälp av serienumret på hårddisken

  • Blockerar diverse sidor för Antivirus / antimalware

  • Laddar ner en fil som blockerar 1269 olika säkerhetsrelaterade sidor

  • Uppdaterar denna lista regelbundet

  • Hookar ett par APIs

Den "ringer hem" med hjälp av IRC-protokollet, och i originalformen för MSN så highjackar den meddelanden on-the-fly, vilket den inte verkar göra i Skype (?)

oniichaNj@rizon, freenode, oftc, m.fl