Centrul de securitate Bitdefender

Win32.Yahaa.P@mm/Q@mm

( Win32/Yaha.X/Y worm (NOD32), W32/Yaha-R/Q (Sophos), I-Worm.Lentin.m (Kaspersky) )
Raspandire : scazut
Dauna : scazut
Size: 45,568 bytes (P@mm variant) / 44,544 bytes (Q@mm variant)
Descoperit : 2005 May 31

SYMPTOMS:

- File exeLoader.exe in System folder (Windows\\system on Windows 9x based systems or
WinNT\\System32 on Windows NT based systems)
- File mstask32.exe in System folder (P@mm variant) or wintask32.exe in System folder (Q@mm variant)
- Regedit doesn\'t run anymore
- The registry entries:
[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\@=\"\\\"
C:\\\\WINDOWS\\\\SYSTEM\\\\exeLoader.exe\\\"\\\"%1\\\"%*\"] [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes]
For P@mm variant:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\ \"MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\" MicrosoftServiceManager\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
For Q@mm variant:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\"Windows Task\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\wintask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\\"Windows Task\"=
\"C:\\\\WINDOWS\\\\SYSTEM\\\\wintask32.exe\"]

TECHNICAL DESCRIPTION:

Same as previous versions, this internet worm usually arrives via e-mail, but it can also spread
via network shares. The worm spreads via e-mail using it\'s own SMTP engine, and it can compose an
e-mail using specific keywords.
The main differences between the two versions:
P@mm variant copies itself as \"mstask32.exe\" and is 45,568 bytes long
Q@mm variant copies itself as \"wintask32.exe\" and is 44,544 bytes long
Remains resident and hides its presence using RegisterServiceProcess function.
The worm has a special payload on Wednesdays:
- it appends to all \"inetpub\\wwwroot\\*.htm\" and \"inetpub\\wwwroot\\*.html\" files a link to the
web site \"http://www.indiansnakes.cjb.net\"
- tries to copy itself in network shares looking inthere for Windows folder by searching for \"Win.ini\"
in the folders: \"WINDOWS\", \"WIN98\", \"WIN95\", \"WINNT\", \"WIN\", \"WINME\", \"WINXP\" and if it finds such a folder
it copies itself as \"REG32.EXE\" in that folder and then sets the \"Run\" key from \"Win.ini\" file to the
new created \"REG32.EXE\", thus allowing the virus to load each time at startup, and also in
\"Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\" as \"MSRegScanner.exe\"
- sets the start page of Internet Explorer to \"http://www.indiansnakes.cjb.net\"
creates in Windows folder a text file containing one of the 5 texts:
1. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
sNAkE p0iSoN wiLL fUCk pAKIs
n0w wE aRe a tEAm..
bEWarE oF tHe p0iSoN oF tHe snAKeS..
bACK oFF paKI hAckERs,uR dAyS aRe oVeR..
pAkIsTaN\'s IT fUtuRe iS iN uR hANd..
U sToP..wE sToP..
u sTarTeD.. wE fInIshED...
=================================================
bY R0xx,c0bra,dEviL inCArNatE
visIT uS : http://indiansnakes.cjb.net\"
2. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
---------------------------
thiS iS juST thE begiNNinG..
s00000 mUcH t0 c0mE..
n0 moRe pAK shiT wiLL be toleRATeD..
tiME f0r somE payBACK..
thERe iS nothING likE teAM w0rk..
iNDiAN snAKeS wiTH hARD p0iSoN..
wE wiLL bE BACk....
=================================================
<> iNDiAn snAKeS <>
* c0Bra
* R0xx
* kiNG c0Bra
* snaKeEyEs
* dEViL inCARnATe
http://indiansnakes.cjb.net\"
3. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
-------------------------
iNdIaN IT exPeRTs.. aRe u bUSy eArNiNg m0nEy ???
d0 s0mEthInG f0r uR c0untRY yaaaaar...
c0mE aNd w0rK wIth uS..
bUt hEy wE aInT aNy IT eXpeRTs.. wHy ???
bEcAuSE wE d0nT hAvE ceRtiFicAtEs wHiCh u hAvE b0ugHt..
aLL wE aRe... wE aRe tHe gReAt iNdiAnS
d0 u tHinK wE aRe g00d..
tHeN d0 a faVouR f0R uS.. juSt rEspEcT uS..
aND exPLaiN t0 uS.. whY u R n0t rEtaLiaTinG t0 pAkI hAckErS..
n0 0thEr sHiTs nEEdEd..
----------------------------------------------------------
R0xx
c0bra
dEviL inCaRnaTE <666@achayans.com>
==================================================
http://www.indiansnakes.cjb.net\"
4. =================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
to gigabyte :: chEErS pAL, kEEp uP tHe g00d w0rK..buT W32.HLLP.YahaSux is.. lolz ;)
to Mr Roger Thompson ::
| [technical director of malicious code research for TruSecure Corp]
| --------------------------------------------------------------
| wE arE n0t p0litiCaLy m0tiVatEd sIr...
| wE aRe jUsT rEtaLiaTinG t0 pAkI hAckErS aNd tHeiR sHiT hAcktIviSm..
| hahha Yaha.K suCCessfuLL by lUck ??? eVeR heARd s0meThinG liKe thiS
| a w0rM maDe anD spReaD bY luCk...hehehe lolz..
| aNd fiNallY wE kn0w dAmN weLL wHaT tHe heLL wE aRe doinG...
| thE w0rlD pUshEd uS to tHe dArK siDe..cAnT hElp iT.. no reTReaT no suRRenDeR
| --------------------------------------------------------------
=====================================================
bY R0xx ,c0bra,dEviL inCArNatE
viSIt uS : http://indiansnakes.cjb.net\"
5. ==============================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs..
------------------------------------------
ab0uT Yaha 2.00 :
maIn miSsIon iS t0 dd0s 5 paKi weBshits..
fuCk paKi sYstEmS bY sEndinG eXploitEd daTa pAckeTs..
deDIcaTed to :
* Trend Micro Corp ( f0r exceLLeNT anaLYsiS lolz ;) )
* Klez auTHoR
* SQL Slammer auTHoR
* inDIan haCKeRs & VXeRs
* inDiAn s0 caLLeD IT eXpeRTs
* pe0pLeS wh0 fiGHt agAINsT coRRupti0n ( i guEss itS alm0st NULL )
* aLL mEmbERs of iNDiAn sNAKeS
* t0 mY bEsT friENd
thIs iS a waR beTweeN inDia & paK hAckeRS..
n0 c0untrY shouLD gEt inVolvEd..
------------------------------------------
<<>> R0xx <<>>
http://www.indiasnakes.cjb.net
\"
Once run, the worm creates several threads. First, it creates a new resident thread that does the following:
- terminates processes named: \"ANTIVIR\", \"PVIEW\", \"WEBSCANX\", \"RMVTRJANSAFEWEB\", \"ICMON\", \"CFINET\", \"CFINET32\", \"AVP.EXE\", \"LOCKDOWN2000\", \"AVP32\", \"ZONEALARM\", \"ALERTSVC\", \"AMON.EXE\", \"AVPCC.EXE\", \"AVPM.EXE\", \"ESAFE.EXE\", \"PCCIOMON\", \"PCCMAIN\", \"POP3TRAP\", \"WEBTRAP\", \"AVCONSOL\", \"AVSYNMGR\", \"VSHWIN32\", \"VSSTAT\", \"NAVAPW32\", \"NAVW32\", \"NMAIN\", \"LUALL\", \"LUCOMSERVER\", \"IAMAPP\", \"ATRACK\", \"MCAFEE\", \"FRW.EXE\", \"IAMSERV.EXE\", \"NSCHED32\", \"PCFWALLICON\", \"SCAN32\", \"TDS2-98\", \"TDS2-NT\", \"VETTRAY\", \"VSECOMR\", \"NISSERV\", \"RESCUE32\", \"SYMPROXYSVC\", \"NISUM\", \"NAVAPSVC\",\"NAVLU32\", \"NAVRUNR\", \"NAVWNT\", \"PVIEW95\", \"F-STOPW\", \"F-PROT95\", \"PCCWIN98\", \"IOMON98\", \"FP-WIN\", \"NVC95\", \"NORTON\", \"_AVP32\", \"_AVPCC\", \"NOD32\", \"NPSSVC\", \"NRESQ32\", \"NSCHED32\", \"NSCHEDNT\", \"NSPLUGIN\" \"LOCKDOWNADVANCED\", \"NAVAPW32\", \"NAVAPSVC\", \"NAVLU32\", \"NAVRUNR\", \"NAVW32\", \"_AVPM\", \"ALERTSVC\", \"N32SCANW\", \"VETTRAY\", \"VET95\", \"SWEEP95\", \"VSHWIN32\", \"PCCWIN98\", \"F-AGNT95\", \"ACKWIN32\", \"SIRC32\", \"SCAM32\", \"ANTI-TROJAN\", \"APVXDWIN\", \"AUTODOWN\", \"AVWUPD32\", \"AVSCHED32\", \"AVKSERV\", \"AVNT\", \"AVGCTRL\", \"BLACKD\", \"BLACKICE\", \"CFIADMIN\", \"CFIAUDIT\", \"CFINET32\", \"CLEANER\", \"WFINDV32\", \"RAV7\", \"PCFWALLICON\", \"PERSFW\", \"PAVSCHED\", \"PADMIN\", \"NUPGRADE\", \"NISUM\", \"NAVW32\", \"NAVWNT\", \"NAVNT\", \"MPFTRAY\", \"MOOLIVE\",
\"LUALL\", \"WINK\", \"IBMAVSP\", \"IBMASN\", \"FINDVIRU\", \"ESPWATCH\", \"ECENGINE\", \"SPHINX\", \"SWEEP95\", \"TBSCAN\", \"REGEDIT\",
\"TDS2-\", \"NAV\", \"WINSERVICES\", \"TCPSVS32\", \"MSNMSG32REGEDIT\"
- automatically kills any window named: \"Registry Editor\",\"Process Viewer\",\"System Configuration Utility\"
- sets the registry keys:
[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\@=\"\\\" C:\\\\WINDOWS\\\\SYSTEM\\\\exeLoader.exe\\\"\\\"%1\\\"%*\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\" MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\\" MicrosoftServiceManager\"= \"C:\\\\WINDOWS\\\\SYSTEM\\\\mstask32.exe\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Version\"=\"2\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Author\"=\"R0xx\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Web\"=\"http://www.indiansnakes.cjb.net\"]
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Snakes\\\"Comments\"=\"This system belongs to the great Indians...\"]
[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\WinVer] will have to a random value.
- sets [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ZoneCheck] to one of the following:
\"pakistan.gov.pk\",\"paki.com\",\"pcb.gov.pk\",\"comsats.com\",\"kse.com.pk\"
Another thread does the following:
- in System folder, deletes the files: \"WinRpcsrv.exe\", \"WinGate.exe\", \"syshelp.exe\", \"tcpsvs32.exe\", \"nav32_loader.exe\", \"WinServices.exe\", \"winmgm32.exe\"
- in Windows folder, deletes the file \"SNTMLS.DAT\"
- deletes the registry keys
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WindowsMGM]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\WinServices]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\WinServices]
Yet another thread in which the virus does:
- in System folder, delete the file \"taskmgr32.dll\"
- reads [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache]
and searches for files matching \"*HoTMaiL*.*ht*\" from which it harvests e-mail addresses
- gets the e-mail address of the current infected user via ICQ, by retrieving ICQ install path from
the registry keys:
[HKEY_CURRENT_USER\\Software\\Mirabilis\\ICQ\\DefaultPrefs\\ICQPath]
[HKEY_CURRENT_USER\\Software\\Mirabilis\\ICQ\\DefaultPrefs\\ICQ Uin]
then it searches for *.uin files there, identifies ICQ version: \"2000b\",\"2001a\",\"2001b\",\"2002a\",\"2002b\",
and then retrieves user\'s e-mail address via the \'PrimaryEmail\' entry in the ICQ database
Another thread uses the SMTP engine to send e-mails which are harvested by following the registry keys:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts\\0000000]
[HKEY_CURRENT_USER\\Software\\Microsoft\\MessengerService\\ListCache\\.NET Messenger]
[HKEY_CURRENT_USER\\Software\\Microsoft\\MessengerService\\ListCache\\MSN Messenger ]
[HKEY_CURRENT_USER\\Software\\Yahoo\\Pager\\profiles]
[HKEY_CURRENT_USER\\Software\\Yahoo\\Pager\\profiles\\%s\\IMVironments\\Recent]
[HKEY_CURRENT_USER\\Software\\Microsoft\\WAB\\WAB4\\Wab File Name]
Format of an infected e-mail:
- The sender may be:
sales@susoft.net, marketing44@disney.biz, info@infotech.com, sells@haqteq.net, marketing@playstation.com,
marketing@sega.com, valscr@freescreensavers.com, loverscr@lovers.com, R0xx@big-boss.com, roxx_big_boss@yahoo.com,
sales@gcnetwork.com, kl@aminoprojects.com, admin@codeproject2.com, free@sql.library.com, me@me2K.com,
stone@esterplaza.com, marketing@suppersoccer.com, free@sexyscreensavers.com,sales@real.com, plus@real.com,
sales@playboy.com, free@hardcorescreensavers.com, free@xxxscreensavers.com, kkn@k2k.com, screensavers@nomadic.com,
nics@noma.com, admin@hackersclub2.com, admin@hackers2.com, paul@kqscore2.com, btq@2632.com, services@tcsonline2.com,
admin@clubjenna.com, jenna@jennajameson.com, zdenka@zpornstars.com, ravs@go2pussy.com, love@lovescreensavers.com,
DNA_seraph@163.com, super@21cn.com, cathy@21cn.com, admin@kofonline2.com, zhouyuye@citiz.net, lubing@7135.com,
hamada@seikosangyo.com, luoairong@21cn.com, valentinescreensavers@t2k.com, screensavers@lovers.com, admin@zpornstars.com,
newsletters@britneyspears.org, therock@wwe.com, ericpan@online.com.pk, samsun@online.sh.cn, yjworks@online.sh.cn,
cupid@freescreensavers.com, av_patch@mcafee.com, av_patch@norton.com, av_patch@trendmicro.com, romanticscreensavers@love.com,
caijob@online.sh.cn, loverscreensavers@love.com, admin@hackersclub.com, admin@viruswriters.com, admin@hackers.com
...
an infected person\'s e-mail or even a randomly composed e-mail using specific keywords as \"yahoo.com\",\"msn.com\" (ex: ym89wq23@yahoo.com)
- The subject may be:
:) Are you in Love
I am in Love
I Love You
You are so sweet
The Hotmail Hack
U realy Want this
to ur lovers
to ur friends
Find a good friend
Learn How To Love
Are you looking for Love
Wowwwwwwwwwww check it
Check ur friends
Circle The world of Friendship
Shake it baby
How sweet this Screen saver
war Againest Loneliness
Need a friend?
Say \'I Like You\'
To ur friend
love speaks from the heart
Let\'s Dance and forget pains
Looking for Friendship
True Love
make ur friend happy
Who is ur Best Friend
hey check it yaar
Check this shit
Hello
Hi
Hi dear...
checked the attached document..
Private Documents....
4 U only..
check this..
wanna exchange..
why u send me this...
I am in Love..
My Feelings 4 U
Alert
Things to note...
Hi..
Yahoo Matchmakers
GC Chat Networks
SuSoft SCR Maker
Free Disney Screensavers
OE 6 Patch
Ultimate Hackers tool unleashed..
KOF - The Game
Matrix - The Game
Lovers Screensaver
Are you the BEST
Free Win32 API source
Learn SQL 4 Free
I Love You..
Wanna be like a stone ?
Are you a Soccer Fan ?
Sexy Screensavers 4 U
Check it out
Sample Playboy
Hardcore Screensavers 4 U
XXX Screensavers 4 U
We want peace
Wanna be a HE-MAN
Visit us
One Virus Writer\'s Story
One Hacker\'s Love
World Tour
Whats up
Wanna be my sweetheart ??
Screensavers from Club Jenna
Jenna 4 U
Free rAVs Screensavers
Feel the fragrance of Love
Wanna Hack ??
Sample KOF 2002
The King of KOF
Wanna Brawl ?? Wanna Rumble ?? Play KOF 2002 4 Free
Demo KOF 2002
Free Demo Game
Wanna be friends ??
Need money ??
Are you beautiful
Who is your Valentine
Free Screenavers of Love
Free XXX
Free Screensavers
WWE Screensavers
Freak Out
Wanna be friends ?
Things to note
Lovers Corner
Patch for Elkern.gen
Patch for Klez.H
Free Screensavers 4 U
Project Sample
- The body may be:
hey,
did u always dreamnt of hacking ur friends hotmail account..
finally i got a hotmail hack from the internet that really works..
ur my best friend thats why sending to u..
check it..just run it..enter victim\'s address and u will get the pass.
hi,
check the attached love screensaver
and feel the fragrance of true love..
Hi,
check the attached screensaver..
its really wonderfool..
i got it from freescreensavers.com
Hi,
check ur friends circle using the attached friendship screensaver..
check the attached screensaver
and if u like it send it to all those you consider
to be true friends... if it comes back to you then
you will know that you have a circle of friends..
Hi,
check the attached screensaver
and enjoy the world of friendship..
Hi,
are u in a rocking mood...
check the attached scrennsaver and start shaking..
Hi,
Check the attached screensaver..
Hi,
Are you lonely ??..
check the attached screensaver and
forget the pain of loneliness
Hi,
Looking for online pals..
check the attached friend finder software..
Hi,
sending you a screensaver..
check it and let me know how it is...
Hi,
Check the attached screensaver
and feel the fragrance of true love...
Hey,
I just got this wonderfull screensaver from freescreensaver.com..
Just check it out and let me know how it is..
Hi,
I just came across it.. check out..
=========================================================

Are you one of those unfortunate human beings who are desperately
looking for friends.. but still not getting true friends with whom
you can share your everything..
anyway you wont feel down any more cause GC Chat Network has brought
up a global chat and online match making system using its own GC
Messenger. Attached is the fully functional free version of GC
Instant Messenger and Match Making client..
Just install, register an account with us and find thousands of online
pals all over the world..
You can also search for friends by specific country,city,region etc.
Regards Adminm
GC Global Chat Network System..
Hi,
So you think you are in love..
is it true love ? you may think right now that you are in
true love but it is certainly possible that it is nothing
but a mere infatuation to you..
anyway to know yourself better than you have ever known check
the attached screensaver and feel the fragrance of true love..
Hey pal,
you know friendship is like a business...
to get something you need to give something..
though its not that harsh as business but to
get love and care from your friends you need to give
love,care and respect to your friends.. right?
check the attached screensaver and you will learn how to
make your friends happy..
Hi,
Its quite obvious that in our life we have numerous friends
but.. BUT Best Friend can only be ONE.. right ??
so can you decide who is your best friend ??
i guess not.. cause mostly you will find that your best friend
wont care about u like somebody else..
anyway i found one way to find who is my best friend..
check it..
just check the attached screensaver.. answer some questions
in it and also ask your best friend to answer the questions..
..then you will know more about him..
Hey pal,
wanna have some fun in life...
feel like life is too boring and monotonous..
check the attached screensaver and bring colours
to your black & white life..
:) Hi,
I just came across this funny screensaver..
sending it to u.. hope u like it..
check out and die laughing..
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
This E-Mail is never sent unsolicited. If you receive this
E-Mail then it is because you have subscribed to the official
newsletter at the KOF ONLINE website.
King Of Fighters is one of the greatest action game ever made.
Now after the mind boggling sucess of KOF 2001 SNK proudly
presents to you KOF 2002 with 4 new charecters.
Even though we need no publicity for our product but this
time we have decided to give away a fully functional trial
version of KOF 2002. So check out the attached trial version
of KOF 2002 and register at our official website to get a free
copy of KOF2002 original version
Best Regards,
Admin,KOF ONLINE..
<<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>><<<<<>>>>>
Hello,
I just came across your email ID while searching in the Yahoo profiles.
Actually I want a true friend 4 life with whom I can share my everything.
So if you are interested in being my friend 4 life then mail me.
If you wanna know about me, attached is my profile along with some of my
pics. You can check and if you like it then do mail me.
I will be waiting for your mail.
Best Wishes,
Your Friend..
Hello,
Looking for some Hardcore mind boggling action ?
Install the attached browser software and browse
across millions of paid hardcore sex sites for free.
Using the software you can safely and easily browse
across most of the hardcore XXX paid sites across the
internet for free. Using it you can also clean all
traces of your web browsing from your computer.
Note:The attached browser software is made exclusivley
for demo only. You can use the software for a limited
time of 35 days after which you have to register it
at our official website for its furthur use.
Regards,
Admin.
Klez.H is the most common world-wide spreading worm.It\'s very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can\'t detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC
Hello,
The attached product is send as a part of our official campaign
for the popularity of our product.
You have been chosen to try a free fully functional sample of our
product.If you are satified then you can send it to your friends.
All you have to do is to install the software and register an account
with us using the links provided in the software. Then send this software
to your friends using your account ID and for each person who registers
with us through your account, we will pay you $1.5.Once your account reaches
the limit of $50, your payment will be send to your registration address by
check or draft.
Please note that the registration process is completely free which means
by participating in this program you will only gain without loosing anything.
Best Regards,
Admin,
This is a shit notification mail..
Hey AV guys.. this aint a payload..
Go and save Pakistan..
Enough is enough...
by the way did you enjoyed valentine\'s day ?
Hey listen pal,
I am in big trouble..
Plz help me..
Check attached document..
hi
plz check the attached document..
and contact me as soon as possible..
hi
check this.. wanna exchange..
I really like ur gift
check the attached document..
u shit...
why the hell u send this to me..
i am returning ur document..
I think u are in love...
check the attached file..
Play the game of love..
Plz check the attachment and plz dont be angry one me.. ur system is infected with W32/Yaha.K
use the attached patch to disinfect...
hey pal
I want to share a secret with u..
Check the attached document..
Attached is the Patch for OE 6 invalid MIME content vulnerability.
This vulnerability may allow an attacker to execute any file
without being opened..
Please use the attached program to patch up your system...
Hello,
Attached is a set of hacking utilities developed by our programmers.
We are distributing it freely for evolution purpose...
Hi
Check the attached Valentine Screensaver...
Hi
Check the attached Lovers Screensaver...
...
- The attachment may be:
hotmail_hack.exe, ck.exe, friendship.scr, world_of_friendship.scr, shake.scr, Sweet.scr, Be_Happy.scr,
Friend_Finder.exe, I_Like_You.scr, love.scr, dance.scr, GC_Messenger.exe, True_Love.scr, Friend_Happy.scr,
Best_Friend.scr, life.scr, colour_of_life.scr, friendship_funny.scr, funny.scr, oe6patch.exe, Demo.exe,
Valentine.scr, LoveScr.scr, GC_msgr.zip, make_scr.zip, disney.zip, OE6.zip, HackerTool.zip, Demo.zip,
ValentineScr.zip, LoveScr.zip, setup.exe, Setup.zip, The_Best.scr, Codeproject.scr, SQL_4_Free.scr, I_Love_You.scr,
Stone.scr, Sex.scrSoccer.scr, Real.scr, Plus6.scr, Plus2.scr, Playboy.scr, Hardcore4Free.scr, xxx4Free.scr,
Screensavers.scr, Peace.scr, Body_Building.scr, Services.scr, VXer_The_LoveStory.scr, Hacker_The_LoveStory.scr,
World_Tour.scr, up_life.scr, Sweetheart.scr, Sexy_Jenna.scr, Jenna_Jemson.scr, zDenka.scr, Ravs.scr,
Free_Love_Screensavers.scr, Romeo_Juliet.scr, Hacker.scr, KOF_Fighting.exe, KOF_Sample.exe,KOF_Demo.exe,
KOF_The_Game.exe, KOF2002.exe, King_of_Figthers.exe, KOF.exe, My_Sexy_Pic.scr, MyProfile.scr,
Ways_To_Earn_Money.exe, Beautifull.scr, Valentines_Day.scr, zXXX_BROWSER.exe, Britney_Sample.scr,
THEROCK.scr , FreakOut.exe, MyPic.scr, Notes.exe, Cupid.scr, FixElkern.com, FixKlez.com, Romantic.scr,
Project.exe, Love.scr ...
The worm also contains these strings, which are used to compose e-mails:
\"hotmail.com\", \"yahoo.com\", \"yahoo.co\", \"msn.com\", \"passport.comrediffmail.com\", \"indiatimes.com\", \"programmer.net\", \"indya.com\", \"mad-scientist.com\", \"achayans.com\", \"sancharnet.in\", \"vsnl.com\", \"vsnl.net\", \"eth.net\", \"yahoogroups.comzzn.com\", \"rly-xa04.mx.aol.com\", \"mx.aol.com\", \"y-xa04.mx.aol.com\" \"Microsoft Outlook Express 5.50.4133.2400\", \"Microsoft Outlook Express 6.00.2600.0000\", \"Windows Eudora Pro Version 2.1.2\", \"PObox II beta 1.0\", \"AOL 7.0 for Windows US sub 10513\", \"Microsoft Internet Mail 4.70.1155\", \"WWW-Mail 1.5 (Global Message Exchange)\"

Removal instructions:

- automatic removal: - let BitDefender delete files found infected.
- use the free removal tool for all Yahaa virus family from Bitdefender (recommended)

ANALYZED BY:

Patrik Vicol
Bitdefender Virus Researcher
Instrumente și soluții gratuite
Încercați aplicațiile și soluțiile gratuit proiectate de Bitdefender! Beneficiați de protecție suplimentară pentru calculator, smartphone și rețelele de socializare cu aceste aplicații și plugin-uri excepționale.
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.
Malware City

Seria de ghiduri electronice Bitdefender

Seria de ghiduri electronice Bitdefender este o inițiativă de învățare care dorește să ofere comunității de utilizatori și cititori Bitdefender informații valoroase legate de amenințările electronice și probleme de securitate din domeniul IT&C, care oferă în același timp sfaturi practice și soluții viabile pentru nevoile lor de protecție online. Analiștii de securitate Bitdefender își partajează cunoștințele legate de prevenția malware, identificarea și anihilarea malware, cu accent pe confidențialitatea online și diferite tehnologii, măsurile de combatere și metodele de prevenție a infracțiunilor cibernetice.

Prezentarea unor subiecte care variază de la protecția online a copiilor și familiilor, rețelele sociale sigure, prevenirea încălcării securizării datelor și până la securizarea mediilor companiilor, seria ghidurilor electronice este destinată unei game largi de utilizatori din cadrul întreprinderilor mici și utilizatorilor individuali care doresc să asigure securitatea și integritatea propriilor rețele și sisteme. Ghidurile electronice se referă de asemenea la aspecte legate de activitatea zilnică a directorilor de securitate a sistemelor IT&C, a administratorilor de sistem și rețea, a creatorilor de tehnologie de securitate, a analiștilor și cercetătorilor.

Ghid privind un blog sigur

Sfaturi și trucuri despre cum să vă păstrați blog-ul și identitatea dumneavoastră în siguranță

Safe Blogging Guide

Blogging-ul este unul dintre cele mai populare forme de exprimare în scris pe internet, cu mai mult de 150 de milioane de blog-uri înregistrate în întreaga lume. În timp ce cititorii fideli sunt în căutarea de informații și articole, infractorii cibernetici au un interes diferit față de acestea. Găsirea de informații private și obținerea de spațiu ieftin de stocare pentru campaniile lor malware sunt doar două din multitudinea de utilizări la care aceștia vă pot supune blog-ul.

Acest material se referă la orientările de bază privind siguranța blogging-ul și este axat în special pe blog-urile individuale, care sunt fie auto-găzduite sau furnizate ca un serviciu de către furnizorii importanți de blog-uri.



Ghid de securizare a rețelelor wireless

Sfaturi și trucuri despre cum să vă protejați rețeaua dumneavoastră de acasă de intruși

Securing Wireless Networks Guide

Acest document este destinat utilizatorilor de calculatoare care au instalat sau au intenția de a instala acasă o rețea wireless. Într-un moment când comunicarea wireless a devenit o parte importantă din viața noastră, infractorii cibernetici încearcă să exploateze orice breșă a securității din configurația wireless, în scopul de a intercepta traficul sau de a folosi conexiunea la internet în scopuri ilegale.

Următorul ghid vă va prezenta cele mai bune practici atunci când utilizați rețele wireless nesecurizate, precum și cum să configurați corect router-ul dumneavoastră de acasă sau punctul de acces, pentru a împiedica alte persoane să folosească în mod abuziv rețeaua dumneavoastră.



Ghidul de protejare a copiilor online

Modalitatea de securizare și protejare a experienței digitale a copiilor dumneavoastră


Prezentul document este destinat familiilor, părinților și profesorilor, scopul acestuia fiind de a contribui la securizarea activităților digitale ale copiilor și adolescenților. Într-o astfel de eră în care producția de masă și accesibilitatea computerelor au transformat aceste dispozitive în echipamente casnice sau de familie obișnuite, copiii se familiarizează cu PC-urile și internetul de la o vârstă foarte fragedă. În ciuda beneficiilor sale evidente legate de comunicare, internetul poate fi de asemenea un loc periculos pentru copiii, amenințările electronice fiind direcționate către grupul de vârstă din care fac parte și computerele acestora de acasă sau de la școală.

Acest ghid electronic se referă la principalele riscuri și amenințări ce vizează copiii online, cum ar fi atacurile din partea celorlalți utilizatori cibernetici, expunerea la conținut inadecvat, dependența de internet și alte acțiuni nocive online, axându-se în același timp pe teme cum ar fi malware, phishing, furtul de identitate și spam, la care sunt expuși adolescenții, la fel ca oricare alți utilizatori de internet. O secțiune dedicată recomandărilor de securitate îi ajută pe părinți și pe profesori să înțeleagă și să facă față mai bine acestor probleme legate de copii.



Ghidul de securitate online pentru utilizatorii de internet în vârstă

Modalitatea de protejare a ideilor și a bunurilor valoroase împotriva hacker-ilor cibernetici


Acest document este destinat familiilor și persoanelor mai în vârstă și scopul său este de a-i ajuta să navigheze pe internet într-o manieră sigură, bucurându-se de activitățile lor online.

La o primă vedere, se pare că persoanele mai în vârstă sunt expuse infracțiunilor cibernetice la fel ca orice alți utilizatori fără experiență ai internetului, indiferent de vârsta acestora. Cu toate acestea, după cum indică acest ghid electronic prin diferite studii de caz, există mai multe riscuri și amenințări care vizează direct utilizatorii de internet mai în vârstă, cum ar fi metodele de plată a pensiei și metodele false de plată a taxelor sau înșelătoriile legate de venituri. Exemplele, recomandările și sfaturile completează studiile de caz și asigură cititorilor linii directoare utile în rutina lor online zilnică.



Ghidul de prevenire a dezvăluirii datelor confidențiale

Modalitatea de protejare a ideilor și a bunurilor valoroase împotriva hacker-ilor cibernetici


Ghidul electronic a fost creat pentru a acoperi diferitele puncte mai sensibile ale securității datelor unei companii, de la integritatea fizică a rețelei și până la mecanismele complicate ale unei infracțiuni cibernetice care are drept țintă o companie (de exemplu, troieni, phishing ce vizează bănci). Acest material are de asemenea scopul de a prezenta, deși nu la fel de detaliat ca o descriere tehnică completă, funcțiile diferitelor soluții Bitdefender destinate clienților persoane fizice și juridice pe baza situațiilor în care aceste funcții pot fi utile administratorilor IT.

Consultarea acestui document poate fi utilă în cadrul procesului de luare a unei decizii optime referitoare la securitatea rețelelor de dimensiuni mici și medii și de stabilire a unei baze solide pentru cercetarea comparativă legată de acest subiect.

Eliminare de calitate superioară a virușilor și programelor spion
Eliminarea programelor periculoase dintr-o singură "lovitură" de către specialiștii noștri certificați
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.

Documentație

Eliminare de calitate superioară a virușilor și programelor spion
Eliminarea programelor periculoase dintr-o singură "lovitură" de către specialiștii noștri certificați
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.

Rapoartele Bitdefender cu privire la peisajul amenințărilor cibernetice

Scopul acestui raport este de a furniza o investigație completă a peisajului amenințărilor. Experții în securitate Bitdefender® analizează cu foarte mare atenție pericolele fiecărui semestru, punând accentul pe punctele vulnerabile și care pot fi exploatate ale software-ului, pe diferitele tipuri de malware, preum și pe contramăsuri, prevenirea atacurilor cibernetice și respectarea legii. Raportul peisajului amenințărilor cibernetice se concentrează în principal asupra celor mai noi trenduri, dar conține, de asemenea, fapte și date cu privire la perioadele investigate anterior, precum și predicții referitoare la semestrele care urmează. Acest document este adresat, n primul rând managerilor sistemelor de securitate IT&C, administratorilor de sistem și de rețea, dezvoltatorilor de tehnologie de securitate, analiștilor și cercetătorilor, dar se adresează, de asemenea, unei audiențe mai largi, care cuprinde organizații mici și utilizatori individuali care sunt preocupați de siguranța și integritate rețelelor și sistemelor personale.

Raportul peisajului amenințărilor cibernetice H2 2011 (pdf)

Cu douăzeci de ani în urmă, s-a născut un mijloc de comunicare electronic revoluționar. Avea să devină atât de popular în rândul tuturor categoriilor de vârstă și profesiilor încât este în continuare cel mai răspândit mijloc de comunicare: vă prezentăm SMS-ul - serviciul de mesaje scurte.

Telefoanele mobile sunt astăzi mult mai mult decât niște gadget-uri complexe care permit comunicarea și transmiterea mesajelor dintr-un punct în altul: sunt elemente esențiale în universul 2.0 - atât de puternic și complex, care rulează propriile sisteme de operare și care, prin urmare, se confruntă și ele cu probleme cibernetice. Dacă primele șase luni ale lui 2011 au fost marcate de vulnerabilități ale aplicațiilor software și încălcări ale securității datelor personale ale unor companii de renume, cea de-a doua jumătate a anului nu numai că a adus în prim plan o nouă familie de programe periculoase, dar a dezvăluit și un scandal de spionaj al utilizatorilor ce a implicat, se pare, o serie de furnizori de telefonie mobilă și controversatul distribuitor de aplicații software CarrierIQ.

Peisajul amenințărilor malware a fost dominat de Trojan.Autorun.Inf și Win32.Worm.Downadup, doi rivali periculoși, care își au rădăcinile în era Windows XP, dar au reușit să-și mențină locul în clasament în ciuda îmbunătățirilor aduse sistemelor de operare sau a aplicării pachetelor care ar trebui să rezolve problemele de securitate exploatate de aceste programe malware. Concurenții de top pentru H2 2011 sunt Trojan.AutorunInf, Win32.Worm.Downadup și Exploit.CplLnk.

Încălcarea securității datelor personale atribuită celor de la Anonymous și rețelei lor de grupuri de hackeri au continuat pe întreg parcursul celei de-a doua jumătăți a anului 2011. Printre cele mai importante ținte s-au numărat Mitsubishi Heavy Industries, Adidas, RIM, Tiroler Gebietskrankenkasse, Nexon și chiar și ONU. Încrederea în companii a fost și ea pusă sub semnul întrebării, deoarece incidentul DigiNotar din prima jumătate a lui 2011 a expus utilizatorii creduli la un atac de phishing masiv bazat pe furtul certificatele digitale generate pentru instituții de renume și agenții guvernamentale, cum ar fi Google, Tor, CIA și Serviciile Secrete din Israel sau Mossad-ul.

Rețelele sociale au jucat și ele un rol esențial în diseminarea programelor periculoase și transmiterea știrilor neadevărate referitoare la decesul unor personalități cunoscute, cum ar fi Muammar Gaddafi sau Steve Jobs. De o importanță deosebită au fost campaniile malițioase construite în jurul pretinsului film al execuției lui Gaddafi și al acordării gratuite a 1000 de dispozitive iPhone 4 în memoria regretatului Steve Jobs.

Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2011 (pdf)
Descărcați sumarul executiv acum Raportul peisajului amenințărilor cibernetice H2 2011 - Rezumat executiv (pdf)

Arhivă

2011
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2011 - Rezumat executiv (pdf)

2010
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2010 - Rezumat executiv (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2010 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2010 - Rezumat executiv (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2010 (pdf)

2009
Descărcați acum Sumarul analizei executive referitor la malware și mesaje spam H1 2009 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2009 (pdf)
Descărcați acum Analiza programelor malware și mesajelor de tip spam H2 2009 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2009 - Rezumat executiv (pdf)

2008
Descărcați acum Raportul peisajului amenințărilor cibernetice H1 2008 (pdf)
Descărcați acum Raportul peisajului amenințărilor cibernetice H2 2008 (pdf)

Eliminare de calitate superioară a virușilor și programelor spion
Eliminarea programelor periculoase dintr-o singură "lovitură" de către specialiștii noștri certificați
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.
Eliminare de calitate superioară a virușilor și programelor spion
Eliminarea programelor periculoase dintr-o singură "lovitură" de către specialiștii noștri certificați
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.

La cine puteți apela? Mai jos vă este prezentată o listă cu toți reprezentanții noștri media care sunt gata să vă răspundă la întrebări.



Matt Hicks
Manager Global Relații Publice


Andrei Taflan
Coordonator Global Relații Publice
Asia Pacific & America de Nord


Alina Anton
Coordonator Global Relații Publice
LATAM & CEMEA


Eliminare de calitate superioară a virușilor și programelor spion
Eliminarea programelor periculoase dintr-o singură "lovitură" de către specialiștii noștri certificați
Centrul de securitate Bitdefender
Navigați online în siguranță. Faceți clic aici dacă doriți să primiți ultimele noutăți și alerte privind amenințările asupra computerelor, virușilor și escrocheriilor.

Software antivirus pentru utilizatorii individuali
Soluțiile Bitdefender de securitate pentru companii
Ultimele știri
Unelte & Resurse