MenthiX (traduttore e beta tester di Messenger Plus! Live) ha postato sul forum ufficiale del famoso addon per WLM una notizia riguardante uno script contenente un pericoloso virus. Lo script in questione è Nick Plus creato da M4g1c.
Ecco ciò che dice MenthiX:
Questa mattina ho ricevuto una e-mail da agus200808 (un utente spagnolo del forum), informandomi che lo script Nick Plus creato da M4g1c contiene un virus.
Subito dopo la lettura dell’e-mail ho rimosso lo script dal sito ufficiale degli script per il plus, ma purtroppo già circa 17.381 persone hanno scaricato quel file. Solitamente, tutti gli script e le skin vengono testate prima di essere aggiunte al sito, ma purtroppo non ho riscontrato nessuna minaccia in questo script, poichè il codice che scarica il virus è crittografato e a causa di questo è difficile vedere quello che realmente fa lo script. Ho già apportato alcune modifiche al processo per il testing degli script/skin in modo che i virus di questo tipo saranno notati, prima di postare il download del file sul sito.
Chi è a rischio?
Tutti coloro che hanno installato lo script Nick Plus. Ciò comprende anche le persone che hanno provato lo script ma che successivamente lo hanno disinstallato o disabilitato. Mentre lo script sembra essere un normale e funzionale script, in realtà esso, scarica ed esegue un virus senza che l’utente ne sia a conoscenza. Esistono varie versioni di questo script, solo la prima versione è disponibile presso il sito Messenger Plus! :
* Nick Plus 1.0
* Nick Plus 1.1
* Nick Plus 1.1 (versione araba)
Che cosa fa questo virus?
Stiamo ancora studiando il danno, ma finora sappiamo questo:
* Un file eseguibile viene scaricato da un server “maligno”, salvato come C: \ temp.exe, ed eseguito.
* Nascosto come processo iexplore.exe invia i propri dati al server “maligno”.
* L’indirizzo email e la password di login del vostro account Messenger vengono catturati ed inviati.
Come faccio a rimuovere questo virus?
Abbiamo creato una patch che rimuoverà automaticamente tutti i file e le chiavi di registro lasciate dallo script dannoso.
Lo strumento di rimozione è stato creato da mynetx insieme a Patchou. Lo stesso strumento per la rimozione è fornito anche attraverso la funzione di aggiornamento automatico per tutti coloro che hanno installato lo script Nick Plus.
Per utilizzarlo: Assicuratevi di essere collegati al vostro WLM, scaricare ed importare lo script, successivamente fare clic sul pulsante Pulisci ed una volta completata la pulizia cliccare su Chiudi. Infine collegatevi QUA e cambiate la vostra password.
Per la sicurezza degli utenti, il team di Messenger Plus, oltre a rimuovere dal sito lo script dannoso, ha già:
- Contattato l’amministratore del server che ospitava i file Trojan, che a sua volta ha subito provveduto alla rimozione dei file.
- Contattato abuse@hotmail.com e security@microsoft.com informandogli dell’accaduto.
- Segnalato il virus anche attraverso la nuova funzione di WLM (sengala abuso).
- Presentata l’ URL di tutte e tre le varianti del virus al database anti-pishing di Internet Explorer e di Firefox.
- Denunciato il fatto e rivelato l’indirizzo ip alle autorità competenti.
Via| Forum Msg Plus
Posted by: aigh panzer in 
Tags: , 
