Yeni Virüs: Your facebook password has been changed (TrojanDropper:Win32/Oficla.T)
Bu gün mail kutuma ulaşan bir mail dikkatimi çekti.
Konu: Your facebook password has been changed
İçerik:
Dear user of facebook,
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
Your Facebook.
EK: deryck.jpg
Merak edip dosyayı Hex editor ile inceledim ve HEADER kısmında PK anahtarı yani zip ile sıkıştırıldığına dair bilgi ve vardı dosyanın uzantısını .zip olarak değiştirdiğimde içinden Facebook_document.exe dosyası çıktı ama dosya WORD 2007 dosyası gibi görünüme sahipti.
Hemen dosyayı yeniden WINHEX Editor ile açtım dosya PE ile upx olarak paketlenmişti. Ardından dosyayı Unpecomp2.exe ile paketinden çıkarttım ve Windows Defender hemen uyarısını verdi ! bu dosya TrojanDropper:Win32/Oficla.T virüsüne sahiptir, hemen kaldırılması gerekir!
Sonuç olarak virüsü sistemden kaldırdım, aşağıdada çeşitli virustotal.com sitesinden alınan raporu görebilirsiniz.
Virüse ait tarama detayları
| Antivirus | Version | Last update | Result |
|---|---|---|---|
| AhnLab-V3 | 2010.09.15.01 | 2010.09.15 | – |
| AntiVir | 8.2.4.52 | 2010.09.15 | TR/Spy.ZBot.HA |
| Antiy-AVL | 2.0.3.7 | 2010.09.15 | – |
| Authentium | 5.2.0.5 | 2010.09.15 | W32/Trojan3.BZR |
| Avast | 4.8.1351.0 | 2010.09.15 | Win32:Trojan-gen |
| Avast5 | 5.0.594.0 | 2010.09.15 | Win32:Trojan-gen |
| AVG | 9.0.0.851 | 2010.09.15 | FakeAlert |
| BitDefender | 7.2 | 2010.09.15 | Trojan.Generic.KDV.36924 |
| CAT-QuickHeal | 11.00 | 2010.09.15 | – |
| ClamAV | 0.96.2.0-git | 2010.09.15 | Heuristic.Trojan.SusPacked.XETPX |
| Comodo | 6083 | 2010.09.15 | TrojWare.Win32.Agent.kwd |
| DrWeb | 5.0.2.03300 | 2010.09.15 | Trojan.Oficla.zip |
| Emsisoft | 5.0.0.37 | 2010.09.15 | Win32.Outbreak!IK |
| eSafe | 7.0.17.0 | 2010.09.14 | – |
| eTrust-Vet | 36.1.7856 | 2010.09.15 | – |
| F-Prot | 4.6.1.107 | 2010.09.14 | W32/Trojan3.BZR |
| F-Secure | 9.0.15370.0 | 2010.09.15 | Trojan-Downloader:W32/Oficla.IC |
| Fortinet | 4.1.143.0 | 2010.09.15 | – |
| GData | 21 | 2010.09.15 | Trojan.Generic.KDV.36924 |
| Ikarus | T3.1.1.88.0 | 2010.09.15 | Win32.Outbreak |
| Jiangmin | 13.0.900 | 2010.09.15 | – |
| K7AntiVirus | 9.63.2512 | 2010.09.14 | – |
| Kaspersky | 7.0.0.125 | 2010.09.15 | Trojan.Win32.Oficla.lh |
| McAfee | 5.400.0.1158 | 2010.09.15 | Artemis!DE52C0B214DD |
| McAfee-GW-Edition | 2010.1B | 2010.09.15 | Artemis!DE52C0B214DD |
| Microsoft | 1.6103 | 2010.09.15 | TrojanDropper:Win32/Oficla.T |
| NOD32 | 5452 | 2010.09.15 | Win32/Oficla.II |
| Norman | 6.06.06 | 2010.09.14 | – |
| nProtect | 2010-09-15.01 | 2010.09.15 | Trojan.Generic.KDV.36924 |
| Panda | 10.0.2.7 | 2010.09.14 | Suspicious file |
| PCTools | 7.0.3.5 | 2010.09.15 | Trojan.Sasfis |
| Prevx | 3.0 | 2010.09.15 | – |
| Rising | 22.65.02.04 | 2010.09.15 | Trojan.Win32.Generic.523236AC |
| Sophos | 4.57.0 | 2010.09.15 | Troj/Mdrop-CWY |
| Sunbelt | 6878 | 2010.09.15 | Trojan.Win32.Generic!BT |
| SUPERAntiSpyware | 4.40.0.1006 | 2010.09.15 | – |
| Symantec | 20101.1.1.7 | 2010.09.15 | Trojan.Sasfis |
| TheHacker | 6.7.0.0.018 | 2010.09.15 | – |
| TrendMicro | 9.120.0.1004 | 2010.09.15 | – |
| TrendMicro-HouseCall | 9.120.0.1004 | 2010.09.15 | TROJ_OFICLA.AN |
| VBA32 | 3.12.14.0 | 2010.09.15 | – |
| ViRobot | 2010.8.25.4006 | 2010.09.15 | Trojan.Win32.Oficla.32768 |
| VirusBuster | 12.65.6.0 | 2010.09.14 | – |
