VirusAlert.nl logo
  19 augustus 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Qdens.E (Internet Worm)
Besturing:
Microsoft Windows
Datum:
10 augustus 2005
Risico:
Laag
Bron:
(c) 2005, VirusAlert
Eigenschappen:
W32.Qdens.E is a worm die veiligheidsinstellingen verlaagt en zichzelf verspreidt via programma’s als QQ Messenger en Tencent Messenger. Stuurt een kopie van zichzelf door via het programma QQ Messenger and Tencent Messenger en probeert vervolgens veiligheidprocessen te beëindigen.
Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  15
Schade:  20

Schaal:  19/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Zodra W32.Qdens.E is geactiveerd, gebeurt het volgende:

1. Allereerst kopieert het zichzelf als het bestand %System%\lsas32.exe welke een plaatje laat zien van een Chinees uitziende vrouw:

Opmerking: %System% is een variabele die verwijst naar de systeemmap. Ontbreekt deze, dan is dit C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

2. Voegt vervolgende de volgende waarde toe:

"678" = "%System%\lsas32.exe"

aan de subsleutel van het register.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run

zodat het iedere keer meedraait als Windows is gestart.

3. Voegt ten derde de volgende waarde toe:

"(Default)" = "[DATE OF INFECTION]"

aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\TCPlus

als een markeerpunt voor infectie.

4. Probeert de volgende subsleutels van het register te verwijderen, welke gerelateerd zijn aan oudere versies van de worm.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\234
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\911
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\99
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\Explorer\Run\222

5. De worm zal de volgende processen waarvan sommige aan veiligheid gerelateerd zijn te beëindigen:

• kregex.exe
• trojdie.kxp
• fsService.exe
• slserve.exe
• Service.exe
• system32.exe
• assistse.exe
• ravmon.exe
• ravtimer.exe
• rfw.exe
• kavpfw.exe
• kpfwsvc.exe
• kavstart.exe
• kwatch.exe
• kavplus.exe
• mailmon.exe
• kpopmon.exe
• kwatchui.exe
• kavsvc.exe
• kvapfw.exe
• kvfw.exe
• kvmonxp.kxp
• kvsrvxp.exe
• kvxp.kxp
• kvcenter.kxp
• defwatch.exe
• rtvscan.exe
• ccapp.exe
• ccsetmgr.exe
• vptray.exe
• passwordguard.exe
• eghost.exe
• iparmor.exe
• pfw.exe
• teregpct.exe
• dfvsnet.exe
• netbargp.exe
• nmain.exe
• navw32.exe
• kavsvcui.exe
• kav32.exe

6. Houdt Windows in de gaten en kijkt of de volgende Chinese tekens voorkomen in ‘strings’, zowel simpel Chinees als Traditionele Chinees:

• Liaotianzhong
• Jiaotanzhong
• Fasong xinxi

7. Als de worm een van de hierboven genoemde binnen tekens in Windows vindt, dan checkt het of een van de volgende instant messenger programma’s meedraait:

• qq.exe
• tm.exe

8. Vervolgens verstuurt het een kopie van zichzelf naar een van de vele actieve contacten via QQ Messenger of Tencent Messenger.

Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?

Verwijder het virus met de gratis online scanner van Symantec, klik hier
Ook klik hier

Of laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier

Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden.

TIP ? Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant.

Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS