VirusAlert.nl logo
  26 juli 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Kelvir.HI (Internet Worm)
Besturing:
Microsoft Windows
Datum:
25 augustus 2005
Risico:
Laag
Bron:
(c) 2005, VirusAlert
Eigenschappen:
W32.Kelvir.HI is een worm die een kopie van de W32.Spybot.Worm achterlaat op de getroffen computer en zichzelf verspreid via MSN Messenger. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Schade
- Download een kopie van de W32.Spybot.Worm.
- Verspreid zichzelf via MSN Messenger.
Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje "verwijder instructies".

TIP: Ontvang onze gratis viruswaarschuwingen per e-mail.
klik hier om u gratis aan te melden!
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  15
Schade:  25

Schaal:  21/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Zodra W32.Kelvir.HI is geactiveerd, gebeurt het volgende:

1. Kopieert zichzelf als %System%\msmsgr.exe.

Opmerking: %System% is een variabele die verwijst naar de systeemmap. Ontbreekt deze dan is dit C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP).

2. Dropt een kopie van W32.Spybot.Worm als %System%\msnmsgr.exe en voert deze uit.

3. Voegt de waarde:

"MSN Messenger User Controls" = "msmsgr.exe"

toe aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

zodat de worm iedere keer draait zodra Windows is gestart.

4. Voegt de waarde:

"TempData" = "[PATH TO THE ORIGINAL FILE]"

toe aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

als een markeerpunt voor infectie.

5. Voegt de waarde:

"DisableTaskMgr" = "1"
"DisableRegistryTools" = "1"

toe aan de subsleutel van het register:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

om de functies van de Task Manager en de Registry Editor uit te schakelen.

6. Voegt de waarde:

"DisableSR" = "1"

toe aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

om de functie systeemherstel uit te schakelen.

7. Periodiek laat het een van de volgende berichten verschijnen in een actief messenger Window:

Engelstalige boodschap:
haha i found your picture!

Spaanstalig bericht:
lol !Encontre su foto!
Note: The first exclamation mark(!) is inverted.

Nederlands bericht:
lol ik heb je foto gevonden

Franstalig:
haha J'ai trouve votre photo!

Duits:
haha Ich fand Ihr Foto!

Grieks in het Engelse alfabet:
lol sou malakas!

Zweeds:
haha men titta det e ju du

Italiaans:
haha Ho trovato la vostra foto!

Portugees:
haha Eu encontrei sua foto!

Turks:
Senin fotorafini buldum turkiyedeki

Opmerking: Het bericht is gekozen op basis van de taal ingesteld op het computersysteem.

8. Als een MSN Messenger venster open staat verstuurt het een van de bovenstaande berichten naar alle contacten. Het bericht kan ook de volgende URL link in het bericht meesturen, die een kopie van de worm bevat:

[http://]images.rottentomatoes.us/[REMOVED]/search.php?data=

9. Opent een nieuw venster wat de volgende URL vertoont:

[http://]images.rottentomatoes.us/[REMOVED]/search.php?data=

Opmerking: De URL bevat een kopie van de worm.

Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?

Verwijder het virus met de gratis online scanner van Symantec, klik hier
Ook klik hier

Of laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier

Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden.

TIP ? Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant.



Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS