VirusAlert.nl logo
  19 oktober 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Mydoom.FS@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
26 april 2006
Risico:
Laag
Bron:
(c) 2006, VirusAlert
Eigenschappen:
W32.Mydoom.fs is een mass mailing worm die email adressen van een besmette pc haalt. Het gebruikt z'n eigen simple mail transfer protocol(SMTP) om emails te verspreiden.

Kwetsbare besturingssystemen zijn:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie
© VirusAlert schaal

Innovatie:  10
Besturing:  15
Logistiek:  26
Schade:  11

Schaal:  15/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Na besmetting voert de worm de volgende acties uit:

1. Plaatst zichzelf in de %systeem% map of de map "tijdelijk bestanden" als osalogbe.exe.

Opmerking:
%System% is een variabele die verwijst naar de systeemmap waar Windows geïnstalleerd staat. Ontbreekt deze, dan is dit de map C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP).

2. maakt een speciaal bestand aan om er voor te zorgen dat het maar een keer op een pc draait.

3. Maakt de volgende subsleutel in het register aan:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\osunimale

4. Voegt de volgende waarde toe:

"Osalogbe" = "[DROPPED FOLDER]\osalogbe.exe"

Aan de subsleutesl van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Zodat het elke keer draait zodra Windows weer opstart.

5. Maakt verbinding met een van de volgende IRC kanaalen via TCP poort 6667:

anubis.zanet.org.za
irc.red-latina.org
irc.voila.fr
irc.xevion.net

6. Opent één van de volgende TCP poorten om te luisteren naar commando's van de aanvaller:

6666, 6667, 6668, of 6669.

7. Noteert alle toetsen die je intikt in het volgende bestand:

%Windir%\mslog\[RANDOM NUMBERS].sys

Opmerking:
%Windir% is een variabele die verwijst naar de Windows installatie folder. Standaart is dit de map C:\Windows\ (Windows 95/98/Me/XP) of C:\Winnt\(Windows NT/2000).

8. Kan ook een van de volgende bestanden instaleren:

email1.txt
from.txt
message.txt
subject.txt

9. Haalt email adressen uit het windows adresboek. De trojan kan ook een adres halen uit bestanden met één van de volgende extenties:

adb
asp
aspx
dbx
htm
html
php
pl
sht
tbb
txt
wab

10. Maakt het volgende bestand aan en slaat daar in alle gevonden email adressen in op:

scanlog.txt

11. De worm kan gaan zoeken naar een van de volgende Simple Mail Transfer Protocol (SMTP) servers:

gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.

12. De emails die de trojan verstuurt bevatten een van de volgende kenmerken:

Afzender
Met één van de volgende namen:

adam
alex
alice
andrew
anna
bill
bob
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Met één van de volgende domeinen:

aol.com
hotmail.com
msn.com
yahoo.com

Onderwerp:
Met een van de volgende onderwerpen:

Bank Wire Transfer
Congratulations
estern Union Payment Notification
Final Notice Of Payment
Life Time Opportunities
Money Transfer Notification
Payment Notification
Please follow this instructions
Your request has been Approved

Bericht:
Met één van de volgende teksten:

Final Notice Of Payment.Please check the attachment for details.
Please check the attached message to claim your money
Please follow this instructions
The wire transfer information you requested as been sent.Please see the attachment.
Your credit loans has been approved.Please check the attachment for details.
Your egold payment is waiting for you.Check the attachment for Details
Your egold payment is waiting for you.Click the attachment for Details
Your payment has been confirmed.Please check the attachment for details.
Your request has been Approved

Bijlage:
Met één van de volgende Bijlage:

body
data
doc
document
file
message
readme
test
text

Met één van de volgende extensies

bat
cmd
exe
scr

opmerking
De bijlage kan ook een zip bestand bevatten

13. De virus stuurt zichzelf niet naar een email adres met een van de volgende kenmerken:

.gov
.mil
accoun
admin
avp
borlan
bsd
certific
example
foo.
google
gov.
icrosof
icrosoft
inpris
linux
listserv
mydomai
nodomai
ntivi
panda
ruslis
sopho
support
syma
unix

14. De virus stuurt zichzelf niet naar een email adres die begint met een van de volgende kenmerken:

root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page

Verwijder instructies:
Verwijder het virus met de gratis online scanner van Symantec,

Target="_blank">
klik hier


Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows

systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere

mogelijkheid
voor het verwijderen van een virus. Gebruik [systeemherstel] een

optie om de
configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van

de
virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn

maar de
installatie wordt ongedaan gemaakt. (Controleer vervolgens uw

systeem met
een antiviruspakket, zie punt 1.

-. Raadpleeg Windows help voor meer informatie over

[systeemherstel]

-. Controleer hierna uw systeem op nog aanwezige bestanden en
registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?

Wij adviseren aanpassingen in het register van Windows alleen te

laten
uitvoeren door Windows-specialisten. Heeft u zelf geen kennis

hiervan dan de
virushelpdesk.nl u online van dienst zijn, kijk hiervoor op
VirusHelpdesk.nl onder stap

2


Handmatig de registry aanpassen
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle

programma's
af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET

worden
overgeslagen!). Start de pc dan weer op, en door tijdens het

opstarten van
de pc

de CTRL of F8 knop vast te houden (afhankelijk van het

besturingssysteem)
zal er een menu verschijnen. In dat menu selecteer je dan met

behulp van de
pijltjestoetsen de optie veilige modus en dan druk je op enter. De

pc zal
dan opstarten in de veilige modus. In sommige gevallen kan het

gebeuren dat
de pc een 'keyboard error' geeft als je de CTRL of F8 knop

indrukt, en in
dat geval moet je even wachten tot de BIOS geladen is en dan de

betreffende
toets indrukken. Overigens kan alleen Windows NT niet in de

veilige modus
worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows>

ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk

daarna op
enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine,

en niet
van een individuele user. Daarom even de folder wijzigen via de

instructie
cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste

aanbevolen
om een kopie van het register te maken VOOR dat je dingen gaat

veranderen.
Het register is het hart van je pc en als je hier dingen verkeerd

in
veranderd en/of verwijderd is het mogelijk dat je pc niet goed of

zelfs
helemaal niet meer werkt.

Je kunt een kopie maken door bovenin de register editor op deze

computer te
klikken en vervolgens op register en dan op registerbestand

exporteren.

3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende

sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor

HKEY_LOCAL_MACHINE
staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je

scherm
welke waarden daar in zitten. Selecteer net zolang totdat je de

juiste
sleutel volledig kan zien in het linkerscherm. Klik vervolgens met

de
rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan

op de
normale manier op.

3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met

ge-update
AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software

opnieuw.
Middels de originele installatie-procedure.

Assistentie nodig? Maak gebruik van de online helpesk de

virushelpdesk.nl
VirusHelpdesk.nl onder stap

2

Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS