VirusAlert.nl logo
  21 maart 2019 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Lovgate.C@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 februari 2003
Risico:
Middel
Bron:
(c) 2003, VirusAlert
Aliassen:
W32.HLLW.Lovgate.C@mm<br /> I-worm.lovegate.c
Eigenschappen:
Laatste update: 24-02-2003 - 23.59 gratis verwijderingstool beschikbaar, zie hieronder.

Lovgate.c is een massmailer internetworm die zich verspreidt via e-mail.
Na infectie stuurt het zich door als antwoord (reply) op berichten in uw postvak. Hierdoor lijkt het bericht voor de ontvanger betrouwbaar, daar hij/zij een antwoord verwacht. Aan dit bericht is vervolgens het virusbestand geplakt als bijlage (altijd .exe). Infectie komt tot stand door dit bijlagebestand handmatig te openen.

Payload/Schade
* Doorzending via e-mail als antwoord op eerder verzonden berichten.
Dit geschiedt via een eigen SMTP-server (SMTP.163.com)
* Na infectie installatie van backdoor component. Hiermee krijgt de virusschrijver/cracker toegang via poort 10168.
* Bevestiging van infectie naar virusschrijver via e-mail geadresseerd aan of: 54love@fescomail.net of: hacker117@163.com

Eigenschappen van e-mailbericht:

-Onderwerp: RE: [onderwerp orgineel bericht]

-Tekst van het bericht:
[naam afzendcomputer] wrote:
====

[tekst oorspronkelijke bericht]

====

YAHOO.COM Mail auto-reply:

' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '

Get your FREE YAHOO.COM Mail now!

-Naam bijlagebestand: [wisselend, een van onderstaande:]
OF/OF:

billgt.exe
Card.EXE
docs.exe
fun.exe
hamster.exe
humor.exe
midsong.exe
s3msong.exe
SETUP.EXE
searchURL.exe
tamagotxi.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

Heeft u een e-mail ontvangen en vermoedt u dat dit LovGate.C zou kunnen zijn?
Stuur deze dan gratis door naar het e-mailadres: cleanport@virusalert.nl
U krijgt dan automatisch een bericht terug.

Deze dienst wordt u aangeboden i.s.m. CleanPort MEF.

Letwel: Voor dat u een bericht doorstuurt moet u er zeker van zijn dat dit bericht tijdens het doorsturen niet automatisch wordt geopend.
Installeer daarom eerst alle benodigde security-patches van Windows, doe dit eenvoudig en gratis via de website van Microsoft, klik hier..


© VirusAlert schaal

Innovatie:  25
Besturing:  60
Logistiek:  17
Schade:  27

Schaal:  32/100

Aanduiding: GEVAARLIJK



Gratis Nieuwsbrief!

Herkenning van besmetting:
Herkenning van besmetting:

Bestanden
1. Aanwezigheid van een of meerdere van onderstaande bestanden op uw pc, gedeelde netwerkverbindingen e.a.:

billgt.exe
Card.EXE
docs.exe
fun.exe
hamster.exe
humor.exe
midsong.exe
s3msong.exe
SETUP.EXE
searchURL.exe
tamagotxi.exe
news_doc.exe
PsPGame.exe
joke.exe
images.exe
pics.exe

2) Aanwezigheid van een van onderstaande bestanden in de standaard Windows\System directory (Meestal C:\Windows\System):

rpcsrv.exe
syshelp.exe
WinRpcsrv.e
winrpc.exe
WinGate.exe

3) Aanpassing van het standaard Windows-bestand Win.INI.
Hieraan wordt toegevoegd de regel:
Run=rpcsvr.exe

Registry

4) Aanpassingen van de volgende registry-sleutels:
a)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-> Hiervan wordt de waarde aangepast in:
syshelp = "[locatie bestand]\syshelp.exe"

b)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-> Hiervan wordt de waarde aangepast in:
WinGate initialize = "[locatie bestand]\WinGate.exe -remoteshell"

c)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
-> Hiervan wordt de waarde aangepast in:
Module Call initialize = "[locatie bestand]\RUNDLL32.EXE reg.dll ondll_reg"

d)HKEY_CLASSES_ROOT\txtfile\shell\open\command
-> Hiervan wordt de (standaard)waarde aangepast in:
Default = "winrpc.exe %1"


Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Verwijder het virus met de gratis verwijderingstool van Symantec, klik hier

1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op enter.

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Verwijder beide genoemde registry-sleutels.

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2019 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/Privacy Virusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing

Black Friday Nederland 2018

Wil je ook de beste electronica aanbiedingen tijdens black friday deals 2018? Neem dan een kijkje op blackfridaydeals.nu. Schrijf je vast in voor de nieuwsbrief zodat je niets misloopt op 23 november 2018!

RSS