VirusAlert.nl logo
  23 oktober 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Nodmin@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 januari 2005
Risico:
Laag
Bron:
(c) 2005, VirusAlert
Aliassen:
Trojan.Win32.VB.ry
Eigenschappen:
Nodmin is een internet worm die zich verspreidt via e-mail. Na infectie wijzigt het de instellingen van de computer en doet het een poging tot het uitschakelen van geinstalleerde security-software.
Nodmin verspreidt zichzelf via het (gedeelde) netwerk.

Payload/Schade

* Geeft het volgende bericht weer:

The file is either in unknow format or damaged!

* Download en wijzigt Trojan.Midos van het domein http:/ /freewebs.com/tornadotm/

* Schakelt de volgende processen uit:

AckWin32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
agentw.EXE
AMON9X.EXE
ANTI -TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APVXDWIN.exe
ATRO55EN.EXE
AVENGINE.exe
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
avkpop.EXE
AvkServ.EXE
avkservice.EXE
avkwctl9.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
avpm.EXE
Avsched32.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
ccProxy.exe
cmd.com
command.com
firewall.exe
Flashget.exe
FP -WIN_TRIAL.EXE
FRW.EXE
fsaa.EXE
FSAV.EXE
fsav32.EXE
FSAV530STBYB.EXE
FSAV95.EXE
fsgk32.EXE
fsm32.EXE
hl.exe
iexplore.exe
IFACE.EXE
JAMMER.EXE
JEDI.EXE
Kaiowas.exe
KAVPF.EXE
KERIO -PF - 213 - EN - WIN.EXE
KILLPROCESSSETUP161.EXE
LDNETMON.EXE
LDPRO.EXE
LDPROMENU.EXE
LDSCAN.EXE
LOCALNET.EXE
LOCKDOWN.EXE
lockdown2000.EXE
LSETUP.EXE
LUALL.EXE
LUAU.EXE
LUCOMSERVER.EXE
LUINIT.EXE
LUSPT.EXE
MCAGENT.EXE
MCUPDATE.exe
mirc.exe
Monitor.EXE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE.EXE
MPFTRAY.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
MWATCH.EXE
NAV80TRY.EXE
navapsvc.exe
NAVAPSVC.EXE
navapw32.exe
NAVAPW32.EXE
NAVDX.EXE
NAVLU32.EXE
NAVSTUB.EXE
Navw32.EXE
NAVWNT.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NeoWatchLog.EXE
nero.exe
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NORMIST.EXE
notepad.exe
notstart.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
npscheck.EXE
NPSSVC.EXE
NSCHED32.EXE
ntrtscan.EXE
NTVDM.EXE
NTXconfig.EXE
Nui.EXE
NUPGRADE.exe
Nupgrade.EXE
NVARCH16.EXE
NVC95.EXE
nvsvc32.EXE
NWINST4.EXE
NWService.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
panda.exe
pavProxy.exe
pavsrv50.exe
pccwin97.EXE
PCCWIN98.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
pcscan.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PERSWF.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POP3TRAP.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PORTMONITOR.EXE
PPINUPDT.EXE
PPVSTOP.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
QCONSOLE.EXE
QSERVER.EXE
rapapp.EXE
RAV7.EXE
SWEEPSRV.SYS
SWNETSUP.EXE
SymProxySvc.EXE
SYMTRAY.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TC.EXE
TDS-3.EXE
TFAK.EXE
TFAK5.EXE
TITANIN.EXE
toolkit.exe
winamp.exe
word.exe
ZATUTOR.EXE
ZONALM2601.EXE
ZONEALARM.EXE

* Voegt de volgende regels toe aan (%System%\drivers\etc\hosts) en naar het bestand C:\WINNThosts, doormiddel van deze regels word de communicatie met de security sites verbroken:

127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 sophos.com
127.0.0.1 downloads1.kaspersky - labs.com
127.0.0.1 downloads2.kaspersky -labs.com
127.0.0.1 downloads3.kaspersky -labs.com
127.0.0.1 downloads4.kaspersky -labs.com
127.0.0.1 downloads -us1.kaspersky - labs.com
127.0.0.1 downloads -eu1.kaspersky - labs.com
127.0.0.1 kaspersky -labs.com
127.0.0.1 www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f -secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 www.my -etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 mtel.bg
127.0.0.1 data.bg
127.0.0.1 google.com
127.0.0.1 www.trendmicro.com
127.0.0.1 viruslist.ru

* Creëert de volgende niet kwaadwillige bestanden:

C:\index.htm
C:\mymesg.txt
%Windows%\sysilani.ini

* Zoekt naar file sharing programma's in de volgende mappen:

eMule\Incoming
ICQ File Share\Share
Ares\My Shared Folder
eDonkey2000\Incoming
Kazaa\My shared folder
Kazaa Lite K++
Kazaa Lite K++\My shared folder

* Indien aanwezig kopieert het virus zichzelf naar de volgende bestanden:

Winamp Final 5.11.exe
Hotmail_hack.exe
Google_hacks.exe
WinRar.exe
Windows_Xp_Key_gen.exe
Tornado_TM.exe
ILAni.exe
ftp hack.exe
windows exploit.exe
winxp_hack.exe
Hacker.exe
Microsoft Suckers.exe
Apache.exe
Php_nuke.exe
C++ compile.exe
winamp crack 5.12.exe
Flashget crack.exe
mail.exe
friends.exe
aladin.exe
super mario.exe
super pang.exe
Kaiowas hack.exe
web hack.exe
mail exploit.exe
Yu-Gi-Oh.exe
Yu-Gi-Oh cards.exe
Batman.exe
Windows2003Keygen.exe
Norton AntiVirus 2004 Patch.exe
Pokemon Colosseum No-CD.exe
SecureCRTPatch.exe
Splinter Cell Pandora No-CD.exe
Star Chamber No-CD.exe
Sub7 Gold.exe
Unreal Tournament 2004 No-CD.exe
VB6 KeyGen.exe
WinAmp5 Crack.exe
WinXPKeyGen.exe
WinZip.exe

* Gebruikt Microsoft Outlook adresboek om zichzelf verder te verspreiden

E-mail berichten eigenschappen

* Van: Spoofed ( Nep )

* Onderwerp: ( 1 van de volgende )

Re:
RE:Re
Re:Windows Update
Re:Details
Re:Answer
Re:Question
Re:ICQ Password
Warning!!!
Free Handy Ringtones
Green Card?
Check this!
Winxp problem
winxp error
Help me!
Hi,baby
Details
Important
Top secret
Interesting
Funny Stories
Free GSM Ring Composer
Free SMS Center
failure notice
New friend
See My New Flat
Free GSM Screens
Wallpaper

* Bericht ( 1 van de volgende)

See this photo, have fun and phone me :)))!!!
This picture is for you.Have fun :)) {}
Hi,
Can you help me.
For Details see the attached file.
10x ...
See my report!
Send me back your opinion
Read my answer.
Check the attachment
Please read the attachment and call me.
I am sure that this will help you.
What's up ?
I don't have time for chatting this week,
but you can call me.
I have forgotton my ICQ password and i try to check about it but it has an error on icq page.
Please check the attached file.
If you fix the error, plese send me mail.
10x
For Fun see the attachment.. and give me your opinion
See the Flash animation!!!
Get your free ringtones
It's not only for Nokia :)
Have you seen whether you win a green card?
I find this very interesting...
Try it's a funny game :) []
Hello,
It makes fun :]]]]
I have a very big problem with my OS
Can you help me?
Check the attachment.
Windows fatal error
Please check this error
I have a very big problem
Can you help me
See the attachment
Read this interesting news info :)
I love you and this fun story too :)
Check this if you want a new job
For details see the attached file
This file include your full bank information
I think you must call the police
See this - UFO top secret info
Read this funny story :))
GSM Ring Composer for your Handy...
Just try
Free SMS Center - check the attached file.
mail error 233
See my new friend
We have a new flat
See the photos

* Bijlage:

photo.pif
pic.pif
winupdate.asp?=072344.pif
details.htm.pif
answer.txt.exe
attachment.doc.exe
secret_att.zip.exe
old_password.htm?=7658754322btgisx.pif
attachment.scr
warning.exe
ringtones.exe
checkgcard.exe
check.exe
problem.txt.exe
error.txt.exe
problem.htm.exe
fun.htm.scr
details.php.pif
important.mdb.exe
news.index.htm.exe
fun.php?id=8727277732323.scr
funstories.php?id=087457685bcxd?9283.scr
hotringtones.jsp?=00d7uxnn3.pif
smscenter.php?index!&%230000.scr
error.exe
photos.zip.pif
flat.jpg.pif
handy_matrix_screen.scr
wallpaper0023.jpg.scr
© VirusAlert schaal

Innovatie:  11
Besturing:  35
Logistiek:  12
Schade:  15

Schaal:  18/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Herkenning van besmetting:

Bestanden

* Aanwezigheid van de bestanden:

%System%\kbdbg.exe
%System%\bgHacKeR$.exe
%System%\mymind.exe
%System%\open.exe
%System%\Q-We are the champions.exe
%System%\Microsoft SuxX.exe
%Windows%\winserv.ila
C:\free01.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\sservice.ila
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\lservice.exe

(c:\Windows\System bij Win95/98/Me & c:\Windows\System32 bij Win2000, XP en NT)

%Windir is C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000).

Registry

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

Met de waarde:

"Winserv" = "%Windows%\Winserv.ila"

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Met de waarde:

"System" = "%Windows%\Winserv.ila"
"LegalNoticeCaption" = ":: My Message :""
"LegalNoticeText" = "FREE THE BULGARIAN MEDICS IN LIBYA"

Wijzigt de volgende registry-sleutels:

HKEY_CLASSES_ROOT\[extenties]\(default) = ""

.ade
.adp
.bas
.bat
.chm
.cmd
.com
.cpl
.crt
.dll
.exe
.hlp
.hta
.isp
.js
.jse
.lnk
.ila
.mdb
.mde
.msc
.msi
.msp
.mst
.ocx
.pcd
.pif
.pot
.ppt
.reg
.scr
.sct
.shb
.shs
.sys
.url
.vb
.vbe
.vbs
.wsc
.wsf
.wsh
.vbp
.doc
.xsl
.asp
.zip
.rar
.txt
.mp

Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?
Laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier

TIP – Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant.

Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden.

Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.
Raadpleeg Windows help voor meer informatie over [systeemherstel]

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS