© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 25
  • Schade: 15
  • Schaal: 21
  • Aanduiding: lastig

W32 Banwarum.G

  • Type win32
  • Besturingssysteem Microsoft Windows
  • Risico middel
  • Bron (c) 2006, VirusAlert
  • Preventie Zodra W32.Banwarum.G is geactiveerd, gebeurt het volgende: 1. Het creëert de volgende mutex: TurkishCooL 2. De worm maakt het volgende bestand aan: %System%\[RANDOM].dll Opmerking: %System% is een variabele die verwijst naar de systeemmap. Ontbreekt deze, dan is dit de locatie C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP). 3. Het voegt de volgende waarde toe: "(Default)" = "{[RANDOM GUID]}" aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad zodat het iedere keer draait wanneer Windows is gestart. 4. Voegt de volgende waarde toe: "(Default)" = "%System%\[RANDOM].dll" aan de subsleutel van het register: HKEY_CLASS_ROOT\CLSID\{[RANDOM GUID]}\InProcSrver32 zodat het iedere keer draait zodra Windows is gestart. 5. Voegt de volgende waarde toe: "HardNum" = "[RANDOM]" aan de subsleutel van het register: HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Internet Explorer\Main als zijnde een markeerpunt voor infectie. 6. Stuurt de verzamelde informatie over de geïnfecteerde computer door naar de volgende website: [http://]85.105.130.110/leema[REMOVED] 7. Verzamelt e-mailadressen van het Windows adressenboek. 8. Stuurt de e-mailadressen door naar de volgende website: [http://]85.105.130.110/w.p[REMOVED] 9. Download bestanden van de volgende website: [http://]85.105.130.110/load[REMOVED] 10. Gebruikt Microsoft Outlook om een e-mail met een .zip bestand te versturen naar alle adressen dat het op de geïnfecteerde PC kan vinden. De e-mail heeft de volgende karakteristieken: Afzender: [BLANK] Onderwerp: Antivirus project Message body: Hi! How are you? This is the best soft from Microsoft Windows Planforms. I've like it very much... Attachment: util_v2_5.zip 11. Zoekt naar de volgende registeringangen naar mappen waar het zichzelf naar toe kan kopiëren. HKEY_CURRENT_USER\Software\KaZaa\LocalContent\"Dir0" = "012345:[FOLDER 1]" HKEY_LOCAL_MACHINE\Software\Morpheus\"Install_Dir" = "[FOLDER 2]" HKEY_LOCAL_MACHINE\Software\iMesh\Client\"DownloadsLocation" = "[FOLDER 3]" 12. Probeert zichzelf te kopiëren naar de volgende mappen: [FOLDER 1] [FOLDER 2]\My Shared Folder C:\Program Files\eDonkey2000\incoming C:\Program Files\LimeWire\Shared [FOLDER 3] als zijnde de volgende bestandsnamen: Zoo Tycoon.exe ZoneAlarm.exe Zone Alarm Security Suite 5.5.062 Crack.exe XP Slipstreamer v1.0 Crack.exe XBOX X-Fer Ripper and Transfer.exe WinZip.exe WinZip v9.0 Registration.exe Winzip Keygen.exe WinZip All Versions keygen.exe WinZip 9.x Crack.exe WinRAR.exe WinRAR All KeyGen.exe WinRAR 3.x Crack.exe Windows XP SP2 KeyGen.exe Windows XP Professional crack.exe Windows XP Pro 64-bit Crack.exe Windows XP home edition Activation.exe Windows XP Activation Crack.exe Windows Server 2003 SP1 Build 1039-2l Crack.exe windows server 2003 crack.exe Sygate Personal Firewall PRO v5.5 Build 2577 Crack.exe Strip Poker 2004 Crack.exe Sims 2 Crack.exe Sim Theme Park World no cd crack.exe Sim City 4 Deluxe no cd crack.exe Sim City 4 - Rush Hour no cd crack.exe RoboForm.exe RoboForm crack.exe RealPlayer.exe RealPlayer Crack.exe RealPlayer crack (keygen.exe PINNACLE STUDIO PLUS V9.3 Crack.exe PhotoShop CS v8.0 Crack.exe Partition Magic 8.0.exe Paris Hilton Sex-E Screensaver 1.0.exe NOD32 AntiVirus 2.12.1 Crack.exe Nero Burning ROM v6.x crack.exe Macromedia Flash SWF-Unprotect v2.0.exe Macromedia Flash MX v6.0 crack.exe Macromedia Flash All Versions keygen.exe Macromedia Flash 8 Crack.exe Macromedia Fireworks 4.0 Patch.exe Macromedia Dreamweaver UltraDev 4.0 Patch.exe Macromedia Dreamweaver MX v6.0 crack.exe Macromedia Dreamweaver MX 2004 7.0 Crack.exe Macromedia Dreamweaver 4.0 Patch.exe Macromedia Director 8 Crack.exe Macromedia Contribute v2.0 crack.exe Macromedia ColdFusion MX crack.exe K-Lite Mega Codec Pack 1.13 Keygen.exe K-Lite Codec Pack v2.31 Full Crack.exe KaZaA Lite Plus 1.0.exe Kazaa Download Manager 3.0.exe Kazaa Download Accelerator Pro.exe Internet Download Manager v4.02 Crack.exe Internet Download Manager 4.03.exe FrontPage XP 2002 Crack.exe visualroute 9.3g keygen.exe visualroute 9.3g crack.exe Firefox Setup 1.5.0.3.exe opera 9.exe CuteFTP 7 Professional crack.exe cuteftppro.exe Final Fantasy XII crack.exe Final Fantasy XI - USA no cd crack.exe Final Fantasy VII - Advent Children crack.exe fifa 2006.exe Fifa 2006 Crack.exe eMule.exe eMule 0.44b.exe divX codec.exe DivX Player Crack.exe DivX Player (with DivX Codec).exe CloneCD KeyGen.exe CloneCD 5.x Crack.exe Civilization IV.exe CD to MP3 Freeware 1.5 .exe BitComet.exe AOL Instant Messenger (AIM).exe All Macromedia Keygen.exe Alcohol 120% v1.9.2 build 1705 Crack.exe Ahead Nero Burning 7 Ultra Agnitum Outpost Firewall 3.51.x Crack.exe Ad-aware.exe Ad-aware Professional.exe Ad-aware Pro Crack.exe acdsee 8 Crack.exe ABBY FineReader Pro Crack.exe 3D Studio Max 6 Crack.exe windowsxpserial.exe wincrack.exe windowsvista.exe sex.exe blacksex.exe asiansex.exe Eminem.exe Britneysex.exe BritneySpears.exe Xbox360.exe 13. Showt de volgende berichtdisplays aan de gebruiker: Run program? Yes or no. Als de gebruiker op ja klikt, krijgt het vervolgens een ander bericht van Windows Utility te zien: You are assured, wether that wish to make install files on your computer, wether not so? Als de gebruiker wederom op ja klikt, laat het tenslotte nog een ander bericht zien: Error found while unpacking resources.
  • Verwijderinstructie Verwijder het virus met de gratis online scanner van Symantec, klik hier Handmatig een virus verwijderen voor Windows 9x, 2000, NT en XP Onderstaande algemene beschrijving geldt voor alle Windows systemen. Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten. U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie! Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1. -. Raadpleeg Windows help voor meer informatie over [systeemherstel] -. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig. Aanpassen van de registry? Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de virushelpdesk.nl u online van dienst zijn, kijk hiervoor op VirusHelpdesk.nl onder stap 2 Handmatig de registry aanpassen 3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk. 3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit" Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows 3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren. 3.D. Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting". Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat. Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen". 3.E. Sluit vervolgens dit venster. 3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op. 3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner. 3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatieprocedure. Assistentie nodig? Maak gebruik van de online helpdesk de virushelpdesk.nl VirusHelpdesk.nl onder stap 2

W32.Banwarum.G is een worm die zichzelf verspreid via netwerken waar je bestanden kunt uitwisselen zoals KaZaa, Morpheus, eDonkey2000, LimeWire, en iMesh. Het download ook een .zip bestand van een vooraf bepaalde website. Het stuurt vervolgens een e-mail bijlage naar alle adressen die het heeft verzameld op de getroffen computer. Kwestbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

• Number of infections: 0 – 49
• Number of sites: 0 – 2
• Geographical distribution: Low
• Threat containment: Easy
• Verzamelt e-mailadressen van de geïnfecteerde computer.
• Stuurt een e-mail met een zip bestand naar alle verzameldeadressen.
• Onderwerp van de e-mail: Antivirus project
• Naam van de attachment: util_v2_5.zip

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
“verwijder instructie”