© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 15
  • Schade: 25
  • Schaal: 21
  • Aanduiding: lastig

W32.Kelvir.HI

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2005, VirusAlert
  • Preventie Zodra W32.Kelvir.HI is geactiveerd, gebeurt het volgende: 1. Kopieert zichzelf als %System%\msmsgr.exe. Opmerking: %System% is een variabele die verwijst naar de systeemmap. Ontbreekt deze dan is dit C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP). 2. Dropt een kopie van W32.Spybot.Worm als %System%\msnmsgr.exe en voert deze uit. 3. Voegt de waarde: "MSN Messenger User Controls" = "msmsgr.exe" toe aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices zodat de worm iedere keer draait zodra Windows is gestart. 4. Voegt de waarde: "TempData" = "[PATH TO THE ORIGINAL FILE]" toe aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion als een markeerpunt voor infectie. 5. Voegt de waarde: "DisableTaskMgr" = "1" "DisableRegistryTools" = "1" toe aan de subsleutel van het register: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System om de functies van de Task Manager en de Registry Editor uit te schakelen. 6. Voegt de waarde: "DisableSR" = "1" toe aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore om de functie systeemherstel uit te schakelen. 7. Periodiek laat het een van de volgende berichten verschijnen in een actief messenger Window: Engelstalige boodschap: haha i found your picture! Spaanstalig bericht: lol !Encontre su foto! Note: The first exclamation mark(!) is inverted. Nederlands bericht: lol ik heb je foto gevonden Franstalig: haha J'ai trouve votre photo! Duits: haha Ich fand Ihr Foto! Grieks in het Engelse alfabet: lol sou malakas! Zweeds: haha men titta det e ju du Italiaans: haha Ho trovato la vostra foto! Portugees: haha Eu encontrei sua foto! Turks: Senin fotorafini buldum turkiyedeki Opmerking: Het bericht is gekozen op basis van de taal ingesteld op het computersysteem. 8. Als een MSN Messenger venster open staat verstuurt het een van de bovenstaande berichten naar alle contacten. Het bericht kan ook de volgende URL link in het bericht meesturen, die een kopie van de worm bevat: [http://]images.rottentomatoes.us/[REMOVED]/search.php?data= 9. Opent een nieuw venster wat de volgende URL vertoont: [http://]images.rottentomatoes.us/[REMOVED]/search.php?data= Opmerking: De URL bevat een kopie van de worm.
  • Verwijderinstructie TIP - Twijfels bij een bepaald bestand? Verwijder het virus met de gratis online scanner van Symantec, klik hier Ook klik hier Of laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden. TIP ? Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant.

W32.Kelvir.HI is een worm die een kopie van de W32.Spybot.Worm achterlaat op de getroffen computer en zichzelf verspreid via MSN Messenger. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Schade
– Download een kopie van de W32.Spybot.Worm.
– Verspreid zichzelf via MSN Messenger.
Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje “verwijder instructies”.

TIP: Ontvang onze gratis viruswaarschuwingen per e-mail.
klik hier om u gratis aan te melden!