© Virusalert schaal

  • Innovatie: 7
  • Besturing: 15
  • Logistiek: 22
  • Schade: 17
  • Schaal: 15
  • Aanduiding: lastig

W32.Kidala.B@mm

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2006, VirusAlert
  • Preventie Na besmetting voert de worm de volgende acties uit: 1. Plaats zichzelf in de volgende bestand: %System%\DS.EXE Opmerking: %System% is een variabele die verwijst naar de systeemmap waar Windows ïnstalleerd staat. Ontbreekt deze, dan is dit de map C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP). 2. Voegt de volgende waarde toe Aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Zodat het elke keer draait zodra Windows weer opstart. 3. Haalt email adressen uit het adresboek en bestanden met de volgende extenties: .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab 4. Maakt email adressen aan met een van de volgende namen: Afzender: Met één van de volgende namen: alice andrew brenda brent brian claudia david debby george helen james jerry jimmy julie kevin linda maria michael peter robert sandra smith steve Met één van de volgende domeinen: ayna.com hotmail.com maktoob.com microsoft.com msn.com usa.com usa.net yahoo.com 5. De virus stuurt zichzelf niet naar een email adres die begint met een van de volgende kenmerken: abuse accoun acketst admin anyone arin. be_loyal: berkeley borlan certific contact example feste gold-certs google hotmail ibm.com icrosof icrosoft inpris isc.o isi.e kernel linux listserv mit.e mozilla mydomai nobody nodomai noone nothing ntivi panda postmaster privacy rating rfc-ed ripe. ruslis samples secur sendmail service somebody someone sopho submit support tanford.e the.bat usenet utgers.ed webmaster 6. Stuurt zich zelf naar een email adres die de worm vindt met een van de volgende kenmerken: Onderwerp: Met één van de volgende onderwerpen: Error hello Mail Delivery System Mail Transaction Failed Server Report Status Bericht: Met één van de volgende teksten: Mail transaction failed. Partial message is available. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Bijlage: Met één van de volgende Bijlage: data doc document file message readme text Met één van de volgende extensies: .bat .cmd .exe .pif .scr 7. Opent een poort op de besmette computer en maakt verbinding met het IRC kanaal #MicroSystem# om te wachten of de aanvaller nog commando's geeft. Het kan één van de volgende dingen zijn: Download and execute files Remove, end, or update a copy of itself Perform denial of service attacks 8. De worm verspreid zich via IRC aan iedereen die op het zelfde kanaal zit. De worm stuurd dan het volgende berichtje: [NICKNAME] just look at this brother http://[SENDER'S IP ADDRESS]:2001/Hot.pif 9. Zodra er een mesenger open staat versuurt de worm het volgende bericht: hehe, watch this http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME] lol, don't forget to watch this video http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]| LOL, this shit is funny http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME] look at this video http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME] your going to like this :D http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME] Met een van de volgende namen: crazy5.scr crazyjump.scr exposed.scr funny2.scr funny3.scr haha.scr lucky.scr mjackson.scr picture1.scr 10. Verspreid zich via een netwerk en maakt gebruik van de volgende gebruikersnamen en wachtwoorden: 12345 123456 1234567 12345678 123456789 1234567890 12345678910 access accounting accounts Admin Administrador administrat administrateur Administrator Admins backup bitch blank brian changeme chris cisco compaq computer control Database databasepass databasepassword db1234 dbpass dbpassword Default domain domainpass domainpassword exchange george guest hello homeuser internet intranet katie linux login loginpass NetWork nokia oeminstall oemuser office oracle orainstall outlook Owner ownerstaff pass1234 passwd password password1 peter qwerty server siemens sqlpassoainstall Staff Student susan system Teacher technical win2000 win2k win98 windows winnt winpass winxp wwwadmin 11. Zoekt naar de volgende mappen: C:\Program Files\eDonkey2000\Incoming C:\Program Files\Files\Kazaa Lite\My Shared Folder C:\program files\kazaa\my shared folder C:\Program Files\LimeWire\Shared C:\Program Files\Morpheus\My Shared Folder 12. Plaats de volgende bestanden in een van de mappen: Warez P2P: Britney_Spears_sucks_someones_dick.scr Madonna_the_most_sexiest_girl_in_the_world.com Mariah_Carey_showering_in_bathroom.com nice_big_asshole_fuck_Jennifer_Lopez.scr Limewire: Alcohol_120%_patch DarkAngel_Lady_get_fucked_so_hardly LimeWire_speed++ Outlook_hotmail+_fix eDonkey: Angilina_Jolie_Sucks_a_Dick BritneySpears_SoSexy DAP7.4.x.x_crack DownloadsLocation JenniferLopez_Film_Sexy_Enough NortonAV2006_Crack iMesh: KAV2006_Crack MSN7.0Loader MSN7.0UniversalPatch YahooMessenger_Loader ZoneAlarmPro6.xx_Crack Morpheus: lcc-wiz_update notepad++ Opera8 RealPlayer10.xx_crack TaskCatcher KaZaa: activation_crack dcom_patch icq2006-final nuke2006 office_crack rootkitXP strip-girl-3.0 winamp6 Met één van de volgende extensies: .bat .exe .pif .scr 13. Beëindigt de volgende processen: _AVPCC.EXE _AVPM.EXE _FINDVIRU.EXE ACKWIN32.EXE ALOGSERV.EXE AMON.EXE ANTI-TROJAN.EXE APVXDWIN.EXE ATGUARD.EXE AVE32.EXE AVKSERV.EXE AVNT.EXE AVPCC.EXE AVPM.EXE AVWIN95.EXE BLACKICE.EXE CLAW95CF.EXE CMGRDIAN.EXE ECENGINE.EXE ESAFE.EXE FINDVIRU.EXE FPROT.EXE F-PROT95.EXE FP-WIN.EXE GUARDDOG.EXE IAMAPP.EXE IOMON98.EXE KAVPF.EXE LOOKOUT.EXE NAVAPSVC.EXE NAVAPW32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NOD32.EXE NSPLUGIN.EXE OGRC.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE OUTPOSTPROINSTALL.EXE RAV7.EXE RULAUNCH.EXE SCAN32.EXE SPIDER.EXE VET95.EXE VETTRAY.EXE VSMAIN.EXE ZAPRO.EXE ZAPSETUP3001.EXE ZATUTOR.EXE ZONALARM.EXE ZONALM2601.EXE ZONEALARM.EXE
  • Verwijderinstructie Verwijder het virus met de gratis online scanner van Symantec, klik hier Handmatig een virus verwijderen voor Windows 9x, 2000, NT en XP Onderstaande algemene beschrijving geldt voor alle Windows systemen. Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten. U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie! Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1. -. Raadpleeg Windows help voor meer informatie over [systeemherstel] -. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig. Aanpassen van de registry? Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de virushelpdesk.nl u online van dienst zijn, kijk hiervoor op VirusHelpdesk.nl onder stap 2 Handmatig de registry aanpassen 3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk. 3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit" Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows 3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren. 3.D. Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting". Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat. Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen". 3.E. Sluit vervolgens dit venster. 3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op. 3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner. 3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure. Assistentie nodig? Maak gebruik van de online helpesk de virushelpdesk.nl VirusHelpdesk.nl onder stap 2

W32.Kidala.b is een mass mailing internetworm die een poort openzet en de beveiliging van de computer verlaagt. Hij verspreid zich via email, en wordt geactiveerd door het bijlage bestand handmatig te openen.

Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
“verwijder instructie