© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 20
  • Schade: 20
  • Schaal: 21
  • Aanduiding: lastig

W32.Motsys

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2007, VirusAlert
  • Preventie Zodra de worm is geactiveerd, creëert het virus de volgende bestanden: • %System%\auToRun.inf • %System%\NeTb.dll • %System%\NeTc.dll • %System%\NeTv.dll • %System%\NeTx.dll • %System%\NeTz.dll • %System%\Systom.exe • %System%\sos.exe Daarna creëert de worm de volgende registeringang, zodat de bedreiging opstart tijdens het opstarten van het besturingssysteem: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crsss" = "C:\WINDOWS\system32\Systom.exe" Het virus verandert daarna de volgende registeringang: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0" De worm creëert tevens de volgende registeringangen: • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\"DisableWindowsUpdateAccess" = "1" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0" • HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1" De worm maakt daarna verbinding met de volgende websites: • [http://]www.ip127.cn/lm/xz/[REMOVED] • [http://]www.xinyouyu.cn/xxx/[REMOVED] • [http://]www.ip127.cn/lm/xz/[REMOVED] • [http://]www.ip127.cn/lm/xz/tj.[REMOVED] Daarna verwijdert de worm alle aanwezige .GHO bestanden op de getroffen computer. De worm kopieert daarna zichzelf naar verwijderbare schijven alsof het de volgende bestanden betreft: • %DriveLetter%\sos.exe • %DriveLetter%\Systom.exe Daarna creëert het virus het volgende bestand zodat de code wordt uitgevoerd, wanneer de verwijderbare schijf aan een andere computer wordt toegevoegd: %DriveLetter%\auToRun.inf De worm voegt de volgende De worm kent tevens de hierboven genoemde