© Virusalert schaal

  • Innovatie: 15
  • Besturing: 15
  • Logistiek: 30
  • Schade: 20
  • Schaal: 20
  • Aanduiding: lastig

W32.Mytob.PE@mm

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico laag
  • Bron (c) 2006, VirusAlert
  • Preventie Wanneer deze worm word uitgevoerd doet het de volgende dingen: 1. Het kopieert zichzelf in het volgende bestand: "ISPSystem" = "%System%\ISPSupport.exe" 2. Het maakt de volgende subsleutel in het register aan: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Zodat het elke keer draait zodra Windows weer opstart. 3. Veranderd de waarde: "EnableFirewall" = "0" Aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile Om de Firewall uit te zetten. 4. Veranderd de waarde: "DisableConfig" = "1" "DisableSR" = "1" Aan de subsleutel van het register: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore Om systeemherstel uit te schakelen. 5. Schakelt de volgende veiligheidverwante programma’s uit: AVPCC.EXE AVKSERV.EXE ECENGINE.EXE FP-WIN.EXE VETTRAY.EXE ACKWIN32.EXE AVNT.EXE ESAFE.EXE FPROT.EXE F-PROT95.EXE IOMON98.EXE AVWIN95.EXE AVE32.EXE ANTI-TROJAN.EXE _AVPCC.EXE APVXDWIN.EXE CLAW95CF.EXE _FINDVIRU.EXE FINDVIRU.EXE NAVNT.EXE VET95.EXE SCAN32.EXE RAV7.EXE NAVAPW32.EXE VSMAIN.EXE GUARDDOG.EXE RULAUNCH.EXE ALOGSERV.EXE OGRC.EXE NAVAPSVC.EXE NSPLUGIN.EXE NOD32.EXE _AVPM.EXE AMON.EXE NAVWNT.EXE NAVW32.EXE SPIDER.EXE AVPM.EXE ATGUARD.EXE KAVPF.EXE BLACKICE.EXE LOOKOUT.EXE CMGRDIAN.EXE IAMAPP.EXE OUTPOST.EXE OUTPOSTINSTALL.EXE ZONEALARM.EXE ZONALM2601.EXE ZATUTOR.EXE ZAPSETUP3001.EXE ZAPRO.EXE OUTPOSTPROINSTALL.EXE ZONALARM.EXE 6. Haalt email adressen uit Windows adresboek en van af de volgende locatie: %UserProfile%\Local Settings\Temporary Internet Files - %UserProfile% is een variabele die verwijst naar de huidige gebruiker folder. Standaard is dit C:\Documents and Settings\[HUIDIGE GEBRUIKER] (Windows NT/2000/XP). De worm haalt email adressen van alle schijven van C t/m Y met de volgende extensies: .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab De worm stuur zich niet door naar email adressen met de volgende namen er in: abuse accoun acketst admin anyone arin. avp bugs ca certific contact example feste fido foo. fsf. gnu gold-certs google help info linux listserv me no nobody noone not nothing ntivi page postmaster privacy rating root samples service site soft somebody someone submit support the.bat unix webmaster you your De worm stuurt zich ook niet naar email adressen met de volgende domeinnamen: .edu .gov .mil arin berkeley borlan bsd example fido foo. fsf. gnu google gov. iana ibm.com icrosof icrosoft ietf inpris isc.o isi.e kernel linux math mit.e mozilla mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet utgers.ed www 7. De worm zoek op de volgende domeinen naar Simple Mail Transfer Protocol (SMTP) servers: gate. mail. mail1. mx. mx1. mxs. ns. relay. smtp. 8. Omdat de worm een eigen SMTP heeft verstuur het zichzelf naar email adressen die het vind op de computer. De email die verstuurd word bevat een van de volgende kenteken: adam alex andrew anna bill bob brenda brent brian britney bush claudia dan dave david debby fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda lolita madmax maria mary matt michael mike peter ray robert sam sandra serg smith stan steve ted tom Met een van de volgende domeinnamen: aol.com hotmail.com msn.com yahoo.com Opmerking: De worm kan ook een van de email adressen gebruiken die hij vind op een pc. Met de volgende onderwerpen: Error hi hello Mail Delivery System Mail Transaction Failed Server Report Status Test Met in het bericht geplaatst: [Willekeurige karakters] Mail transaction failed. Partial message is available. test The message contains Unicode characters and has a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. En de volgende bijlage: document readme doc text file data [Willekeurige naam] Met een van de volgende extensies: .cmd .cvs .scr .exe .bat Opmerking: De worm kan zich zelf een .zip kopie sturen. Het zip bestand heeft .doc, .htm of .txt als eerste extensie naam en .exe, .pif of .scr als de tweede extensie naam. 9. De worm connect zich zelf naar een IRC kanaal op sdmt.no-ip.biz server door de TCP poort 6555 en luistert of de hacker een opdracht geeft tot een van de volgende dingen: Het uitvoeren van bestanden. Bestanden downloaden. IRC comandos uitvoeren. De besmette computter opnieuw oplaten starten. Zich zelf updaten. 10. De worm verspreid zich door de volgende kwetsbaarheden: The Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability. The Microsoft Windows Local Security Authority Service Remote Buffer Overflow. The Microsoft Windows ntdll.dll Buffer Overflow Vulnerability. The UPnP NOTIFY Buffer Overflow vulnerability. The Microsoft SQL Server User Authentication Remote Buffer Overflow Vulnerability. 11. Scant netwerk naar netwerk drives voor .rar bestanden zodra hij er een heeft gevonden hecht hij zich er aan en noemt zichzelf [Willekeurige naam].com.
  • Verwijderinstructie Verwijder het virus met de gratis online scanner van Symantec, klik hier Handmatig een virus verwijderen voor Windows 9x, 2000, NT en XP Onderstaande algemene beschrijving geldt voor alle Windows systemen. Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten. U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie! Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1. -. Raadpleeg Windows help voor meer informatie over [systeemherstel] -. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig. Aanpassen van de registry? Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de virushelpdesk.nl u online van dienst zijn, kijk hiervoor op VirusHelpdesk.nl onder stap 2 Handmatig de registry aanpassen 3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk. 3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit" Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows 3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren. 3.D. Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting". Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat. Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen". 3.E. Sluit vervolgens dit venster. 3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op. 3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner. 3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure. Assistentie nodig? Maak gebruik van de online helpesk de virushelpdesk.nl VirusHelpdesk.nl onder stap 2

W32.Mytob.PE@mm is een worm die zich verspreid via mail. Hij stuurt zichzelf door naar email adressen die de worm vind op besmette computers. De worm verlaagt de beveiligings settings zodat andere virussen er makkelijker in kunnen.

Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
“verwijder instructie