© Virusalert schaal

  • Innovatie: 9
  • Besturing: 35
  • Logistiek: 30
  • Schade: 30
  • Schaal: 26
  • Aanduiding: gevaarlijk

W32.Validin

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico middel
  • Bron (c) 2007, VirusAlert
  • Preventie Zodra het virus is geactiveerd, kopieert de worm zichzelf naar de volgende bestanden: • %Windir%\Invalid.exe • %System%\drivers\Invalid.exe De worm laat het volgende bestand achter op de getroffen machine: %System%\Invalid.dll De worm kopieert zichzelf als zijnde het volgende bestand op verwijderbare schijven: [DRIVE LETTER]:\RECYCLER.exe De worm laat het volgende bestand achter dat iedere keer geactiveerd wordt, zodra er een verwijderbare schijf aan de computer is toegevoegd: [DRIVE LETTER]:\Autorun.inf Daarna creëert de worm de volgende registeringangen zodat de bedreiging actief op de achtergrond meedraait als Windows is gestart: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"WinFile" = "%System%\drivers\Invalid.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"DataAccess" = "%Windir%\Invalid.exe" De worm past tevens de volgende registeringangen aan: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "95" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0" De worm download vanaf dat moment potentieel malafide codes van de volgende URL’s: [http://]www.inpopo.com/down17/17.[REMOVED] [http://]www.gameso.net/down1/test[REMOVED] [http://]www.inpopo.com/down2/[REMOVED] [http://]www.inpopo.com/down1/[REMOVED] De worm beëindigd daarna de volgende processen: • VCRMON.EXE • KAV.EXE • CCAPP.EXE • NVSVC32.EXE • SPIDERUI.EXE • UPGRADE.EXE • SPIDERNT.EXE • MONSVCNT.EXE • MONSYSNT.EXE • TRIALREG.EXE • SUPDATE.EXE • AUTORUNS.EXE • ICESWORD.EXE • MCSHIELD.EXE • REGEDIT.EXE • MSCONFIG.EXE Tevens probeert het de onderstaande services stop te zetten: • OfficeScanNT Monitor • Norton • ZoneAlarm • McShield • V3MonSvc • MskService • McTaskManager • Symantec Core LC • kavsvc Daarna doorzoekt de worm alle vaste schijven en alle netwerkenschijven en kan daar bestanden infecteren die de volgende extensies bevatten: • .htm • .html • .jsp • .vbs • .xml • .shtml • .js • .php • .asp • .aspx De worm vermijdt bestanden te infecteren in de volgende mappen: • Windows NT • WINDOWS • Local Settings • Recycled • System Volume Information De worm infecteert de bestanden door de volgende regel toe te voegen aan het bestand: