geplaatst
Plaats hier alle virussen die actief zijn, ander wordt het veiligheidsforum een zooitje, en is het makkelijker om iets terug te vinden. Tip voor moderators, bij meer info over het virus (grote aanval / etc) plaats dan iig een linkje in dit onderwerp naar het nieuwe onderwerp speciaal over dat virus.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
Naam: W32.Dinkdink.Worm Type: Internet Worm Besturing: Microsoft Windows Datum: 20 augustus 2003 Risico: Laag
Aliassen: nog niet nader bekend
Eigenschappen: W32.Dinkdink.Worm is een internetworm die gebruik maakt van een kwetsbaarheid in Microsoft Windows. De gebruikte kwetsbaarheid en de distributie van de worm is gelijk aan die van de actuele W32.Blaster.worm. Note: Het kan zijn dat bepaalde antivirussoftware deze worm detecteert als een variant van W32.Blaster.worm.
Meer informatie over de kwetsbaarheid van het RPC-protocol vind je hier.
Deze kwetsbaarheid is van toepassing op de volgende Windows-systemen: NT 4.0, 2000, XP en Server 2003. In het RPC protocol zit een fout bij het handelen van opdrachten richting en remote-systeem. In theorie kan een aanvaller volledige toegang krijgen over het systeem.
W32.Dinkdink richt zich enkel op Windows 2000 & XP-systemen. Nadat het connectie heeft gelegd met een kwetsbaar systeem zal het via dit systeem het daadwerkelijke wormbestand downloaden en installeren. Op het moment van schrijven is de hiervoor gebruikte server offline. De kans op verdere verspreiding lijkt dan ook voorbij.
Preventieve maatregelen: Update uw Windows-platform regelmatig, dit kan eenvoudig via de Windows-update functie. (Raadpleeg de helpfunctie van Windows) of ga naar de website; http://windowsupate.microsoft.com.
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van het bestand "Windat.exe" op uw computer. De wijzigingsdatum van dit bestand is gelijk aan de datum van infectie.
Registry Er worden geen registry-aanpassingen gedaan.
Verwijder instructies: Indien Windows niet meer naar behoren functioneert
1. Start uw systeem dan op via een orginele opstartdiskette.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Naam: W32.Sobig.F@mm Type: Internet Worm Besturing: Microsoft Windows Datum: 19 augustus 2003 Risico: Middel Bron: (c) 2003, VirusAlert Aliassen: W32.Sobig.F@mm WORM_SOBIG.F Win32.HLLM.Reteras Risicoschaal: LASTIG
Eigenschappen
Sobig.F is een mass-mailer internetworm die zich verspreidt via e-mail en binnen gedeelde mappen en netwerkbronnen. Het is een nieuwe variant van W32.Sobig@mm. Na infectie, handmatig door het bijlagebestand te openen, verstuurt het virus zich via Microsoft Outlook door richting; -alle contactpersonen uit het Microsoft Windows adressenboek (.WAB) -alle e-mailadressen die het vindt in lokaal opgeslagen .txt, .eml, .html, .html en .dbx-bestanden. (E-mailadressen vindt het virus door te kijken naar de instructie "mailto:")
Voor de verzending maakt het gebruik van een eigen SMTP-engine. Sobig.F kent geen schadelijke bijwerkingen, en is relatief eenvoudig te verwijderen, zie hieronder.
Eigenschappen van het e-mailbericht:
-Onderwerp: [wisselend, één van onderstaande] OF/OF: Re: Thank you! Re: Details Re: Re: My details Re: Approved Re: Your application Re: Wicked screensaver Re: That movie
-Tekst van het bericht: See the attached file for details Please see the attached file for details
-Naam bijlagebestand: [wisselend, één van onderstaande] your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif
Preventieve maatregelen
Herkenning van besmetting:
Bestanden
1.Aanwezigheid van de bestanden "WINSTT32.DAT" & "WINPPR32.EXE" in de standaard Windows-directory. (C:\Windows)
Registry 1. Een verwijzing in de registry wordt aangebracht naar het bestand "Winmgm32.exe".
De volgende twee registry-sleutels worden aangemaakt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "TrayX" = C:\[locatie bestand]\WINPPR32.EXE /sinc
Overige Verspreiding van het virusbestand, zie hierboven, richting gedeelde netwerkverbindingen. Een verwijzing naar dit bestand wordt aangebracht in de startup-directory c.q. het Windows-start menu van betreffende netwerk-pc.
Verwijder instructies
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier
en/of:
1b. Verwijder het virus met de gratis verwijderingstool van Sophos, klik hier * Toelichting op het gebruik van deze tool a. Kies [klik hier] en sla het bestand (sobigsfx.exe) op op uw computer. b. Open vervolgens dit bestand door er op te dubbelklikken. c. Een directory wordt aangemaakt, standaard is dit C:\SOPHTEMP d. Ga met de verkenner naar deze directory/map. e. Open het bestand "resolve.com" door er op te dubbelklikken. f. Het programma wordt gestart, Sobig.F infectie wordt volledig verwijderd.
1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
Naam: W32.Squirm@mm Type: Internet Worm Besturing: Microsoft Windows Datum: 20 augustus 2003 Risico: Laag Bron: (c) 2003, VirusAlert Aliassen: Risicoschaal: GEVAARLIJK
Eigenschappen
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.
Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand. Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven. Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.
Eigenschappen van het e-mailbericht:
* Onderwerp: Microsoft Security Bulletin
* Naam bijlagebestand: patch.zip of patch_329390.exe
* tekst van het bericht: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)
Summary Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP Impact of vulnerability: Run code of an attacker's choice
Maximum Severity Rating: Critical
Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.
Eigenschappen van Peer-2-Peer distributie De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software; KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.
Hiervoor gebruikt het een of meerdere van volgende bestanden: Connection Booster.Exe Cracker Game.Exe Cracks Collections.Exe Credit Card.Exe Hacker.Scr Hotmail Hack.Exe ICQ Hack.Exe Matrix Reloaded.Scr Norton Keygen-All Vers.Exe Serials Collections.Exe Simpsons.Exe XXX Virtual Sex.Scr
Preventieve maatregelen
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows) Cpumgr.dll Cpumgr.exe Pdmn.smt Photo.zip
Registry
2a. Creatie van de sleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run met de waarde: "CPU Manager" = "[locatie bestand]\cpumgr.exe"
2b. Creatie van de sleutel: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows met de waarde: "Type"="High"
Verwijder instructies
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
Naam: W32.Dumaru@mm Type: Internet Worm Besturing: Microsoft Windows Datum: 19 augustus 2003 Risico: Laag Bron: (c) 2003, VirusAlert Aliassen: W32.HLLW.Dumaru@mm Risicoschaal: LASTIG
Eigenschappen
Dumaru is een mass-mailer internetworm die zich onder eenvoudig te herkennen eigenschappen verspreidt via e-mail. Na infectie verstuurt het zich door naar e-mailadressen lokaal opgeslagen in bestanden met de extensie; .abd, .dbx, .htm, .html, .tbb & .wab. Voor deze verzending maakt het gebruik van een eigen SMTP-engine.
De grootste schade-component van Dumaru is het installeren van een backdoor op uw systeem. Deze via IRC gecontroleerde backdoor biedt de virusschrijver/aanvaller de mogelijkheid om uw systeem te controleren.
De worm wordt geactiveerd door het bijlagebestand handmatig te openen.
Eigenschappen van het e-mailbericht:
* Onderwerp: Use this patch immediately !
* Naam bijlagebestand: patch.exe
* tekst van het bericht: Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected
Preventieve maatregelen
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows) dllreg.exe windrv.exe (backdoor bestand) winload.log
1b. Aanwezigheid van onderstaande bestanden in de standaard Windows-system directory. (C:\Windows\System) load32.exe vxdmgr32.exe
Registry
2a. Creatie van de sleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run met de waarde: "load32" = "[locatie bestand]\load32.exe"
Verwijder instructies
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Het zijn er weer een hoop, mss moet ik toch maar is een virusscanner installeren dan.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
Naam: W32.Gaobot.AA.worm Type: Internet Worm Besturing: Microsoft Windows Datum: 21 augustus 2003 Risico: Laag Bron: (c) 2003, VirusAlert Aliassen: W32.HLLW.Gaobot.AA WORM_AGOBOT.P W32/Gaobot.worm.y Risicoschaal: GEVAARLIJK
Eigenschappen
Gaobot.AA is een internetworm die gebruik maakt van een tweetal kwetsbaarheden in Microsoft Windows. Meer informatie hierover:
*RPC Locator.
*Dcom RPC.
Gaobot.AA maakt daarmee gebruik van dezelfde kwetsbaarheid als de bekende W32.Blaster.worm.
De distributie DCOM RPC - kwetsbaarheid: Bij de verspreiding wordt aan de hand van een willekeurige IP-reeks poort 135 gescant. Indien een systeem toegankelijk is wordt via poort 4444 een remote shell opgezet.
en/of :
RPC Locator - kwetsbaarheid: Bij de verspreiding wordt aan de hand van een willekeurige IP-reeks poort 445 gescant. Indien een systeem toegankelijk is wordt via poort 4444 een remote shell opgezet.
Vervolgens wordt vanaf een ander geinfecteerd systeem het wormbestand gedownload, via poort 22226.
* Gedeelde netwerkbronnen De worm tracht zich verder te verspreiden via gedeelde netwerkbronnen. Het gebruikt daarvoor combinaties van onderstaande lijst van gebruikersnamen en wachtwoorden:
Wachtwoord: Administrator admin administrator Administrateur Default mgmt Standard User Administrador Owner Test Guest Gast Inviter a aaa abc x xyz Dell home pc test temp win asdf qwer login
Wachtwoord: admin Admin password Password 1 12 123 1234 12345 123456 1234567 12345678 123456789 654321 54321 111 000000 00000000 11111111 88888888 pass passwd databse abcd oracle sybase 123qwe server computer Internet super 123asd ihavenopass godblessyou enable xp 2002 2003 2600 0 110 111111 121212 123123 1234qwer 123abc 007 alpha patrick pat administrator root sex god foobar a aaa abc test temp win pc asdf secret qwer yxcv zxcv home xxx owner login pwd pass love mypc mypass pw
Payload/Schade Gaobot.AA installeert een trojan op het getroffen systeem, via een IRC kanaal kan de virusschrijver/aanvaller tal van acties uitvoeren op het systeem, denk aan: * Doorzenden van wormbestand via IRC * Openen, verwijderen en plaatsen van bestanden. * Herstarten van systeem. * Verwijderen van applicaties.
Preventieve maatregelen
Update uw Windows-platform regelmatig, dit kan eenvoudig via de Windows-update functie. (Raadpleeg de helpfunctie van Windows) of ga naar de website; http://windowsupate.microsoft.com.
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van de bestanden "Svchosl.exe" & "Winhl32.exe" in de standaard Windows\System directory.
Registry
De volgende waarde wordt toegevoegd: "Config Loader"="svchosl.exe"
aan de volgende sleutels: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
Verwijder instructies
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier
Indien Windows niet meer naar behoren functioneert
1f. Start uw systeem dan op via een orginele opstartdiskette.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
Veiligheidsexperts hebben vrijdag een tweede aanval van het internetvirus Sobig.F kunnen tegenhouden. Het virus, dat in de afgelopen dagen wereldwijd tienduizenden computers besmette, zou nieuwe 'instructies' ophalen bij twintig besmette computerservers.
De experts waarschuwden de eigenaren van de servers, die op hun beurt de computers isoleerden van het internet of uitzetten, zo meldt de internetsite Cnet. Wat er was gebeurd als het virus de instructies wel had kunnen ophalen, is niet bekend. Speculaties daarover varieerden van het lanceren van een nieuw virus, het verzamelen van gevoelige informatie van besmette computers of het verwijderen van bestanden van die computers.
De internetdeskundigen waren erachter gekomen dat alle computers die zijn besmet, vrijdagavond contact zouden maken met de twintig servers. ,,Tenzij een van de servers weer online komt, lijkt het erop dat we de dans zijn ontsprongen'', aldus een van hen. Het virus is geprogrammeerd om op 10 september te stoppen met het verspreiden van zichzelf.
Sobig.F teistert sinds maandag computers in de hele wereld. Het virus verspreidt zich via e-mails en vermenigvuldigt zich razendsnel. De zogenoemde worm blijft zich verspreiden, maar doet dat momenteel wel minder snel dan de eerste dagen.
Internetaanbieders hebben de handen vol aan het virus. XS4ALL meldde vrijdag dat inmiddels 305.000 geïnfecteerde mailtjes zijn onderschept. Het bedrijf verwerkt momenteel twee keer zoveel digitale post als normaal. Een van de grootste internetproviders ter wereld, AOL, stelt dat ze tientallen miljoenen besmette e-mails heeft onderschept.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
Naam: W32.Blaxe-A.worm Type: vbScript Besturing: Microsoft Windows Datum: 10 september 2003 Risico: Laag Bron: (c) 2003, VirusAlert Aliassen: W32/Blaxe-A Win32/Lablan.A Risicoschaal: LASTIG
Eigenschappen
Blaxe-A is een internetworm die zich verspreidt via P2P-netwerken als Kazaa en IRC. Infectie vindt plaats door een van ondergenoemde bestanden binnen te halen en te openen. Vervolgens tracht het zich vanaf het getroffen systeem weer verder te verspreiden door de lijst met bestanden standaard te delen in de p2p-software op uw systeem.
Mogelijke bestandsnamen binnen Peer 2 Peer zending:
A+ Certification Ultimate Study Guide.exe ACDSee 4.1 cracked.exe Adobe 6 crack.exe Adobe 6 full (iso).exe Adobe 6.0 crack.exe Adobe 6.0 full.exe Adobe 6.0.exe Adobe crack.exe Adobe Photoshop 6 Ultimate Study Guide.exe Adobe Photoshop 6.0.exe Adobe Photoshop.exe Adult movie.exe adult(hardcore sex movie xxx)movie.exe AdvZip Recovery.exe AIM hacker.exe AIM Pass stealer.exe aim.exe aimcracker.exe aimhacker.exe All Cliff notes (cliff's).exe AMI BIOS Cracker.exe anarchistcookbook.exe anastasia anal.exe anastasia naked.exe anastasia nude.exe Anonymous email.exe ANSI C Ultimate Study Guide.exe antistudy.exe AOL Hacker.exe aol.exe Autocad 2002 Crack.exe BabylonX Backdoor.exe BabylonX password cracker.exe Bandwidth Booster 4.2 for Cable.exe BlackICE Defender.exe Borland C++ Builder 8.0 iso.exe Britney Spears anal movie.exe Britney Spears Blowjob movie.exe Britney Spears hardcore xx movie.exe Britney Spears in bath (movie).exe Britney Spears naked.exe Britney Spears Nipple slip.exe Britney Spears nude wallpaper.exe BRUTAL FORCED PRETEEN ANAL SEX.exe buttman.exe C++ Ultimate Study Guide.exe Cable Modem Anonymizer.exe Cable Uncapper.exe catherine zeta jones anal.exe catherine zeta jones naked.exe catherine zeta jones nude.exe Christina Aguilera adult movie.exe Christina Aguilera having sex(mov).exe Christina Aguilera movie.exe Christina Aguilera nude wallpaper (xxx lesbian).exe Christina Aguilera sucks cock.exe CloneCD Crack (all versions).exe CloneCD Keygen.exe CloneCD.exe College Biology Ultimate Study Guide.exe College Chemistry Ultimate Study Guide.exe College Computer Engineering Ultimate Study Guide.exe College Computer Science Ultimate Study Guide.exe College English Ultimate Study Guide.exe College Ethics Ultimate Study Guide.exe College History Ultimate Study Guide.exe College Philosophy Ultimate Study Guide.exe Command and Conquer cnc c&c Generals iso.exe Command and Conquer cnc c&c Renegade iso.exe Conceal PC Firewall.exe Copy (11) of ZoneAlarm Firewall Pro.exe Copy of ZoneAlarm Firewall Pro.exe Counter Strike CD Keygen.exe counter-strike.exe Crack XBOX live.exe Credit Card number generator VERIFIER (cc cc#).exe Dark Planet Battle For Natrolis cracked.exe Delphi 5 Keygen.exe Delphi 6 Keygen.exe Delphi Ultimate Study Guide.exe delphi.exe Digimon.exe DivX Codec 4.0 (codec only).exe DivX Codec 5.0 (codec only).exe DivX Codec 6.0 beta (codec only).exe divx fix.exe divx pro.exe divx repair.exe DoS Attacker.exe Dreamcast Emulator.exe driver.exe DSL Anonymizer.exe DSL Uncapper.exe Easy CD Creator crack (all versions) (core).exe edonkey serverlist.exe Emailbomber.exe End Of Twilight iso.exe ESPN NFL Primetime 2002 iso.exe ftp cracker.exe ftp hacker.exe fuck.exe Gamecube Emulator.exe Ghost Recon - Desert Siege.exe Girls gone wild collection - sex porn nudity hardcore (self-extractor).exe GTA 2 crack noCD.exe GTA Vice City crack noCD.exe GTA Vice City crack.exe gta3.exe hack aim.exe Hack hotmail.exe hacker utils 2002.exe hacking tools 2002.exe Half life Cd keygen.exe happybirthday.exe Hooligans iso.exe host faker.exe host spoofer.exe HotGirls.exe hotmail account sniffer.exe hotmail hack.exe hotmail hacker.exe hotmailcracker.exe hotmailhacker.exe HOWTO Crack XBOX live.txt.exe ICQ AIM Password stealer.exe ICQ hack.exe ICQ Hackingtools.exe icqcracker.exe icqhacker.exe ident faker.exe ident spoofer.exe IIS shellbind exploit.exe Incoming Forces iso.exe invisible IP.exe ip faker.exe ip spoofer.exe IRC hacker.exe Kate Winslet adult movie.exe Kazaa Advertisement Ad remover.exe kazaa.exe keygen all.exe Keylogger v1.0.exe kmd151 en.exe learn how to hack.exe linux root.exe Linux rootaccess.exe linux.exe Macromedia Flash 5 Ultimate Study Guide.exe Macromedia Flash 5.exe Max Payne full iso.exe Max Payne Multiplayer Addon.exe MCSE Ultimate Study Guide.exe Microsoft Office XP Upgrade (from older versions).exe Microsoft Visual C++ 7.0 iso.exe Might and Magic 1 crack.exe Might and Magic 2 crack.exe Might and Magic 3 crack.exe Might and Magic 4 crack.exe Might and Magic 5 crack.exe Might and Magic 6 crack.exe Might and Magic 7 crack.exe Might and Magic 8 crack.exe Might and Magic 9 crack.exe Mirc 6.4.exe mIRC backdoor hack.exe Monsterville cracked.exe MSN banner remover.exe MSN hacker.exe msn IP finder.exe msncracker.exe msnhacker.exe Nero 5.5 Crack.exe Nero Burning Rom 5 cracked.exe Nero Burning Rom 5.5 Crack.exe Nikki Cox nude.exe Nikki cox Playboy session.exe Nikki Cox sex movie.exe Norton AntiVirus 2002.exe Norton Internet Security 2002.exe Norton Systemworks 2002.exe Norton Utilities 2002.exe Notron Utilities 2002.exe Office key Gen.exe Office XP Corporate Ed. iso.exe Office XP crack.exe Office Xp keygen.exe OfficeXP Keygen.exe Oni 2nd second edition.exe Pamela Anderson adult movie.exe pamela anderson anal.exe Pamela Anderson and Tommy Lee hardcore holiday movie.exe Pamela Anderson deepthroat.exe Pamela Anderson gets fucked.exe pamela anderson naked.exe pamela anderson nude.exe pamela anderson.exe Perl Ultimate Study Guide.exe PHP4 Ultimate Study Guide.exe Playboy nude wallpaper.exe Playstation 2 PS2 Emulator.exe Pokemon.exe porn account cracker.exe porn account hacker.exe PS1 BootCD.exe PS2 BootCD.exe PS2 emulator bleem.exe Quake 3 cracked (works on all servers).exe Quake 4 leaked beta (cracked).exe Quicken Pro 2002 iso.exe Ray Crisis iso.exe Return to the Castle Wolfenstein iso.exe sandra bullock naked.exe sandra bullock nude.exe sarah michelle gellar naked.exe sarah michelle gellar nude.exe serials2003.exe shakira a-sf--ked.exe shakira anal.exe shakira naked.exe shakira nude.exe shakira paparazzi collection.exe Soldier of Fortune 2 CD1 ISO.exe Soldier of Fortune 2 CD2 ISO.exe Sound Forge XP Studio + Serial.exe Space Empires IV 4 Gold iso.exe Spiderman SVCD CD1.exe Spiderman SVCD CD2.exe Spiderman SVCD CD3.exe Sub7 masterpwd.exe subseven.exe tripod cracker.exe tripod hacker.exe VB6.exe VirtuaSex.exe visio.exe wc3 keygen.exe win2k pass decryptor.exe Win2k reboot exploit.exe win2k serial.exe Winamp.exe Windows 98 crack.exe Windows 98 keygen.exe Windows Keygen allver.exe Windows ME crack.exe Windows ME keygen.exe Windows NT crack.exe Windows NT keygen.exe Windows XP crack.exe Windows XP keygen.exe winxp crack.exe winxp cracker.exe winxp hacker.exe WinXP Keygen.exe winxphack.exe Winzip Pass Cracker.exe Word Pass Cracker.exe worldbook.exe xbox emulator beta.exe XP Box emulator.exe XP DVD Plugin.exe XP keygen.exe XP ScreenSaver.exe XP.exe yahoo cracker.exe yahoo hacker.exe Yahoo mail cracker.exe
Preventieve maatregelen
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows) BearShare.exe WinBat.exe
Registry
2a. Creatie van de sleutel: HKLM\Software\CLASSES\batfile\shell\open\command met de waarde: "[locatie bestand "winbat.exe]"
Verwijder instructies
1. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry? Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af. Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt. Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan. Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter. -Type daarna "regedit"
Note voor XP-gebruikers Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register. Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel: - Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
De fauna op internet floreert: een nieuwe worm verspreidt zich automatisch over lekke Windowssystemen. Ook verspreidt een virus zich via een valse Microsoft patch-melding.
De BBC bericht dat een variatie op het MSBlaster virus zich over het internet aan het verspreiden is, gebruikmakend van dezelfde gaten die MSBlaster benutte.
De bakermat van het onheil zou China zijn, maar dat is niet met zekerheid vast te stellen.
In een eerder bericht bij de uitbraak van Blaster is gemeld hoe internetters zich ertegen kunnen beschermen.
Virus in e-mailbijlage
Vanmorgen kwam Waarschuwingsdienst.nl met een waarschuwing over een virus dat zich verspreidt via een valse melding van een patch (software om een lek te dichten), die afkomstig zou zijn van Microsoft.
Het virus draagt de namen Gibe.E of Swen. De ontvanger krijgt het verzoek om op de bijlage te klikken teneinde een lek in Windows te dichten. Wie dat doet, is besmet. De redactie ontving al enkele van deze virussen. Het gaat weer hard.
Degenen met een geupdate virusscanner hebben er geen last van. Centrale virusscanners van providers horen het virus ook tegen te houden.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Nieuw p2p-virus doet zich voor als update Microsoft
Het W32.Swen-virus komt binnen als een waarschuwing van Microsoft om de software te updaten. De gebruiker kan een venster te zien krijgen met een optie om de software te updaten. Of hij nu 'ja' of 'nee' klikt, maakt niet uit, het virus wordt toch geïnstalleerd.
Swen is één van de weinige wormen die zich verspreidt als een mailtje dat is opgemaakt in html. Het mailtje is gesignaleerd met diverse verschillende onderwerpen zoals 'MS Technical Assistance', 'cumulative patch' en 'three newly discovered vulnerabilities'.
Verspreiding via e-mail gebeurt via zowel Outlook als via een eigen smtp-engine (Simple Mailer Transfer Protocol). Als de worm is geïnstalleerd, plaatst het zichzelf in het Windows register zodat het geactiveerd wordt zodra Windows opnieuw opstart.
Het virus schakelt de anti-virussoftware uit en zoekt naar irc-clients en p2p-software. Als het een programma zoals Kazaa vindt, opent het virus het programma en plaatst het enkele kopieën van zichzelf in de 'gedeelde map'. Op deze manier verspreidt het virus zich ook via p2p-netwerken.
Diverse anti-virussoftwaremakers hebben ontdekt dat Swen opvallend veel lijkt op het W32.Gibe-virus dat in februari van dit jaar rondging. Ook dit virus verspreidde zich via e-mail, irc-kanalen en p2p-software en deed zich voor als een softwareupdate van Microsoft.
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002
| IP: Gelogd |
geplaatst
Heel toevallig kreeg ik vandaag ook dit virus binnen, en had het wel door. Maar ik moet zeggen dit zag er wel degelijk heel officieel uit. Ik begrijp heel goed waarom mensen erin trappen.
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |