www.lobika.be  
 
Home Virus nieuws Onlinescanners Hoax nieuws Autocar Truck ---
Online virusscanners
 
»
 Panda
»
 Pitstop
»
 Symantec
»
 F - Secure
»
 McAfee
»
 Freedom
»
 Housecall
»
 Ahnlab
»
 Kaspersky
»
 RAV
»
 Bitdefender
 
»
 Computer Associates
»
 Command Software
 
Online Spyware scanner
 
»
 Pestscan
»
 Spy Zero
»
 Spy Audit
»
 X Cleaner
 
Online Trojan scanner
 
»
 Windows Security
Naam: W32.Mastaz.A@mm
Datum 12 november 2002
Aliassen TROJ_INOR.A
TROJ_INOR.B
Troj/Dloader-BO
downloader-BO
Downloader.BO
Downloader-BO.b
TrojanDownloader.Win32.inor
Downloader.Trojan
Type Trojan/Worm
Risico Laag
Besturing Microsoft Windows
 
Eigenschappen
Mastaz is een trojan internetworm die zogauw het zich heeft geinstalleerd op uw systeem via een externe website een trojan-component binnenbrengt. (AML/counter.c). Ook logt het via een website het IP-nummer en geeft deze (vermoedelijk) door aan de virusschrijver/hacker.

De trojan wordt verder gedistribueerd via besmette systemen, het gebruikt daarvoor een SMTP-relay. De hacker kan via poort 6076 + 5262 het besmette systeem aansturen.

De mass-mailercomponent van het virus maakt gebruik van het zgh. MIME-exploit in Internet Explorer. Hierdoor kan het virusbestand bij niet ge-update systemen bijvoorbeeld in de voorbeeldweergave automatisch worden geopend.

Eigenschappen van het e-mailbericht:
- Onderwerp: mail

- Tekst van het bericht: Hello! Check out [link naar site], the best FREE site!

- Naam bijlagebestand: masteraz.exe

ad [link naar site]
De website waarvandaan dit bestand gedownload moet worden is niet meer actief. Daarmee is de meest lastige component van het virus (de trojan) onschadelijk gemaakt.

Preventieve maatregelen:
1. Blokkeer binnenkomende e-mail met als onderwerp "mail".
2. Blokkeer poort TCP 4668 van uw systeem.
3. Installeer preventief de patches van Microsoft tegen het zgh. MIME-exploit. Deze "fout" in Microsoft Outlook/Explorer kan ervoor zorgen dat het bericht automatisch wordt geopend indien u het bekijkt in de voorbeeldweergave. U kunt deze patch binnenhalen via de website van Microsoft. Daarbij wordt automatisch bepaald welke patches voor uw systeem relevant zijn. Zie Windows update (onderaan van pagina)

Herkenning van besmetting:

Bestanden
Aanwezigheid van het bestand "Msrexe.exe" (30.720 Kb) in de standaard Windows\System directorie (C:\Windows\System)
De website waarvandaan dit bestand gedownload moet worden is niet meer actief. Daarmee is de meest lastige component van het virus (de trojan) onschadelijk gemaakt.

Registry
Indien bovengenoemd bestand aanwezig is op uw systeem maakt het virus de volgende registry-sleutels aan:

a) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Service"="C:\[locatie bestand]\MSREXE.EXE"

b) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Swartax
"ImagePath"="C:\[locatie bestand]\MSREXE.EXE"

Poorten
Indien de hacker toegang maakt met het systeem, via poort 4668, zal het de poorten 6076 + 5262 gebruiken voor communicatie en verdere acties.

Verwijder instructies:
- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.

Bronnen: Virusalert | Symantec | McAfee | Bitdefender
Zoeken op deze site
 


powered by FreeFind
 
Removal Tools
 
 
Virus Overzicht
 
Klik op een letter
 
Virus Nieuwsbrief
 
 
Stinger Tool
 
 
Avast Tool
 
 
Windows Update