Eigenschappen
Yaha.J is een massmailer internetworm die zich verspreid via
e-mail. Het virusbestand wordt gestart door het handmatig te
openen. Na infectie stuurt het zich via e-mail door naar alle
e-mailadressen die het vindt in adressenboeken van Windows,
ICQ, MSN, Yahoo pager en bestanden met de extensie .htm of .html.
Voor de verzending maakt het gebruik van een eigen SMTP-engine.
De belangrijkste schade-component van het virus is het afsluiten
van de lopende processen van verschillende security-software.
Het virusbestand en het e-mailbericht doen zich voorkomen als
een nieuwsbrief afkomstig van een "screensaver-website".
Het virus lijkt een nieuwe variant van het Yaha-virus, vandaar
de versie-aanduiding "J".
Eigenschappen van het e-mailbericht:
-Onderwerp: [wisselend]
-Tekst van het bericht:
OF/OF:
* Reply to this message with the word "REMOVE"
in the subject line.
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>>
OF:
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>> <<<>>> <<<>>>
<<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.truefriends.net to everyone
you
consider a FRIEND, even if it means sending it back to the
person
who sent it to you. If it comes back to you, then you'll know
you
have a circle of friends.
* To remove yourself from this mailing list, point your browser
to:
http://truefriends.net/remove?freescreensaver
* Enter your email address in the field provided and click
"Unsubscribe".
-Naam bijlagebestand: [wisselend]
* Dit bestand bevat altijd een dubbele extensie. De tweede
extensie is altijd .scr.
Voorbeeld: .doc.scr
Preventieve maatregelen:
Herkenning van besmetting:
Vensters
Na infectie toont het het volgend afgebeeld venster.
Bestanden
1. De volgende bestanden worden als "verborgen bestand"
op uw systeem geplaatst. (Raadpleeg Help van de Windows-verkenner
om deze bestanden te kunnen zien). Deze bestanden worden geplaatst
in de standaard Windows-System directory. (C:\Windows\System)
a) Msnmsg32.exe
b) Nav32.exe
c) WinReg.exe
2. Aanwezigheid van een van onderstaande bestanden op uw
systeem:
Bestfriend.scr
MAtRiX.scr
EvilDaemon.scr
Love.scr
Escort.scr
NeverMind.scr
HotShot.scr
Honey.scr
ScreenSaver.scr
LoverScreenSaver.scr
Registry
De volgende waarde wordt opgenomen in de registry:
winReg C:[locatie bestand]\winReg.exe
Deze wordt toegevoegd aan de sleutel(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Overige
Stopt volgende programma's
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
VSECOMR
VETTRAY
TDS2-NT
TDS2-98
SCAN32
PCFWALLICON
NSCHED32
IAMSERV.EXE
FRW.EXE
MCAFEE
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
ESAFE.EXE
AVPM.EXE
AVPCC.EXE
AMON.EXE
ALERTSVC
ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
LOCKDOWNADVANCED
APACHE.EXE
ANTIVIR
Verwijder instructies:
-Verwijder het virus met één van de gratis online
scanners
- Controleer hierna uw systeem op nog aanwezige bestanden
en registry-regels voor zover nog aanwezig: verwijder deze
handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen
te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] ->
[uitvoeren] -> regedit {enter}.
Link:
W32.Yaha@mm
virus |
