Eigenschappen:
Cydog is een mass-mailer internetworm die zich verspreid via
e-mail EN via P2P-netwerken als Kazaa & Morpheus e.a.
Het virus wordt geactiveerd door het (bijlage)bestand (handmatig)
te openen. Vervolgens verstuurt het zich door naar alle contactpersonen
in het adressenboek van MS Outlook.
Daarnaast tracht het lopende processen (binnen taakvenster)
van bepaalde security-software uit te schakelen (zie hieronder)
en verwijderd het de volledige directories van Norton AV indien
geinstalleerd.
Het
probeert volgende programma's uit te schakelen:
_Avp32.exe
Anti-trojan.exe
Aupdate.exe
Avp.exe
Avpcc.exe
Avpmon.exe
Blackice.exe
Bootwarn.exe
Ccapp.exe
Ccshtdwn.exe
Cfind.exe
Esafe.exe
Findviru.exe
Kpf.exe
Kpfw32.exe
Luall.exe
Navapw32.exe
Nmain.exe
Nupdate.exe
Qconsole.exe
Regedit.exe
Scan32.exe
Taskmgr.exe
Webscan.exe
Zapro.exe
Eigenschappen van
het e-mailbericht:
- Onderwerp: [wisselend,
één van onderstaande]
OF/OF:
-A kiss from me to you...
-A Virtual joke...the funniest around!
-EA and EIDOS Presents...
-PacketStorm:WINDOWS Xp has several exploits
-Tekst van het bericht: [wisselend,
één van onderstaande]
OF/OF:
-According to the redaction of PacketStorm
Windows Xp has several exploits which could not be removed
because
if the do want to delete it then they should rewrite Kernell!
but this would mean rewriting everything Micrsoft had build
up over the last years'
Bill Gates from microsoft reported that there is no exploit
at all!,it was just a joke from a hacker
attending to scar off windows XP users
However the word goes around that allready several users and
admins have been hacked by an mysterious hacker
nicknamed 'The CyberWolf'
if you want more information about this exploit and the exploit
itself,then open the included e-mail
do not forget to vote for PacktStorm when running the attachment,Enjoy
the rest of our services
This email is provided to you by PacketStorm,please enjoy
our services
-Dear User
Someone has dropped a kiss in you're mailbox!
Check-Out the attached Kiss from the anonymous person,probably
a secret lover or a very good friend
After you have been kissed please visit www.internetkiss.com
and send this kiss to all the person who you adore or just
like
You are Nr.315723625 who has received this Internet-Kiss.
This Internet-Kiss-Letter is started on 13/01/1997 and hopes
to continue until 13/01/2007.
-hi
have you heard about the CyberWolf-Joke?
its soooo funny you 'll laugh yourself a bunch when you see
and hear the joke
haha those little bastards on your screen are soooo funny:D:D
just download and open the attached screensaver (The CyberWolf-Joke.scr
= this is actually the joke) and look at it
funny hu!!!
after you have run the joke click ctrl+shift+p to see who
made it.
I hope you have fun with it
greeetttzzz
***************************************************
This e-mail is presented to you by Joking-Soft,a division
of MicroSoft.
If you have any problems with this e-mail or attachment then
please contact us.
We take full responsability for this e-mail and attachements.
They are virusfree and are property of Joking-Soft
Please do not Sell or Distribute these atachments.
I thank you
-Dear client
Some information about our long-awaited product: CyberWolf
CyberWolf is the newest product of Electronic Arts and Eidos
Interactive!
Its a complete new technology which actualy speeds up you're
processor time needed to play game of EA and EIDOS
Including FIFA 2003,BATTLEFIELD 1942,NHL2003,CM01/02 and all
the other games produced by these companies!
The technology behind these new product is something that
clear's excisting ram when playing this game--->Results:
The speed and graphical abilities are increased by 35%,so
loading a new game wile go 35% faster!So more gameplay,less
waiting and looking at that um screen!
But it will take sometime for EA and EIDOS to alert all peoples
who has EA and EIDOS games,but...
They decided to mail the CyberWolf-Patch to users who have
games from EA and EIDOS and to people who visited the website
within the past 18 months!
also they decided to mail this patch to workers in companies
and to other people who are using the internet regulary
If you want to enjoy this Speed-the-hell-out-ya-head-PATCH
then just install the attachment,restart you're pc and start
playing games or...
wait until you buy a EA or EIDOS game,and enjoy it then!the
choice is yours!
Before i forget:This patch seems to work on other games as
well,it speeds up those games by 15-30% depending on the game!
----------------------------------------------
This email is provided to you by PacketStorm,please enjoy
our services
This product may NOT be soled or copied!It may only be used
by the intended recipient and this only for the purpose for
which it has been sent
If you are not the intended recipient,then please contact
EA or EIDOS at EE-CyberWolf.patch@EA-EIDOS.com and delete
this e-mail and attachement
We believe and warrant that this e-mail and any attachments,
are virus free,we take full responsibility about this attachment
CyberWolf
For more information please contact us at EE-CyberWolf.patch@EA-EIDOS.com
or suft to www.EA.com/project\cyberwolf.htm and ww.eidos.com\cyberwolf.asp
E-mail provided to you by Elena (Elena@EA-EIDOS.com)
- Naam bijlagebestand: [wisselend,
één van onderstaande]
OF/OF:
-CyberWolf-Patch.exe
-My Kiss for you.scr
-The CyberWolf-Joke.scr
-Windows Xp Exploit.exe
* Deze bestanden zijn groot: 34.816 byte
Eigenschappen
deelbaar bestand binnen P2P-netwerken.
Afhankelijk van de op uw systeem geinstalleerde P2P-software
stelt het virus zich beschikbaar binnen de standaard gedeelde
directory van deze programma`s. Omgekeerd geldt het dus dat
u als gebruiker van zo`n netwerk deze bestanden kan downloaden
omdat u denkt dat het een media-bestand is. Wees dus waakzaam
met het downloaden van bestanden een gelijke naamstelling
hebben als onderstaande.
* In zijn algemeenheid
Steeds meer virussen verspreiden zich binnen P2P-netwerken
als Kazaa. Scan daarom altijd gedownloade bestanden met een
up-to-date antiviruspakket.
Lijst
met namen die het gebruikt binnen P2P-netwerken:
Bearshare< Beta 4.3.1>
Chaos Ip 2003-Xp Compitable.exe
Chaos Ip.exe
Crackologic(All Windows Apps).exe
Crackologic(All Windows Apps).exe
Credit Card Generator
Credit Card Numbers Generator(Incl Visa,Mastercard,...).exe
Cyberwolf-Patch.exe
EA Games Keygen For All Versions(Only EA).exe
EA Games Keygen For All Versions(Only EA).exe
Edonkey2000-Ad Remover.exe
Edonkey2000-Speed Me Up Scotty.exe
Free Mem-Games-Speedup.exe
Grokster Ad-Remover.exe
Hotmail Hacker 2003-Xss Exploit.exe
Hotmail Hacker 2003-Xss Exploit.exe
Hotmail Hacker 2003-Xss Exploit.exe
Imesh SDK+Xbit Speed Up.exe
Kazaa SDK + Xbit Speedup For 2.Xx.exe
Lunix-Download.exe
Microsoft Keygenerator-Allmost All Microsoft Stuff.exe
Morpheus-Gold.exe
My Kiss For You.Scr
Netbios Exploiter Xp.exe
Netbios Nuker 2003.exe
Netbios Nuker 2003.exe
Netbios Nuker 2003.exe
Netscan 1.6.exe
Popup Remover 9.25.exe
Security-2003-Update.exe
Stripping MP3 Dancer+Crack.exe
Stripping Mp3 Dancer+Crack.exe
The Cyberwolf-Joke.Scr
Trojan Utility 5.6.exe
Visual Basic 6.0 Msdn Plugin.exe
W32.Cyberwolf@Mm Fix.exe
Webseek-Mp3.exe
Windows Xp Exploit.exe
Windows Media Player Plugin.exe
Winrar 3.Xx Password Cracker.exe
Winrar 3.Xx Password Cracker.exe
Winrar3.Xx Password Cracker.exe
Winzipped Visual C++ Tutorial.exe
Xnuker 2003 2.93b.exe
Xnuker 2003 2.93b.exe
Xss Security Exploit-Hotmail.exe
Preventieve
maatregelen:
Herkenning van besmetting:
Bestanden
1.
Aanwezigheid van een van onderstaande .exe bestanden in de
standaard Windows\System directory (C:\Windows\System), met
aanmaakdatum, de datum van infectie.
Cyberwolf.exe
Kernell32.exe
Ms-Dos.Com
Regedit32.exe
Rundll32.exe
Service.exe
Explorer.exe
System.exe
System32.exe
Systems.exe
Windows.Scr
2.
Door het virus wordt aangemaakt een subdirectorie met de naam
\Windows\Security Haches. Deze sub wordt aangemaakt onder
de standaard gedeelde directory van de P2P-software (Kazaa).
Registry
3. Naar de locatie genoemd onder punt 2 wordt een verwijzing
aangebracht in de registry. Deze verwijzing wordt gemaakt
in de registry:
-HKEY_CURRENT_USER\Software\Kazaa\LocalContent
De waarde luidt:
Dir0 012345: \Windows Security Haches [dit is de directory
genoemd onder punt 2]
DisableSharing 0
4.
In de registry-sleutel:
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wordt de volgende waarde toegevoegd:
CyberWolf CyberWolf.exe
Windows Systems Service [locatie bestand]\Kernell32.exe
Windows Kernell [locatie bestand]\Dllhost.exe
Dllhost [locatie bestand]\msiexec.exe
Windows Installer Service [locatie bestand]\CyberWolf.exe
5.
In de registry-sleutel:
-HKEY_CURRENT_USER\Software\Microsoft\CyberWolf
wordt de volgende waarde toegevoegd:
CyberWolf "You are Biten"
Vensters
6) Na infectie wordt een Windows venster getoond met daarin
de tekst:
Fatal error in Windows Kernell
Please
allow a 10 MINUTES acces for windows to send an error report
to microsoft in hope they solve this error This operation
could take a few moments but it will help microsoft to make
an Windows Update If a dialog is prompted from MS Outlook
then please click the yes button to allow Windows to send
the e-mail!
7)
Verwijdering van .dll, .exe, .ini & .ocx van uw systeem.
8)
Verwijdering van (indien aanwezig) de volledige directories:
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Norton AntiVirus
Verwijder
instructies:
1a. Verwijder het virus met één van de gratis
online scannes
1b.
Indien Windows niet meer naar behoren functioneert. Start
uw systeem dan op via een orginele opstartdiskette.
2.
Controleer hierna uw systeem op nog aanwezige bestanden en
registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen
van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen
te laten uitvoeren door Windows-specialisten.
3.A.
- Start de pc op in de veilige modus, maar sluit eerst alle
programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag
NIET worden overgeslagen!!). Start de pc dan weer op, en door
tijdens het opstarten van de pc de CTRL of F8 knop vast te
houden (afhankelijk van het besturingssysteem) zal er een
menu verschijnen. In dat menu selecteer je dan met behulp
van de pijltjestoetsen de optie veilige modus en dan druk
je op enter.
De
pc zal dan opstarten in de veilige modus. In sommige gevallen
kan het gebeuren dat de pc een 'keyboard error' geeft als
je de CTRL of F8 knop indrukt, en in dat geval moet je even
wachten tot de BIOS geladen is en dan de betreffende toets
indrukken. Overigens kan alleen Windows NT niet in de veilige
modus worden opgestart. Bij alle andere versies is dit wel
mogelijk.
3.B.
Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows>
ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd..
en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en
druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op
enter.
Note
voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine,
en niet van een individuele user. Daarom even de directorie
wijzigen via de instructie cd.. Je komt dan uit in de directorie
C:\Windows
3.C.
De register editor zal nu openen, en het wordt ten strengste
aanbevolen om een kopie van het register te maken VOOR dat
je dingen gaat veranderen. Het register is het hart van je
pc en als je hier dingen verkeerd in veranderd en/of verwijderd
is het mogelijk dat je pc niet goed of zelfs helemaal niet
meer werkt. Je kunt een kopie maken door bovenin de register
editor op deze computer te klikken en vervolgens op register
en dan op registerbestand exporteren.
3.D.
- Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende
sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
-
Verwijder beide genoemde registry-sleutels.
3.E.
Sluit vervolgens dit venster.
3.F.
Sluit de pc af, wacht weer dertig seconden en start de pc
dan op de normale manier op.
3.G.
Voor nogmaals een volledige scan uit op uw systeem. Of met
ge-update AV-software of met een online scanner.
|
