Eigenschappen:
Nofear.b is een mass-mailer internetworm die zich verspreidt
via e-mail en P2P-netwerken als Kazaa. Na infectie, handmatig
door het bijlage- of gedeelde bestand te openen, installeert
het zich op het systeem. Belangrijkste schade-component is het
installeren van een trojan-component op uw systeem waarmee de
virusschrijver/cracker controle krijgt over het systeem (via
poort 555) en het de-activeren van geinstalleerde security-software.
Het voegt een regel toe aan de registry en installeert een
aantal bestanden. Indien Peer2Peer software, als bijv. Kazaa,
is geinstalleerd, zal het zich beschikbaar stellen in een
gedeelde directory van dit programma.
Eigenschappen van het e-mailbericht:
* Naam bijlagebestand:
Ze maken gebruik van een dubbele extentie
bullshxxscr
checkfriends
enjoylove
freescreensaver
friends
friends
friends4u
friendscircle
friendscr
friendsearch
friendsgreetings
friendship
friendship4u
friendshipbird
friendshipforu
friendsworld
fuxxer
greetings
love
love4u
lovefinder
lovegreetings
lovers
lovers
loverscreensaver
loversgang
lovescr
loveshore
passion
passionup
rishtha
screensaver
screensaver4u
screensaver4u
screensaverforu
shakeit
shakescr
shakingfriendship
shakinglove
shareit
sharelove
truefriends
truelovers
urfriend
werfriends
* Tekst van het bericht:
Check the attachment!
Enjoy the attachement!
Hi Check the Attachement ..
More details attached!
See the attachement!
* Onderwerp:
$150 FREE Bonus!!
25 merchants and rising!
Announcement!
Attached one Gift for u..
Bad news!!
CALL FOR INFORMATION!
Click on this!
Correction of errors!
Cows
Daily Email Reminder!
Empty account!
Fantastic!
Free Shipping!
Get 8 FREE issues - no risk!!
Get a FREE gift!
Greets!!
Hi!
History screen!
I need help about script!!!
Interesting...
Introduction
Its Easy!
Just a reminder!
Lost & Found!
Market Update Report!
Membership Confirmation
My eBay ads!
New Contests!
New Reading
New bonus in your cash account!
News
Payment notices!
Please Help...
Report
SCAM alert!!!
Sponsors needed!
Stats
Today Only!!
Tools For Your Online Business!
Various!
Warning!
Wow!
WOW CHECK THIS!
Your Gift!
Your News Alert!!
Verspreiding via P2P-netwerken
Voor verspreiding via P2P-netwerken gebruikt het een van onderstaande
bestandsnamen, welke standaard worden gedeeld:
AIM Account Stealer Key Generator.exe
Age Of Empires 2 Crack.exe
Age Of Empires 2 Full Downloader.exe
AikaQuest3Hentai Key Generator.exe
Austerlitz Napoleons Greatest Victory Key Generator.exe
BORLAND Delphi 7 Key Generator.exe
Black And White Key Generator.exe
CKY3 - Bam Margera World Industries Alien Workshop Crack.exe
CKY3 - Bam Margera World Industries Alien Workshop Full Downloader.exe
CKY3 - Bam Margera World Industries Alien Workshop ISO - Full
Downloader.exe
CKY3 - Bam Margera World Industries Alien Workshop Key Generator.exe
Dweebs 2 Crack.exe
Dweebs 2 ISO - Full Downloader.exe
Dweebs 2 Patch.exe
Elder Scrolls III Morrowind THX Brrbrr Patch.exe
Freedom Force ISO - Full Downloader.exe
GTA 3 ISO - Full Downloader.exe
Grand Prix 4 ISO - Full Downloader.exe
Hacking Tool Collection Full Downloader.exe
Hacking Tool Collection Patch.exe
Half-life ONLINE Full Downloader.exe
Hard Truck 18 Wheels of Steel Crack.exe
Hard Truck 18 Wheels of Steel ISO - Full Downloader.exe
Hitman 2 Silent Assassin Key Generator.exe
Industry Giant 2 Full Downloader.exe
International Cricket Captain 2003 Crack.exe
Internet and Computer Speed Booster Crack.exe
KaZaA Media Desktop v2.5 UNOFFICIAL Key Generator.exe
KaZaA Spyware Remover ISO - Full Downloader.exe
KaZaA Spyware Remover Patch.exe
MSN Password Hacker and Stealer Patch.exe
Macromedia Dreamweaver MX Key Generator.exe
Macromedia ISO - Full Downloader.exe
Mafia ISO - Full Downloader.exe
Microsoft Office XP (English) Crack.exe
Microsoft Office XP (English) Key Generator.exe
MoviezChannelsInstaler Patch.exe
Neverwinter Nights ISO - Full Downloader.exe
Norton AntiVirus 2002 ISO - Full Downloader.exe
Quake 4 BETA Crack.exe
Soldier Of Fortune 2 Full Downloader.exe
Strike Fighter Project 1 Crack.exe
Unreal Tournament 3 Full Downloader.exe
Valhalla Chronicles Full Downloader.exe
Windows XP ISO - Full Downloader.exe
Winzip 8.0 Full Downloader.exe
Xbox.info Patch.exe
Zidane-ScreenInstaler Full Downloader.exe
Zidane-ScreenInstaler Patch.exe
Crack.exe
Preventieve maatregelen:
Herkenning van besmetting:
Bestanden
1a.Aanwezigheid van een of meerdere van onderstaande bestanden
in de standaard Windows directory (C:\Windows):
kernel.dll
[willekeurige naam].exe , grootte 43Kb, let op wijzigingsdatum
welke gelijk is aan de datum van infectie
svchost.exe [idem]
Registry
2a. Een wisselende waarde wordt toegevoegd aan de volgende
sleutel:
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de waarde heeft de strekking:
"[Wisselende naam van sleutel]" = [locatie bestand]\[willekeurige
bestandsnaam].exe"
2b. De waarde:
"[wisselende naam sleutel] "0"
"[wisselende naam sleutel] "email_num"
"[wisselende naam sleutel] "Sent"
wordt toegevoegd aan de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\
Overige
Virus stopt volgende programma's
_AGENTW
ACKWIN32
ADVXDWIN
ALERTSVC
ALOGSERV
AMON9X
ANTI-TROJAN
ANTS
APVXDWIN
ATCON
ATUPDATER
ATWATCH
AUTODOWN
AUTOTRACE
AVCONSOL
AVE32
AVGCC32
AVGCTRL
AVGSERV
AVGW
AVKPOP
AVKSERV
AVKWCTL9
AVNT
AVP
AVP32
AVPCC
AVPDOS32
AVPM
AVPTC32
AVPUPD
AVSCHED32
AVSYNMGR
AVWIN95
AVWINNT
AVWUPD32
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVXW
BLACKD
BLACKICE
CCAPP
CCEVTMGR
CCPXYSVC
CDP
CFGWIZ
CFIADMIN
CFIAUDIT
CFINET
CFINET32
CLAW95
CLAW95C
CLAW95CF
CLEANER
CLEANER3
CMGRDIAN
CONNECTIONMONITOR
CPD
CPDCLNT
CTRL
DEFALERT
DEFSCANGUI
DEFWATCH
DOORS
DVP95
DVP95_0
ECENGINE
EFPEADM
ESAFE
ESPWATCH
ETRUSTCIPE
EVPN
EXPERT
F-AGNT95
F-PROT
F-PROT95
F-STOPW
FAMEH32
FCH32
FIH32
FINDVIRU
FNRB32
FP-WIN
FRW
FSAA
FSAV32
FSGK32
FSM32
FSMA32
FSMB32
GBMENU
GBPOLL
GENERICS
GUARD
GUARDDOG
IAMAPP
IAMSERV
IAMSTATS
ICLOAD95
ICLOADNT
ICMON
ICSUPP95
ICSUPPNT
IFACE
IOMON98
ISRV95
JEDI
KAVDOS32
LDNETMON
LDPROMEN
LDSCAN
LOCKDOWN
LOOKOUT
LUALL
LUCOMSERVE
LUSPT
MCAFEE
MCAGENT
MCMNHDLR
MCSHIELD
MCTOOL
MCUPDATE
MCVSRTE
MCVSSHLD
MGAVRTCL
MGAVRTE
MGHTML
MINILOG
MONITOR
MOOLIVE
MPFAGENT
MPFSERVICE
MPFTRAY
MWATCH
N32SCANW
NAV AUTO-PROTECT
NAVAP
NAVAPSVC
NAVAPW32
NAVENGNAVEX15
NAVLU32
NAVNT
NAVW32
NAVWNT
NDD32
NEOWATCHLOG
NEOWATCHLOG
NETUTILS
NISSERV
NISUM
NMAIN
NORMIST
NOTSTART
NPROTECT
NPSCHECK
NPSSVC
NSCHED32
NTRTSCAN
NTVDM
NTXCONFIG
NUI
NUPGRADE
NVC95
NVSVC32
NWSERVICE
NWTOOL16
P-WIN
PADMIN
PAVCL
PAVPROXY
PAVSCHED
PAVW
PCCIOMON
PCCNTMON
PCCWIN97
PCCWIN98
PCFWALLICON
PCSCAN
PERSFW
PERSWF
POP3TRAP
POPROXY
PORTMONITOR
PROCESSMONITOR
PROGRAMAUDITOR
PVIEW95
RAPAPP
RAV7
RAV7WIN
REALMON
RESCUE
RTVSCN95
RULAUNCH
SAFEWEB
SBSERV
SCAN32
SCAN95
SCANPM
SCRSCAN
SERV95
SMC
SPHINX
SPYXX
SS3EDIT
SWEEP95
SWEEPNET
SWEEPSRV
SWNETSUP
SYMPROXYSVC
SYMTRAY
TAUMON
TBSCAN
TC
TCA
TCM
TDS-3
TDS2-98
TDS2-NT
TFAK
VBCMSERV
VBCONS
VET32
VET95
VETTRAY
VIR-HELP
VPC32
VPTRAY
VSCAN40
VSCHED
VSECOMR
VSHWIN32
VSMAIN
VSMON
VSSTAT
WATCHDOG
WEBSCANX
WEBTRAP
WFINDV32
WGFE95
WIMMUN32
WRADMIN
WRCTRL
ZAPRO
ZONEALARM
Display van volgende vensters als virus actief is:
Verwijder instructies:
1a. Verwijder het virus met één van de gratis
online scanners
1b. Indien Windows niet meer naar behoren functioneert. Start
uw systeem dan op via een orginele opstartdiskette. Ga vervolgens
naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden
en registry-regels voor zover nog aanwezig: verwijder deze
handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen
te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst
alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag
NIET worden overgeslagen!!). Start de pc dan weer op, en door
tijdens het opstarten van de pc de CTRL of F8 knop vast te
houden (afhankelijk van het besturingssysteem) zal er een
menu verschijnen. In dat menu selecteer je dan met behulp
van de pijltjestoetsen de optie veilige modus en dan druk
je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen
kan het gebeuren dat de pc een 'keyboard error' geeft als
je de CTRL of F8 knop indrukt, en in dat geval moet je even
wachten tot de BIOS geladen is en dan de betreffende toets
indrukken. Overigens kan alleen Windows NT niet in de veilige
modus worden opgestart. Bij alle andere versies is dit wel
mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows>
ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd..
en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en
druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op
enter.
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine,
en niet van een individuele user. Daarom even de directorie
wijzigen via de instructie cd.. Je komt dan uit in de directorie
C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste
aanbevolen om een kopie van het register te maken VOOR dat
je dingen gaat veranderen. Het register is het hart van je
pc en als je hier dingen verkeerd in veranderd en/of verwijderd
is het mogelijk dat je pc niet goed of zelfs helemaal niet
meer werkt. Je kunt een kopie maken door bovenin de register
editor op deze computer te klikken en vervolgens op register
en dan op registerbestand exporteren.
3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende
sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
- Verwijder beide genoemde registry-sleutels.
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start
de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem.
Of met ge-update AV-software of met een online scanner.
|
