Eigenschappen
Mimail.I is een mass-mailer internetworm die zich verspreidt
via e-mail.
De eigenschappen van verzending via e-mail varieren niet.
Voor de verzending via e-mail maakt het gebruik van een eigen
SMTP-engine. Activering vindt plaats door het bijlagebestand
(handmatig) te openen. Na infectie toont het een venster van
PayPal, wat vraagt om creditcard gegevens, indien u deze invult
worden ze opgeslagen en per e-mail naar de virusschrijver
gezonden.
Eigenschappen van het e-mailtje
-Onderwerp: YOUR PAYPAL.COM ACCOUNT EXPIRES
-Bijlagebestand: paypal.asp.scr of www.paypal.com.scr
-Tekst van het bericht: Dear PayPal member,
PayPal would like to inform you about some important information
regarding your PayPal account. This account, which is associated
with the email address will be expiring within five business
days. We apologize for any inconvenience that this may cause,
but this is occurring because all of our customers are required
to update their account settings with their personal information.
We are taking these actions because we are implementing a
new security policy on our website to insure everyone's absolute
privacy. To avoid any interruption in PayPal services then
you will need to run the application that we have sent with
this email (see attachment) and follow the instructions. Please
do not send your personal information through email, as it
will not be as secure.
IMPORTANT! If you do not update your information with our
secure application within the next five business days then
we will be forced to deactivate your account and you will
not be able to use your PayPal account any longer. It is strongly
recommended that you take a few minutes out of your busy day
and complete this now.
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent
by an automated message system and the reply will not be received.
Thank you for using PayPal.
Preventieve maatregelen:
Herkenning van besmetting
1a. Aanwezigheid van onderstaande bestanden in de Windows
directory. (C:\Windows\)
ee98af.tmp
el388.tmp
svchost32.exe
1b. Aanwezigheid van onderstaande bestanden in de root directory.
(C:\ )
pp.gif
pp.hta
ppinfo.sys
Registry
2. Aanwezigheid van de volgende registry-sleutel, deze wordt
door de worm aangemaakt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"SvcHost32" = C:\[locatie bestand]\svchost32.exe"
Overige,....
na infectie wordt eenmalig een windows-venster weergegeven
met daarin de tekst "PayPal, paypal.com:
Hierin 4 invoervelden voor creditcard gegegevens, waaronder
het creditcard nummer, de datum, de PINCode.
Nadat je op "Next" klikt verschijnt volgend venster
Verwijder instructies:
1a. Verwijder het virus met één van de gratis
online scanners
1b. Indien Windows niet meer naar behoren functioneert. Start
uw systeem dan op via een orginele opstartdiskette.
2. Controleer hierna uw systeem op nog aanwezige bestanden
en registry-regels voor zover nog aanwezig: verwijder deze
handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen
te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst
alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag
NIET worden overgeslagen!!). Start de pc dan weer op, en door
tijdens het opstarten van de pc de CTRL of F8 knop vast te
houden (afhankelijk van het besturingssysteem) zal er een
menu verschijnen. In dat menu selecteer je dan met behulp
van de pijltjestoetsen de optie veilige modus en dan druk
je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen
kan het gebeuren dat de pc een 'keyboard error' geeft als
je de CTRL of F8 knop indrukt, en in dat geval moet je even
wachten tot de BIOS geladen is en dan de betreffende toets
indrukken. Overigens kan alleen Windows NT niet in de veilige
modus worden opgestart. Bij alle andere versies is dit wel
mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows>
ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd..
en druk daarna op enter.
-Type daarna "regedit"
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine,
en niet van een individuele user. Daarom even de directorie
wijzigen via de instructie cd.. Je komt dan uit in de directorie
C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste
aanbevolen om een kopie van het register te maken VOOR dat
je dingen gaat veranderen. Het register is het hart van je
pc en als je hier dingen verkeerd in veranderd en/of verwijderd
is het mogelijk dat je pc niet goed of zelfs helemaal niet
meer werkt. Je kunt een kopie maken door bovenin de register
editor op deze computer te klikken en vervolgens op register
en dan op registerbestand exporteren.
3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende
sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor
HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft
van je scherm welke waarden daar in zitten. Selecteer net
zolang totdat je de juiste sleutel volledig kan zien in het
linkerscherm. Klik vervolgens met de rechtermuisknop op de
eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start
de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem.
Of met ge-update AV-software of met een online scanner.
3.I. Installeer de door het virus verwijderde security-software
opnieuw. Middels de orginele installatie-procedure. |
