www.lobika.be  
 
Home Virus nieuws Onlinescanners Hoax nieuws Autocar Truck ---
Online virusscanners
 
»
 Panda
»
 Pitstop
»
 Symantec
»
 F - Secure
»
 McAfee
»
 Freedom
»
 Housecall
»
 Ahnlab
»
 Kaspersky
»
 RAV
»
 Bitdefender
 
»
 Computer Associates
»
 Command Software
 
Online Spyware scanner
 
»
 Pestscan
»
 Spy Zero
»
 Spy Audit
»
 X Cleaner
 
Online Trojan scanner
 
»
 Windows Security
Naam: W32.Kobot.B
Datum 12 januari 2005
Aliassen W32/Danshbot.worm [McAfee]
Type Worm
Risico Laag
Besturing Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
 
Eigenschappen
Kobot is een worm dat zichzelf verspreidt door open netwerk shares, voorbeelden hiervan zijn Telnet, Dameware, Realserv, VNC en Niprint.

Payload/Schade

* Creëert het bestand "MSalltheway" om er zeker van te zijn dat de worm maar 1 keer tegelijk geladen wordt.

* Probeert verbinding te maken met 1 van de volgende IRC server op de TCP poort 5467:

meatme.gotdns.org
savanaz.25u.com
junglez.afraid.org
savanaz.afraid.org

* Wacht op commando's via het IRC kanaal van de schrijver van het virus

* Controleert het versie nummer van het besturingsysteem en Service Pack

* Doet een poging om met Microsoft Windows Update verbinding te maken en probeert hier een beveiliging patch te downloaden

* Zoekt de netwerk shares FTP, Telnet, VNC, Dameware, Realserv, Mysql, Radmin en Nprint af en probeert verbinding te maken met de volgende gebruikersnaam en wachtwoorden zodat het virus zichzelf kan verspreiden:

Gebruikersnaam:

field
unix
sys
oracle
lpadmin
lpadm
demos
system
tech
debug
systest
testuser
sysman
sysmgr
devadmin
adm
oper
supervisor
sysop
manager
sysadmin
sysadm
guest
root
student
master
user
local
operator
access
test
demo
backup
account
data
server
www
web
webmaster
Besitzer
Owner
admin
Visitatore
Invitado
Gast
Guest
Beheerder
Administrat
Administrateur
Amministratore
Administrador
administrator
Administrator

Wachtwoord:

1p2o3i
q1w2e3
1q2w3e
yankees
xxxxxxxx
xxxxxxx
xxxxxx
xxxxx
xxxx
xxx
xyz
wxyz
vwxyz
windows
whitesox
waterbearer
virgin
vikings
venus
uranus
twins
terrific
temp
telephone
sybase
super
sql
sixers
signature
share
service
security
secret
seahawks
seagoat
scorpion
saturn
rules
redsox
rangers
ram
raiders
qwertyui
qwertyu
qwerty
qwert
qwer
qwe
qwaszx
porsche911
porsche
pluto
playboy
pistons
pirates
phillies
penguins
pentium
pencil
patriots
pasword
password
passwd
pass
pamela
owner
osiris
newpass
neptune
NARAdminsql
napoleon
mozart
mouse
moon
monitor
microsoft
mets
mercury
mercedes
mars
marlboro
macintosh
locked
liquid
lion
linux
lakers
knicks
keyboard
jupiter
jaguar
internet
indians
harley
hamlet
hamburger
hacker
guess
full
fishes
ferrari
eureka
empty
elvis
einstein
eagles
dolphins
dodgers
digital
database
crab
cowboys
computer
charon
cardinals
bulldog
bulls
blackhawks
beethoven
beatles
balance
asdflkjh
asdlkj
asdfghj
asdfgh
asdfg
asdf
asd
archer
apache
angels
amadeus
alphabet
agenda
abcdefgh
abcdefg
abcdef
abcde
abcd
abc
abcd!@#$
abcd1234
abc123
abc!@#
aaaaaa
aaaaa
aaaa
aaa
123qwe
123asd
123abc
1234qwer
911turbo
911
1337
31337
369
007
5201314
999999999
99999999
999999
9999
999
88888888
888888
8888
888
77777777
7777777
777777
7777
777
66666666
666666
6666
666
55555555
555555
55555
5555
555
44444444
444444
4444
444
33333333
333333
3333
333
22222222
222222
2222
222
00000000
000000
0000
000
1122334455
11223344
112233
1122
1234!@#$
123!@#
1234512345
12341234
123123
131313
1313
121212
1212
0987654321
987654321
87654321
7654321
654321
54321
4321
321
1234567890
123456789
12345678
1234567
123456
12345
1234
123
11111111
1111111
111111
11111
1111
111

Preventieve maatregelen
Herkenning van besmetting:

Bestanden

* Aanwezigheid van het bestand %System%\desktop.exe. (**)

(**) (c:\Windows\System bij Win95/98/Me & c:\Windows\System32 bij Win2000, XP en NT)

Registry

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Met de waarde:

"desktop" = "%System%\desktop.exe"

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\
parameters

Met de waarde:

AutoShareServer" = "0"
"AutoShareWks" = "0"

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Met de waarde:

"restrictanonymous" = "1"

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

Met de waarde:

"DisableWebDAV" = "1"
"MaxClientRequestBuffer" = "0x4000"

Creatie van de registry-sleutels:

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\
Internet Settings

Met de waarde:

"MigrateProxy" = "1"

Creatie van de registry-sleutels:

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\
Internet Settings
HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
Internet Settings

Met de waarde:

"ProxyEnable" = "0"

Creatie van de volgende registry entries:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Uninstall\Version
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Uninstall\Version

Delete van de registry-sleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Met de waarde:

avserve.exe
avserve2.exe
skynetave.exe
lsasss.exe
napatch.exe
Generic Host Service

Delete van de registry-sleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Internet Settings

Met de waarde:

ProxyServer
ProxyOverride
AutoConfigURL

Verwijder instructies
1a. Verwijder het virus met één van de gratis online scanners, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Een registry sleutel verwijst in de "Waarde" altijd naar een bestand, vaak het virusbestand, gebruik de zoekfunctie van het register (CTRL-F) om deze bestanden (en bijbehorende sleutels) op te zoeken.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner
Bronnen: Virusalert | Symantec | McAfee | Bitdefender
Zoeken op deze site
 


powered by FreeFind
 
Removal Tools
 
 
Virus Overzicht
 
Klik op een letter
 
Virus Nieuwsbrief
 
 
Stinger Tool
 
 
Avast Tool
 
 
Windows Update