VirusAlert.nl logo
  28 mei 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Netsky.AN@mm (Win32)
Besturing:
Microsoft Windows
Datum:
26 september 2005
Risico:
Laag
Bron:
(c) 2005, VirusAlert
Eigenschappen:
Netsky.AN@mm is een massa-mailing worm, dit word ook verspreid d.m.v. gedeelde netwerk mappen.

Kwetsbare besturingssystemen zijn: Windows 2000, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Schade / Payload:

Creëert een massa-mailing van zichzelf. Verzend zichzelf naar de email adressen die hij gevonden heeft in bestanden die bepaalde extensies bevatten. Massa mailing kan mail servers vast laten lopen of verslechterd het netwerk prestatie.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje "verwijder instructies".

TIP: Ontvang onze gratis viruswaarschuwingen per e-mail.
klik hier om u gratis aan te melden!
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  10
Schade:  15

Schaal:  17/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Wanneer Netsky.AN@mm geinstalleerd is, dan voert hij de volgende acties uit:

1. Kopieert zichelf als het volgende bestand:

%Windir%\McAffeAv.exe

Opmerking: %Windir% is een variabele dat verwijst naar de Windows installatie map. Standaard is dit C:\Windows of C:\Winnt.

2. Creƫert de volgende mutex zo, dat alleen 1 geval van de worm draait op de computer:

-=VXBRASIL=-SAMPA-2005!

3. Voegt de waarde:

"McAfee" = "%Windir%\McAffeAv.exe -AntViru"

toe aan de subsleutel van de register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

zodat het elke keer draait wanneer Windows opnieuw is opgestart.

4. Verwijderd de volgende waarden, om andere risico's van gevaarlijke bedreigingen te voorkomen die draaien op de besmette computer:

HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Taskmon"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"KasperskyAv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"KasperskyAv"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\"system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"msgsvr32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"DELETE ME"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"d3dupdate.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"au.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Service"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"OLE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sentry"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Services Host"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows Services Host"

5. Verwijderd de volgende subsleutels van de register, om andere risico's van bedreigingen te voorkomen die gaan draaien op de besmette computer:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch

6. Zoekt naar schrijven van C:\ tot Y:\ en kopieert zichzelf als de volgende bestands namen naar mappen die de volgende strings bevatten:

1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Adobe Premiere 9.exe
Ahead Nero 7.exe
Best Matrix Screensaver.scr
Clone DVD 5.exe
Cracks & Warez Archive.exe
Dark Angels.pif
Dictionary English - France.doc.exe
DivX 7.0 final.exe
Doom 3 Beta.exe
E-Book Archive.rtf.exe
Full album.mp3.pif
Gimp 1.5 Full with Key.exe
How to hack.doc.exe
IE58.1 full setup.exe
Keygen 4 all appz.exe
Learn Programming.doc.exe
Lightwave SE Update.exe
Magix Video Deluxe 4.exe
Microsoft Office 2003 Crack.exe
Microsoft WinXP Crack.exe
MS Service Pack 5.exe
Norton Antivirus 2004.exe
Opera.exe
Partitionsmagic 9.0.exe
Porno Screensaver.scr
RFC Basics Full Edition.doc.exe
Screensaver.scr
Serials.txt.exe
Smashing the stack.rtf.exe
Star Office 8.exe
Teen Porn 16.jpg.pif
The Sims 3 crack.exe
Ulead Keygen.exe
Virii Sourcecode.scr
Visual Studio Net Crack.exe
Win Longhorn Beta.exe
WinAmp 12 full.exe
Windows Sourcecode.doc.exe
WinXP eBook.doc.exe
XXX hardcore pic.jpg.exe

7. Verzameld email adressen van bestanden met de volgende extensies, die gevonden zijn op schrijven van C: tot Y:, excl. ROM schrijven:

.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab

8. Vraagt naar de lokale DNS server of de DNS servers hieronder van yahoo.com. Wanneer de worm het een match vind voor yahoo.com, dan zal hij die SMTP server gebruiken:

62.155.255.16
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.7.128.162
212.7.128.165
212.44.160.8
212.185.252.136
212.185.252.73
212.185.253.70
213.191.74.19
217.5.97.137

9. Verzend een kopie van zichzelf als een email bijlage naar email adressen die hij verzameld heeft. De email heeft de volgende kenmerken:

From: Spoofed

Title:
Een van de volgende:

[Deliver Error]
[Message Error]
[Server Error]
what means that?
help attached
[...]
ok...
[Attachment from Poland]
that is interesting...
i wait for your comment about it.
such as yours?
read the details.
gonna?
here is the document.
*lol*
read it immediately!
i found that about you!
your hero in the picture?
yours?
here is it.
illegal st. of you?
is that true?
account?
is that your name?
picture?
message?
is that your account?
pwd?
I wait for an answer!
abuse?
is that yours?
you are a bad writer
I don't know your document!
[Mail failed]
I have your password!
you won the rk!
something about you!
classroom test of you?
kill the writer of this document!
old photos about you?
i hope thats not true!
your name is wrong!
does it match?
i found this document about you.
time to fear?
really?
do you know this????
i know your document!
did you sent it to me?
this file is bad!
why should I?
pages?
her.
another pic, have fun! ... :->
test it
child porn?
greetings
xxx ?
stuff about you?
your document is not good
something is going wrong!
your photo is poor
information about you?
the information is wrong!
doc about me?
kill him on the picture!
from the chatter (my photo!)
from your lover ;-)
love letter?
here, the serials
are you a teacherin the picture?
here, the introduction
is that criminal?
here, the cheats
i like your doc!
what do you think about it?
that's a funny text.
that's not the truth?
do you have?
instruct me about this!
i lost that
i am speachless about your document!
is that the reality?
reply
msg
your design is not good!
important?
your TAN number?
take it easy!
why?
you are naked in this document!
thats wrong!
your icq number?
i am desperate
modifications?
your personal record?
yes.
misc. and so on. see you!
your attachment? verify it.
you earn money, see the attachment!
is that your attachment?
is that your website?
you feel the same.
meaning of that?
possible?
you have tried to steal!
did you ask me for that?
you are bad
your job? (I found that!)
is that possible?
something is going ...
something is not ok
did you know from this document?
wrong calculation! (see the attachment!"..
never!
poor quality!
good work!
excellent!
great!
i don't think so.
pretty pic about you?
pics?
schoolfriend?
[Warning from the Government]
[09580985869gj]
[?]
i want more...
here is the next one!
attachi#
did you see her already?
is that your wife?
is that your creditcard?
is that your photo?
do you think so?
do you have the bug also?
already?
forgotten?
drugs? ...
does it matter?
i have received this.
best?
the truth?
your body?
your eyes?
your face?
File is self-decryting.
File is damaged.
File is bad.
i saw you last week!
xxx service
your account is expired!
you cannot hide yourself! (see photo)
copyright?
what still?
who?
how?
[bad gateway]
only encrypted!
personal message!
my advice....
i've found it about you
[Failure]


great xxx!
man or women?
child or adult?
here is yours!
a crazy doc about you
xxx about you?
i don't want your xxx pics!


doc?
trial?
what?
;-)
i need you!
correct it!
see this!
it's a secret!
this is nothing for kids!
it's so similar as yours!
do not give up!
great job!
here is the $%%454$
you are sexy in this doc!
incest?
let it!
you look like an ape!
you look like an rat?
be mad?
are you cranky?
bob the builder
did you know that?
money?
is that your car?
is this information about you?
is that your privacy?
is that your TAN?
is that your message?
is that your cd?
is that your finger?
your are naked?
is that your porn pic?
is that your work?
is that your family?
is that your beast?
is that your account?
is that your slip?
is that your domain?
are you the naked one?
are you the naked person!
are you the one?
does it belong to you?
do you have sex in the picture?
you have a sexy body in the pic!
your lie is going around the world!


lets talk about it!
do you know the thief?
are you a photographer?
you have done a mistake in the document"..
its private from me
do not show this anyone!
new patch is available!
this is an attachment message!
in your mind?
Microsoft
fast food...
Your bill.
try this patch!
do you have an orgasm in the picture?


Transaction failed. Show the doc!
I 've found your bill!
see your name!
You are infected. Read the details!
here is my advice.
here is my photo!
here is the
feel free to use it.
does it belong to you?
Login required! Read the attachment!
your document is silly!
is the pic a fake?
Antispam is turned off. See file!
Authentification required. Read the att"..
solve the problem!

do not use my document!
do not use this creditcard!
presente de nata abra agora
nao saia de casa sem guarda chuva! Te a"..
explique
Diga sobre o que voce que isso!!!
Virus CIH1003 encontrado !!!!!!
Varroa Pugao!!!.
BancoItauConta!
Planos
Virus!
email786
cadeados
gay
BancoDoBrasil
Rescisao Contratual!
23
Me Conhece??
Sim
Mercados!
Vigia
cris
Vidas -=-=-
fazno
Cuidado
Moto
Que pega??
calo
Re: Santander!!
Humm olha!
Fax!!!
Retorno!
boa vida ta!
traficante
error
take it
re:
Re: Re: Re: Re:
you?
something for you
exception
Re: hey
excuse me
Re: hi
Me Conhece??
Re: important
Re: hello
believe me
Question
denied!
notification
Re: <5664ddff?$??o2>
lol
last chance!
I'm back!
its me
notice!

Message Body:
Een van de volgende:




what means that?
help attached
<...>
ok...

that is interesting...
i wait for your comment about it.
such as yours?
read the details.
gonna?
here is the document.
*lol*
read it immediately!
i found that about you!
your hero in the picture?
yours?
here is it.
illegal st. of you?
is that true?
account?
is that your name?
picture?
message?
is that your account?
pwd?
I wait for an answer!
abuse?
is that yours?
you are a bad writer
I don't know your document!

I have your password!
you won the rk!
something about you!
classroom test of you?
kill the writer of this document!
old photos about you?
i hope thats not true!
your name is wrong!
does it match?
i found this document about you.
time to fear?
really?
do you know this????
i know your document!
did you sent it to me?
this file is bad!
why should I?
pages?
her.
another pic, have fun! ... :->
test it
child porn?
greetings
xxx ?
stuff about you?
your document is not good
something is going wrong!
your photo is poor
information about you?
the information is wrong!
doc about me?
kill him on the picture!
from the chatter (my photo!)
from your lover ;-)
love letter?
here, the serials
are you a teacherin the picture?
here, the introduction
is that criminal?
here, the cheats
i like your doc!
what do you think about it?
that's a funny text.
that's not the truth?
do you have?
instruct me about this!
i lost that
i am speachless about your document!
is that the reality?
reply
msg
your design is not good!
important?
your TAN number?
take it easy!
why?
you are naked in this document!
thats wrong!
your icq number?
i am desperate
modifications?
your personal record?
yes.
misc. and so on. see you!
your attachment? verify it.
you earn money, see the attachment!
is that your attachment?
is that your website?
you feel the same.
meaning of that?
possible?
you have tried to steal!
did you ask me for that?
you are bad
your job? (I found that!)
is that possible?
something is going ...
something is not ok
did you know from this document?
wrong calculation! (see the attachment!"..
never!
poor quality!
good work!
excellent!
great!
i don't think so.
pretty pic about you?
docs?
schoolfriend?

<09580985869gj>
i want more...
here is the next one!
attachi#
did you see her already?
is that your wife?
is that your creditcard?
is that your photo?
do you think so?
do you have the bug also?
already?
forgotten?
drugs? ...
does it matter?
i have received this.
best?
the truth?
your body?
your eyes?
your face?
File is self-decryting.
File is damaged.
File is bad.
i saw you last week!
xxx service
your account is expired!
you cannot hide yourself! (see photo)
copyright?
what still?
who?
how?

only encrypted!
personal message!
my advice....
i've found it about you
<<>>


great xxx!
man or women?
child or adult?
here is yours!
a crazy doc about you
xxx about you?
i don't want your xxx pics!


doc?
trial?
what?
;-)
i need you!
correct it!
see this!
it's a secret!
this is nothing for kids!
it's so similar as yours!
is that your car?
do not give up!
great job!
here is the $%%454$
you are sexy in this doc!
incest?
let it!
you look like an ape!
you look like an rat?
be mad?
are you cranky?
bob the builder
did you know that?
money?
is that your car?
is this information about you?
is that your privacy?
is that your TAN?
is that your message?
is that your cd?
is that your finger?
your are naked?
is that your porn pic?
is that your work?
is that your family?
is that your beast?
is that your slip?
is that your domain?
are you the naked one?
are you the naked person!
are you the one?
does it belong to you?
do you have sex in the picture?
you have a sexy body in the pic!
your lie is going around the world!


lets talk about it!
do you know the thief?
are you a photographer?
you have done a mistake in the document"..
its private from me
do not show this anyone!
new patch is available!
this is an attachment message!
in your mind?
Microsoft
fast food...
Your bill.
try this patch!
do you have an orgasm in the picture?


Transaction failed. Show the doc!
I 've found your bill!
see your name!
You are infected. Read the details!
here is my advice.
here is my photo!
here is the
feel free to use it.
does it belong to you?
Login required! Read the attachment!
your document is silly!
is the pic a fake?
Antispam is turned off. See file!
Authentification required. Read the att"..
solve the problem!

do not use my document!
do not use this creditcard!
presente de nata abra agora
nao saia de casa sem guarda chuva! Te a"..
explique
Diga sobre o que voce que isso!!!
Virus CIH1003 encontrado !!!!!!
Varroa Pugao!!!

Bijlage:
Een van de volgende:

[FILE NAME 1].[EXTENSION 2]
[FILE NAME 1].[EXTENSION 1].[EXTENSION 2]
[FILE NAME 1]_[FILE NAME 2].[EXTENSION 1]
[FILE NAME 1]_[FILE NAME 2].[EXTENSION 2]

waar de extensie 1 een van de volgende is:

txt
rtf
doc
htm

en de 2e extensie :

exe
scr
com
pif

FILE NAME 1 en FILE NAME 2 zijn geselecteerd van de volgende lijst:

Padaria!
variados
msg
vagas
AIV
ruim
fale
final
acredite
creditcard
configurado
loto100
detalhes
vai
23
98721
oras
-==-
negras
posicao
gratifico
formulas
Greenpeac
SuaNota
sexy
Premiado_32
603s
4096
ImortalRiot!
agua
Delta!
JerusalemBug
LeandroKelly
aura
Alevirus__
ping-pong
=)
Mercados!
avatar
stoned
CIH 1003
vagas
Denzuke
Brain
care.
simpl
flora
trampo
doces
cartas
amor
grana..
barcos.
trems
fogos.
meufone
piada
videogz
Coisas_zip
lazanha.
Eletrons.
confs
sulemi
radiose
zueira
numero
"Empregos olhar
notas.
galaxia
gritos
credito
mailB
planos.
PTB_A
eml1
disco
pacote
ovos
aviso
meteoro.
curr
gerado.
galeria.
acionar
vasos
boletos...
extravio
forma.
ManuaisTecni
planilha.
sadios
frutas
vivo
dolar
ficais
=$
devedor
planilha
notas
contas

De bijlage kan ook een .zip bestand zijn.

10. Kan een piep geluid veroorzaken op de besmette computer, als het systeem tijd van 06.00 naar 08.00 februari 26, 2004 is.

Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?

Verwijder het virus met de gratis online scanner van McAfee, klik hier

Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.

1. Raadpleeg Windows help voor meer informatie over [systeemherstel]

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?

Wij adviseren aanpassingen in het register van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure.

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS