VirusAlert.nl logo
  22 mei 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Kidala.B@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
27 april 2006
Risico:
Laag
Bron:
(c) 2006, VirusAlert
Eigenschappen:
W32.Kidala.b is een mass mailing internetworm die een poort openzet en de beveiliging van de computer verlaagt. Hij verspreid zich via email, en wordt geactiveerd door het bijlage bestand handmatig te openen.

Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie
© VirusAlert schaal

Innovatie:  7
Besturing:  15
Logistiek:  22
Schade:  17

Schaal:  15/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Na besmetting voert de worm de volgende acties uit:

1. Plaats zichzelf in de volgende bestand:

%System%\DS.EXE

Opmerking:
%System% is een variabele die verwijst naar de systeemmap waar Windows ïnstalleerd staat. Ontbreekt deze, dan is dit de map C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP).

2. Voegt de volgende waarde toe

Aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Zodat het elke keer draait zodra Windows weer opstart.

3. Haalt email adressen uit het adresboek en bestanden met de volgende extenties:

.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab

4. Maakt email adressen aan met een van de volgende namen:

Afzender:
Met één van de volgende namen:

alice
andrew
brenda
brent
brian
claudia
david
debby
george
helen
james
jerry
jimmy
julie
kevin
linda
maria
michael
peter
robert
sandra
smith
steve

Met één van de volgende domeinen:

ayna.com
hotmail.com
maktoob.com
microsoft.com
msn.com
usa.com
usa.net
yahoo.com

5. De virus stuurt zichzelf niet naar een email adres die begint met een van de volgende kenmerken:

abuse
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster

6. Stuurt zich zelf naar een email adres die de worm vindt met een van de volgende kenmerken:

Onderwerp:
Met één van de volgende onderwerpen:

Error
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Bericht:
Met één van de volgende teksten:

Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.

Bijlage:
Met één van de volgende Bijlage:

data
doc
document
file
message
readme
text

Met één van de volgende extensies:

.bat
.cmd
.exe
.pif
.scr

7. Opent een poort op de besmette computer en maakt verbinding met het IRC kanaal #MicroSystem# om te wachten of de aanvaller nog commando's geeft. Het kan één van de volgende dingen zijn:

Download and execute files
Remove, end, or update a copy of itself
Perform denial of service attacks

8. De worm verspreid zich via IRC aan iedereen die op het zelfde kanaal zit. De worm stuurd dan het volgende berichtje:

[NICKNAME] just look at this brother
http://[SENDER'S IP ADDRESS]:2001/Hot.pif

9. Zodra er een mesenger open staat versuurt de worm het volgende bericht:

hehe, watch this http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]
lol, don't forget to watch this video http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]|
LOL, this shit is funny http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]
look at this video http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]
your going to like this :D http://[SENDER'S IP ADDRESS]:2001/[RANDOM FILE NAME]

Met een van de volgende namen:

crazy5.scr
crazyjump.scr
exposed.scr
funny2.scr
funny3.scr
haha.scr
lucky.scr
mjackson.scr
picture1.scr

10. Verspreid zich via een netwerk en maakt gebruik van de volgende gebruikersnamen en wachtwoorden:

12345
123456
1234567
12345678
123456789
1234567890
12345678910
access
accounting
accounts
Admin
Administrador
administrat
administrateur
Administrator
Admins
backup
bitch
blank
brian
changeme
chris
cisco
compaq
computer
control
Database
databasepass
databasepassword
db1234
dbpass
dbpassword
Default
domain
domainpass
domainpassword
exchange
george
guest
hello
homeuser
internet
intranet
katie
linux
login
loginpass
NetWork
nokia
oeminstall
oemuser
office
oracle
orainstall
outlook
Owner
ownerstaff
pass1234
passwd
password
password1
peter
qwerty
server
siemens
sqlpassoainstall
Staff
Student
susan
system
Teacher
technical
win2000
win2k
win98
windows
winnt
winpass
winxp
wwwadmin

11. Zoekt naar de volgende mappen:

C:\Program Files\eDonkey2000\Incoming
C:\Program Files\Files\Kazaa Lite\My Shared Folder
C:\program files\kazaa\my shared folder
C:\Program Files\LimeWire\Shared
C:\Program Files\Morpheus\My Shared Folder

12. Plaats de volgende bestanden in een van de mappen:

Warez P2P:

Britney_Spears_sucks_someones_dick.scr
Madonna_the_most_sexiest_girl_in_the_world.com
Mariah_Carey_showering_in_bathroom.com
nice_big_asshole_fuck_Jennifer_Lopez.scr

Limewire:

Alcohol_120%_patch
DarkAngel_Lady_get_fucked_so_hardly
LimeWire_speed++
Outlook_hotmail+_fix

eDonkey:

Angilina_Jolie_Sucks_a_Dick
BritneySpears_SoSexy
DAP7.4.x.x_crack
DownloadsLocation
JenniferLopez_Film_Sexy_Enough
NortonAV2006_Crack

iMesh:

KAV2006_Crack
MSN7.0Loader
MSN7.0UniversalPatch
YahooMessenger_Loader
ZoneAlarmPro6.xx_Crack

Morpheus:

lcc-wiz_update
notepad++
Opera8
RealPlayer10.xx_crack
TaskCatcher

KaZaa:

activation_crack
dcom_patch
icq2006-final
nuke2006
office_crack
rootkitXP
strip-girl-3.0
winamp6

Met één van de volgende extensies:

.bat
.exe
.pif
.scr

13. Beëindigt de volgende processen:

_AVPCC.EXE
_AVPM.EXE
_FINDVIRU.EXE
ACKWIN32.EXE
ALOGSERV.EXE
AMON.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
ATGUARD.EXE
AVE32.EXE
AVKSERV.EXE
AVNT.EXE
AVPCC.EXE
AVPM.EXE
AVWIN95.EXE
BLACKICE.EXE
CLAW95CF.EXE
CMGRDIAN.EXE
ECENGINE.EXE
ESAFE.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT95.EXE
FP-WIN.EXE
GUARDDOG.EXE
IAMAPP.EXE
IOMON98.EXE
KAVPF.EXE
LOOKOUT.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NOD32.EXE
NSPLUGIN.EXE
OGRC.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
RAV7.EXE
RULAUNCH.EXE
SCAN32.EXE
SPIDER.EXE
VET95.EXE
VETTRAY.EXE
VSMAIN.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZONALARM.EXE
ZONALM2601.EXE
ZONEALARM.EXE

Verwijder instructies:
Verwijder het virus met de gratis online scanner van Symantec,

klik hier


Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid
voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de
configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de
virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de
installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met
een antiviruspakket, zie punt 1.

-. Raadpleeg Windows help voor meer informatie over [systeemherstel]

-. Controleer hierna uw systeem op nog aanwezige bestanden en
registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?

Wij adviseren aanpassingen in het register van Windows alleen te laten
uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de
virushelpdesk.nl u online van dienst zijn, kijk hiervoor op
VirusHelpdesk.nl onder stap 2

Handmatig de registry aanpassen
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's
af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden
overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van
de pc

de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem)
zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de
pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal
dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat
de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in
dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende
toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus
worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op
enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet
van een individuele user. Daarom even de folder wijzigen via de instructie
cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen
om een kopie van het register te maken VOOR dat je dingen gaat veranderen.
Het register is het hart van je pc en als je hier dingen verkeerd in
veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs
helemaal niet meer werkt.

Je kunt een kopie maken door bovenin de register editor op deze computer te
klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE
staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm
welke waarden daar in zitten. Selecteer net zolang totdat je de juiste
sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de
rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de
normale manier op.

3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update
AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw.
Middels de originele installatie-procedure.

Assistentie nodig? Maak gebruik van de online helpesk de virushelpdesk.nl
VirusHelpdesk.nl onder stap 2
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS