VirusAlert.nl logo
  26 april 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Beagle.FF@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
21 juni 2006
Risico:
Laag
Bron:
(c) 2006, VirusAlert
Aliassen:
W32/Bagle.fb@MM<br /> W32/Bagle-KL<br /> W32/Bagle-KM
Eigenschappen:
W32.Beagle.FF@mm is een mass-mailing worm die zich verspreid met door SMTP protocol. De worm probeert de beveiligings instellingen te verlagen en bestanden te downloaden.

Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie"
© VirusAlert schaal

Innovatie:  10
Besturing:  10
Logistiek:  18
Schade:  14

Schaal:  13/100

Aanduiding: LASTIG




Gratis Nieuwsbrief!

Herkenning van besmetting:
Na besmetting voert de worm de volgende acties uit:

1. Maakt de volgende bestanden aan:

%UserProfile%\Application Data\hidn\hidn.exe
%UserProfile%\Application Data\hidn\m_hook.sys
%SystemDrive%\error.gif
%SystemDrive%\temp.zip

Opmerking:
%UserProfile% is een variabele die verwijst naar de huidige gebruiker
folder. Standaard is dit C:\Documents and Settings\[HUIDIGE GEBRUIKER]
(Windows NT/2000/XP).
%SystemDrive% verschild per Windows installatie, het ligt eraan op
welke schijf Windows geïnstalleerd is. Standaard is dit C:.

2. Voegt de volgende waarde toe:

"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe"

Aan de subsleutel van het register:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Zodat het elke keer draait zodra Windows weer opstart.

3. Voegt de volgende waarde toe:

"FirstRun" = "1"

Aan de subsleutel van het register:

HKEY_CURRENT_USER\Software\FirstRuxzx

4. Maakt de volgende subsleutels aan:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_M_HOOK

5. Verwijderd de volgende register onderdeel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

6. Probeert verbinding te maken met de volgende SMTP server om de verbinding te controleren. De worm gebruikt hierbij poort 25 van het TCP protocol:

smtp.google.com

7. Probeert met de volgende website en IP adres verbinding te maken:

google.com
217.5.97.137

8. Probeert verbinding te maken met de volgende website's om bestanden te downloaden waarin email adressen staan:

http://accesible.cl/1/eml.
http://amdlady.com/1/eml.
http://avataresgratis.com/1/eml.
http://beyoglu.com.tr/1/eml.
http://brandshock.com/1/eml.
http://camaramafra.sc.gov.br/1/eml.
http://camposequipamentos.com.br/1/eml.
http://cbradio.sos.pl/1/eml.
http://c-d-c.com.au/1/eml.
http://coparefrescos.stantonstreetgroup.com/1/eml.
http://creainspire.com/1/eml.
http://desenjoi.com.br/1/eml.
http://hotelesalba.com/1/eml.
http://inca.dnetsolution.net/1/eml.
http://veranmaisala.com/1/eml.
http://wklight.nazwa.pl/1/eml.
http://www.auraura.com/1/eml.
http://www.buydigital.co.kr/1/eml.
http://www.diem.cl/1/eml.
http://www.discotecapuzzle.com/1/eml.
http://www.inprofile.gr/1/eml.
http://www.klanpl.com/1/eml.
http://www.titanmotors.com/images/1/eml.
http://yongsan24.co.kr/1/eml.

Als het bestand goed is gedownload dan wordt het bestand als volgt op geslagen:

%Windir%\elist.xpt

Opmerking:
%Windir% is een variabele die verwijst naar de Windows installatie
folder. Standaard is dit de map C:\Windows\ (Windows 95/98/Me/XP)
of C:\Winnt\(Windows NT/2000).

9. De worm haalt email adressen op alle locale schijven uit bestanden
met de volgende extensie:

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml

10. De worm stuurt zichzelf niet naar een email adres met een van de
volgende kenmerken:

@avp.
@foo
@iana
@messagelab
abuse
admin
anyone@
bsd
bugs@
cafee
certific
contract@
feste
free-av
f-secur
gold-certs@
google
help@
icrosoft
info@
kasp
linux
listserv
local
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
unix
update
winrar
winzip

11. Verstuurt het bestand %SystemDrive%\temp.zip naar de gevonden email adressen. De email bevat één van de volgende onderdelen

Afzender:
[willekeurige naam]

Onderwerp:
[willekeurige naam]


Bericht:
archive password: [Plaatje]
Password - [Plaatje]
Password -- [Plaatje]
Password is [Plaatje]
Password: [Plaatje]
The password is [Plaatje]
Use password [Plaatje] to open archive.
Zip password: [Plaatje]

Bijlage:
[willekeurige naam].zip

Dit bestand is beveiligd met een wachtwoord. In het .zip bestand zit een kopie van de worm een een schoon .dll bestand.

Waar [willekeurige naam] staat komt een van de onderstaande namen te staan:

Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Christean
Christian
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
I love you
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
To the beloved
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede

12. Probeert de volgende webstie's te bereiken om een bestand te downloaden:

http://1point2.iae.nl/777
http://5050clothing.com/777
http://appaloosa.no/777
http://apromed.com/777
http://arborfolia.com/777
http://areal-realt.ru/777
http://art4u1.superhost.pl/777
http://art-bizar.foxnet.pl/777
http://asdesign.cz/777
http://avenue.ee/777
http://axelero.hu/777
http://bartex-cit.com.pl/777
http://bazarbekr.sk/777
http://bid-usa.com/777
http://biliskov.com/777
http://biomedpel.cz/777
http://bitel.ru/777
http://blackbull.cz/777
http://bohuminsko.cz/777
http://bonsai-world.com.au/777
http://bpsbillboards.com/777
http://cadinformatics.com/777
http://calamarco.com/777
http://canecaecia.com/777
http://ceramax.co.kr/777
http://charlesspaans.com/777
http://chatsk.wz.cz/777
http://checkalertusa.com/777
http://cibernegocios.com.ar/777
http://cof666.shockonline.net/777
http://comaxtechnologies.net/777
http://compucel.com/777
http://concellodesandias.com/777
http://continentalcarbonindia.com/777
http://dev.jintek.com/777
http://dogoodesign.ch/777
http://donchef.com/777
http://erich-kaestner-schule-donaueschingen.de/777
http://foxvcoin.com/777
http://ftp-dom.earthlink.net/777
http://gnu.univ.gda.pl/777
http://grupdogus.de/777
http://hotchillishop.de/777
http://ilikesimple.com/777
http://innovation.ojom.net/777
http://kisalfold.com/777
http://knickimbit.de/777
http://kremz.ru/777
http://massgroup.de/777
http://ouarzazateservices.com/777
http://pawlacz.com/777
http://poliklinika-vajnorska.sk/777
http://prime.gushi.org/777
http://stats-adf.altadis.com/777
http://svatba.viskot.cz/777
http://systemforex.de/777
http://ujscie.one.pl/777
http://uwua132.org/777
http://vanvakfi.com/777
http://vega-sps.com/777
http://vidus.ru/777
http://viralstrategies.com/777
http://Vivamodelhobby.com/777
http://vkinfotech.com/777
http://vproinc.com/777
http://v-v-kopretiny.ic.cz/777
http://vytukas.com/777
http://waisenhaus-kenya.ch/777
http://watsrisuphan.org/777
http://wbecanada.com/777
http://web-comp.hu/777
http://webfull.com/777
http://welvo.com/777
http://wvpilots.org/777
http://www.ag.ohio-state.edu/777
http://www.ag.ohio-state.edu/777
http://www.artbed.pl/777
http://www.aureaorodeley.com/777
http://www.autoekb.ru/777
http://www.autovorota.ru/777
http://www.avinpharma.ru/777
http://www.castnetnultimedia.com/777
http://www.chapisteriadaniel.com/777
http://www.chittychat.com/777
http://www.cort.ru/777
http://www.crfj.com/777
http://www.jonogueira.com/777
http://www.kersten.de/777
http://www.kljbwadersloh.de/777
http://www.voov.de/777
http://www.walsch.de/777
http://www.wchat.cz/777
http://www.wg-aufbau-bautzen.de/777
http://www.wzhuate.com/777
http://xotravel.ru/777
http://yeniguntugla.com/777
http://yetii.no-ip.com/777
http://zebrachina.net/777
http://zsnabreznaknm.sk/777

Als de download goed gelukt is slaat de worm het bestand op als volgend:

%System%\re_file.exe

Opmerking:
%System% is een variabele die verwijst naar de systeemmap waar
Windows geïnstalleerd staat. Ontbreekt deze, dan is dit de map
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32
(Windows NT/2000), of C:\Windows\System32 (Windows XP).

13. De worm stopt de volgende processen:

Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab task Scheduler
alerter
AlertManger
AntiVir Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati HotKey Poller
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido security suite control
ewido security suite driver
ewido security suite guard
firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
InoRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
NDIS_RD
Ndisuio
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman NJeeves
Norman Type-R
Norman ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCC_PFW
PCCPFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
Quick Heal Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus Client
Symantec Core LC
T_H_S_M
The_Hacker_Antivirus
tm_cfw
Tmntsrv
TmPfw
tmproxy
tmtdi
V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wscsvc
wuauserv
wuauserv
xcomm

14. Laat het plaatje %SystemDrive%\error.gif zien.

Verwijder instructies:
Verwijder het virus met de gratis online scanner van Symantec,

klik hier


Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid
voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de
configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de
virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de
installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met
een antiviruspakket, zie punt 1.

-. Raadpleeg Windows help voor meer informatie over [systeemherstel]

-. Controleer hierna uw systeem op nog aanwezige bestanden en
registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?

Wij adviseren aanpassingen in het register van Windows alleen te laten
uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de
virushelpdesk.nl u online van dienst zijn, kijk hiervoor op
VirusHelpdesk.nl onder stap 2

Handmatig de registry aanpassen
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's
af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden
overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van
de pc

de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem)
zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de
pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal
dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat
de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in
dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende
toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus
worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op
enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet
van een individuele user. Daarom even de folder wijzigen via de instructie
cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen
om een kopie van het register te maken VOOR dat je dingen gaat veranderen.
Het register is het hart van je pc en als je hier dingen verkeerd in
veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs
helemaal niet meer werkt.

Je kunt een kopie maken door bovenin de register editor op deze computer te
klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE
staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm
welke waarden daar in zitten. Selecteer net zolang totdat je de juiste
sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de
rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de
normale manier op.

3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update
AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw.
Middels de originele installatieprocedure.

Assistentie nodig? Maak gebruik van de online helpdesk de virushelpdesk.nl
VirusHelpdesk.nl onder stap 2
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS