VirusAlert.nl logo
  28 mei 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32 Banwarum.G (Win32)
Besturing:
Microsoft Windows
Datum:
7 juli 2006
Risico:
Middel
Bron:
(c) 2006, VirusAlert
Eigenschappen:
W32.Banwarum.G is een worm die zichzelf verspreid via netwerken waar je bestanden kunt uitwisselen zoals KaZaa, Morpheus, eDonkey2000, LimeWire, en iMesh. Het download ook een .zip bestand van een vooraf bepaalde website. Het stuurt vervolgens een e-mail bijlage naar alle adressen die het heeft verzameld op de getroffen computer. Kwestbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

• Number of infections: 0 - 49
• Number of sites: 0 - 2
• Geographical distribution: Low
• Threat containment: Easy
• Verzamelt e-mailadressen van de geïnfecteerde computer.
• Stuurt een e-mail met een zip bestand naar alle verzameldeadressen.
• Onderwerp van de e-mail: Antivirus project
• Naam van de attachment: util_v2_5.zip

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie"
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  25
Schade:  15

Schaal:  21/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Zodra W32.Banwarum.G is geactiveerd, gebeurt het volgende:

1. Het creëert de volgende mutex:

TurkishCooL

2. De worm maakt het volgende bestand aan:

%System%\[RANDOM].dll

Opmerking:

%System% is een variabele die verwijst naar de systeemmap. Ontbreekt deze, dan is dit de locatie C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), of C:\Windows\System32 (Windows XP).

3. Het voegt de volgende waarde toe:

"(Default)" = "{[RANDOM GUID]}"

aan de subsleutel van het register:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

zodat het iedere keer draait wanneer Windows is gestart.

4. Voegt de volgende waarde toe:

"(Default)" = "%System%\[RANDOM].dll"

aan de subsleutel van het register:

HKEY_CLASS_ROOT\CLSID\{[RANDOM GUID]}\InProcSrver32

zodat het iedere keer draait zodra Windows is gestart.

5. Voegt de volgende waarde toe:

"HardNum" = "[RANDOM]"

aan de subsleutel van het register:

HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Internet Explorer\Main

als zijnde een markeerpunt voor infectie.

6. Stuurt de verzamelde informatie over de geïnfecteerde computer door naar de volgende website:

[http://]85.105.130.110/leema[REMOVED]

7. Verzamelt e-mailadressen van het Windows adressenboek.

8. Stuurt de e-mailadressen door naar de volgende website:

[http://]85.105.130.110/w.p[REMOVED]

9. Download bestanden van de volgende website:

[http://]85.105.130.110/load[REMOVED]

10. Gebruikt Microsoft Outlook om een e-mail met een .zip bestand te versturen naar alle adressen dat het op de geïnfecteerde PC kan vinden.

De e-mail heeft de volgende karakteristieken:

Afzender: [BLANK]

Onderwerp:

Antivirus project

Message body:

Hi! How are you? This is the best soft from Microsoft Windows Planforms.
I've like it very much...

Attachment:

util_v2_5.zip

11. Zoekt naar de volgende registeringangen naar mappen waar het zichzelf naar toe kan kopiëren.
HKEY_CURRENT_USER\Software\KaZaa\LocalContent\"Dir0" = "012345:[FOLDER 1]"
HKEY_LOCAL_MACHINE\Software\Morpheus\"Install_Dir" = "[FOLDER 2]"
HKEY_LOCAL_MACHINE\Software\iMesh\Client\"DownloadsLocation" = "[FOLDER 3]"

12. Probeert zichzelf te kopiëren naar de volgende mappen:

[FOLDER 1]
[FOLDER 2]\My Shared Folder
C:\Program Files\eDonkey2000\incoming
C:\Program Files\LimeWire\Shared
[FOLDER 3]

als zijnde de volgende bestandsnamen:

Zoo Tycoon.exe
ZoneAlarm.exe
Zone Alarm Security Suite 5.5.062 Crack.exe
XP Slipstreamer v1.0 Crack.exe
XBOX X-Fer Ripper and Transfer.exe
WinZip.exe
WinZip v9.0 Registration.exe
Winzip Keygen.exe
WinZip All Versions keygen.exe
WinZip 9.x Crack.exe
WinRAR.exe
WinRAR All KeyGen.exe
WinRAR 3.x Crack.exe
Windows XP SP2 KeyGen.exe
Windows XP Professional crack.exe
Windows XP Pro 64-bit Crack.exe
Windows XP home edition Activation.exe
Windows XP Activation Crack.exe
Windows Server 2003 SP1 Build 1039-2l Crack.exe
windows server 2003 crack.exe
Sygate Personal Firewall PRO v5.5 Build 2577 Crack.exe
Strip Poker 2004 Crack.exe
Sims 2 Crack.exe
Sim Theme Park World no cd crack.exe
Sim City 4 Deluxe no cd crack.exe
Sim City 4 - Rush Hour no cd crack.exe
RoboForm.exe
RoboForm crack.exe
RealPlayer.exe
RealPlayer Crack.exe
RealPlayer crack (keygen.exe
PINNACLE STUDIO PLUS V9.3 Crack.exe
PhotoShop CS v8.0 Crack.exe
Partition Magic 8.0.exe
Paris Hilton Sex-E Screensaver 1.0.exe
NOD32 AntiVirus 2.12.1 Crack.exe
Nero Burning ROM v6.x crack.exe
Macromedia Flash SWF-Unprotect v2.0.exe
Macromedia Flash MX v6.0 crack.exe
Macromedia Flash All Versions keygen.exe
Macromedia Flash 8 Crack.exe
Macromedia Fireworks 4.0 Patch.exe
Macromedia Dreamweaver UltraDev 4.0 Patch.exe
Macromedia Dreamweaver MX v6.0 crack.exe
Macromedia Dreamweaver MX 2004 7.0 Crack.exe
Macromedia Dreamweaver 4.0 Patch.exe
Macromedia Director 8 Crack.exe
Macromedia Contribute v2.0 crack.exe
Macromedia ColdFusion MX crack.exe
K-Lite Mega Codec Pack 1.13 Keygen.exe
K-Lite Codec Pack v2.31 Full Crack.exe
KaZaA Lite Plus 1.0.exe
Kazaa Download Manager 3.0.exe
Kazaa Download Accelerator Pro.exe
Internet Download Manager v4.02 Crack.exe
Internet Download Manager 4.03.exe
FrontPage XP 2002 Crack.exe
visualroute 9.3g keygen.exe
visualroute 9.3g crack.exe
Firefox Setup 1.5.0.3.exe
opera 9.exe
CuteFTP 7 Professional crack.exe
cuteftppro.exe
Final Fantasy XII crack.exe
Final Fantasy XI - USA no cd crack.exe
Final Fantasy VII - Advent Children crack.exe
fifa 2006.exe
Fifa 2006 Crack.exe
eMule.exe
eMule 0.44b.exe
divX codec.exe
DivX Player Crack.exe
DivX Player (with DivX Codec).exe
CloneCD KeyGen.exe
CloneCD 5.x Crack.exe
Civilization IV.exe
CD to MP3 Freeware 1.5 .exe
BitComet.exe
AOL Instant Messenger (AIM).exe
All Macromedia Keygen.exe
Alcohol 120% v1.9.2 build 1705 Crack.exe
Ahead Nero Burning 7 Ultra
Agnitum Outpost Firewall 3.51.x Crack.exe
Ad-aware.exe
Ad-aware Professional.exe
Ad-aware Pro Crack.exe
acdsee 8 Crack.exe
ABBY FineReader Pro Crack.exe
3D Studio Max 6 Crack.exe
windowsxpserial.exe
wincrack.exe
windowsvista.exe
sex.exe
blacksex.exe
asiansex.exe
Eminem.exe
Britneysex.exe
BritneySpears.exe
Xbox360.exe

13. Showt de volgende berichtdisplays aan de gebruiker:
Run program? Yes or no.

Als de gebruiker op ja klikt, krijgt het vervolgens een ander bericht van Windows Utility te zien: You are assured, wether that wish to make install files on your computer, wether not so?

Als de gebruiker wederom op ja klikt, laat het tenslotte nog een ander bericht zien:
Error found while unpacking resources.


Verwijder instructies:
Verwijder het virus met de gratis online scanner van Symantec,

klik hier


Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid
voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de
configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de
virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de
installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met
een antiviruspakket, zie punt 1.

-. Raadpleeg Windows help voor meer informatie over [systeemherstel]

-. Controleer hierna uw systeem op nog aanwezige bestanden en
registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?

Wij adviseren aanpassingen in het register van Windows alleen te laten
uitvoeren door Windows-specialisten. Heeft u zelf geen kennis hiervan dan de
virushelpdesk.nl u online van dienst zijn, kijk hiervoor op
VirusHelpdesk.nl onder stap 2

Handmatig de registry aanpassen
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's
af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden
overgeslagen!). Start de pc dan weer op, en door tijdens het opstarten van
de pc

de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem)
zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de
pijltjestoetsen de optie veilige modus en dan druk je op enter. De pc zal
dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat
de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in
dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende
toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus
worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op
enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet
van een individuele user. Daarom even de folder wijzigen via de instructie
cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen
om een kopie van het register te maken VOOR dat je dingen gaat veranderen.
Het register is het hart van je pc en als je hier dingen verkeerd in
veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs
helemaal niet meer werkt.

Je kunt een kopie maken door bovenin de register editor op deze computer te
klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE
staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm
welke waarden daar in zitten. Selecteer net zolang totdat je de juiste
sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de
rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de
normale manier op.

3.G. Voer nog 1 keer een volledige scan uit op uw systeem. Of met ge-update
AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw.
Middels de originele installatieprocedure.

Assistentie nodig? Maak gebruik van de online helpdesk de virushelpdesk.nl
VirusHelpdesk.nl onder stap 2
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS