VirusAlert.nl logo
  23 maart 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Validin (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 april 2007
Risico:
Middel
Bron:
(c) 2007, VirusAlert
Eigenschappen:
W32.Validin is een worm die .html bestanden infecteert en .gho bestanden verwijdert. De worm verspreidt zich naar verwijderbare schijven. Na besmetting kan de worm malafide bestanden downloaden naar de getroffen computer. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie".
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  30
Schade:  30

Schaal:  26/100

Aanduiding: GEVAARLIJK



Gratis Nieuwsbrief!

Herkenning van besmetting:
Zodra het virus is geactiveerd, kopieert de worm zichzelf naar de volgende bestanden:

• %Windir%\Invalid.exe
• %System%\drivers\Invalid.exe

De worm laat het volgende bestand achter op de getroffen machine:

%System%\Invalid.dll

De worm kopieert zichzelf als zijnde het volgende bestand op verwijderbare schijven:

[DRIVE LETTER]:\RECYCLER.exe

De worm laat het volgende bestand achter dat iedere keer geactiveerd wordt, zodra er een verwijderbare schijf aan de computer is toegevoegd:

[DRIVE LETTER]:\Autorun.inf

Daarna creëert de worm de volgende registeringangen zodat de bedreiging actief op de achtergrond meedraait als Windows is gestart:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"WinFile" = "%System%\drivers\Invalid.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"DataAccess" = "%Windir%\Invalid.exe"

De worm past tevens de volgende registeringangen aan:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "95"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

De worm download vanaf dat moment potentieel malafide codes van de volgende URL’s:

[http://]www.inpopo.com/down17/17.[REMOVED]
[http://]www.gameso.net/down1/test[REMOVED]
[http://]www.inpopo.com/down2/[REMOVED]
[http://]www.inpopo.com/down1/[REMOVED]

De worm beëindigd daarna de volgende processen:

• VCRMON.EXE
• KAV.EXE
• CCAPP.EXE
• NVSVC32.EXE
• SPIDERUI.EXE
• UPGRADE.EXE
• SPIDERNT.EXE
• MONSVCNT.EXE
• MONSYSNT.EXE
• TRIALREG.EXE
• SUPDATE.EXE
• AUTORUNS.EXE
• ICESWORD.EXE
• MCSHIELD.EXE
• REGEDIT.EXE
• MSCONFIG.EXE

Tevens probeert het de onderstaande services stop te zetten:

• OfficeScanNT Monitor
• Norton
• ZoneAlarm
• McShield
• V3MonSvc
• MskService
• McTaskManager
• Symantec Core LC
• kavsvc

Daarna doorzoekt de worm alle vaste schijven en alle netwerkenschijven en kan daar bestanden infecteren die de volgende extensies bevatten:

• .htm
• .html
• .jsp
• .vbs
• .xml
• .shtml
• .js
• .php
• .asp
• .aspx


De worm vermijdt bestanden te infecteren in de volgende mappen:
• Windows NT
• WINDOWS
• Local Settings
• Recycled
• System Volume Information


De worm infecteert de bestanden door de volgende regel toe te voegen aan het bestand:

Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS