VirusAlert.nl logo
  26 maart 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Motsys (Internet Worm)
Besturing:
Microsoft Windows
Datum:
14 november 2007
Risico:
Laag
Bron:
(c) 2007, VirusAlert
Eigenschappen:
W32.Motsys is een worm die zichzelf verspreidt via verwijderbare schijven zoals USB-sticks bijvoorbeeld. Het virus voegt een 'iframe' toe aan bepaalde bestanden op de getroffen computer. Kwetsbare besturingssystemen zijn: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje
"verwijder instructie".
© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  20
Schade:  20

Schaal:  21/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Zodra de worm is geactiveerd, creëert het virus de volgende bestanden:

• %System%\auToRun.inf
• %System%\NeTb.dll
• %System%\NeTc.dll
• %System%\NeTv.dll
• %System%\NeTx.dll
• %System%\NeTz.dll
• %System%\Systom.exe
• %System%\sos.exe


Daarna creëert de worm de volgende registeringang, zodat de bedreiging opstart tijdens het opstarten van het besturingssysteem:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crsss" = "C:\WINDOWS\system32\Systom.exe"

Het virus verandert daarna de volgende registeringang:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

De worm creëert tevens de volgende registeringangen:
• HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
• HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate\"DisableWindowsUpdateAccess" = "1"
• HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
• HKEY_USERS\S-1-5-21-1150637735-552541835-915212665-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"

De worm maakt daarna verbinding met de volgende websites:

• [http://]www.ip127.cn/lm/xz/[REMOVED]
• [http://]www.xinyouyu.cn/xxx/[REMOVED]
• [http://]www.ip127.cn/lm/xz/[REMOVED]
• [http://]www.ip127.cn/lm/xz/tj.[REMOVED]


Daarna verwijdert de worm alle aanwezige .GHO bestanden op de getroffen computer.

De worm kopieert daarna zichzelf naar verwijderbare schijven alsof het de volgende bestanden betreft:
• %DriveLetter%\sos.exe
• %DriveLetter%\Systom.exe

Daarna creëert het virus het volgende bestand zodat de code wordt uitgevoerd, wanneer de verwijderbare schijf aan een andere computer wordt toegevoegd:

%DriveLetter%\auToRun.inf

De worm voegt de volgende

De worm kent tevens de hierboven genoemde