VirusAlert.nl logo
  28 april 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Naam (type):
W32.Salga.b@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
24 januari 2005
Risico:
Laag
Bron:
(c) 2005, VirusAlert
Eigenschappen:
Salga is een internetworm wat zichzelf doorstuurt naar alle e-mail adressen gevonden in het adressenboek van MS Outlook. Het probeert zich onder een aantrekkelijke naamstelling te plaatsen in gedeelde directories (o.a. Kazaa) zodat gebruikers van dit netwerk het schadelijke bestand (per ongeluk) zullen downloaden.

Payload/Schade

* Toont de volgende tekst in een venster:

Titel: system error
Bericht: error in winzip due to PARPAROSA tsunami

* Verandert betanden in een .exe extentie, bijvoorbeeld het bestand abc.txt wordt abc.txt.exe.

* Overschrijft de volgende bestanden zodat de het virus zichzelf kan verspreiden doormiddel van IRC:

C:\program files\mIRC\script.ini
C:\program files\mIRC32\script.ini

* Creeert de map \Program Files\Kazaa\My Shared Folder en kopieert zichzelf in deze map als het volgende:

learn 3dstoudio in 3 days.zip.........exe
new sex .zip.........exe
anti hackers.zip.........exe
antibiotics side effects.zip.........exe
aol2005 frexe and new.zip.........exe
best and strong firewall in 2004.zip.........exe
best anti virus in 2004 (new&frexe).zip........exe
best xxl movies in 2004 .zip.........exe
big one in the world.zip.........exe
Britny spears and Madona sex viedio in 24 minnly.zip.................exe
Britny Spears sex pics.zip.........exe
bundes lega.zip.........exe
Cat attacks child.zip.........exe
cocacola new chat prog.zip.........exe
Comedy video.zip.........exe
computer programs in 2020.zip.........exe
Dracola realy appears in japan.zip.........exe
FBI secrets ( how can them catch hekers.zip........exe
fear FACTOR FLASH MOVEIS.zip.........exe
FlashMovie.zip.........exe
Game_Crack_Genie_v0.5.zip.........exe
hard core new films.zip.........exe
i robot 2nd part .zip.........exe
Iraq war.zip.................exe
last messengers versions.zip.................exe
learn allvisual basic projects.zip.........exe
LEARN autocade IN 3 days.zip.........exe
learn photo shop in 3 days only.zip................exe
lesbien chat frexe.zip.........exe
MacroMedia Flash 6.0.zip.........exe
MAGIC_ programs.zip.........exe
mirc_antworms.zip.........exe
ms games.zip.........exe
MsDos_PortScanner.zip.........exe
msn 9.00+its plus frexe and new.zip...............exe
NEW abu gharib secrets movies and photos.zip........exe
new cupied photos.zip.................exe
new film_alond shwanzinger 2004.zip.........ex
new girls emails with there phone numbers.zip................exe
news paper(clot).zip.........exe
norton 2005+its crack (frexe&new).zip.........exe
office 2005 frexe &new.zip.........exe
pebsi with mice heheheheh.zip.........exe
photoshop LAST VER 2005.zip.........exe
sex animal photos.zip.........exe
Shockwave Flash.zip.........exe
Simpsons Episode (#10)..zip.........exe
songs of sexy films.zip.........exe
ssPamela_Anderson_(Naked Screxen Saver).scr........exe
ssParis_Hilton_(Nude Screxen Saver).scr............exe
striper brests program v 1.7.00.zip.exe
strong fire wall allover the world with thelasupdate of norton.zip.................exe
SWF.zip.........exe
SWF_Movie.zip.........exe
tourism IN TURKY FRexe.zip.........exe
TOY 2010 new film of me.zip.........exe
Tutorial Video on Hacking.........exe
UK DENGEROUS SECRETS secrets.zip.........exe
USA discvered water in mars yesterday.doc.zip................exe
viagra frexe only gift 4 u in 2004.zip.........xe
Virtual_3D_Pinball.zip.........exe
virus cleaner 2005 (frexe).zip.........exe
water in mars exclusion.zip.........exe
Win32System_Tweaks_v1.0.zip.........exe
Wmplayer_Celebrity_Skins.zip.........exe
wwf_TRIBLE H.zip.........exe
XXX video.zip.........exe
yahoo2005 frexe & new.zip.........exe
yaser arafat death secrets.zip.........exe
[SWF] - Harry Potter and the philosophers ston.zip.........exe
[SWF] - Swordfish.........exe
[SWF] - The Fast and the Furious.zip.........exe

* Kopieert zichzelf naar de map met het woord "shar" in de map naam:

Britny spears and Madona sex viedio in 24 minnly.zip.................exe
Iraq war.zip.................exe
last messengers versions.zip.................exe
learn photo shop in 3 days only.zip................exe
new cupied photos.zip.................exe
new girls emails with there phone numbers.zip................exe
strong fire wall allover the world with thelas update of norton.zip.................exe
USA discvered water in mars yesterday.doc.zip................exe

* Creeert een gedeelde map "magic_cam" ( C:\magic_cam.)

* Zend het volgende bericht naar de gebruikers:

Message from [name of infected computer] to [workgroup] on [time]:
hi welcome in our network you can see the new film of Brityny spears from the computer which shown it is very interesting film or see it also from shared folder <>

* Opent een venster met het domein originalicons.com

* Creeert een niet schadelijk tekst bestand alert.txt met de volgende inhoud:

your computer have been infected by:-
Egywormo[gen2]=w32.salga.b@mm
this is modefication version of salga.a worm
profile
aim of this just modification of salga.a
creation by XP10 VIRUS MASTER MR(PARPAROSA)+ MYDOOM WORM DESIGNER MR(HUSS)
thanx 4 DAWOUD,A7MEEDYE,WHITE FANG,SISQOO^^007 AND DR.BLACK PERSON AND MORE THX 4 MOB
contact us in

* Overschrijft het Host bestand met de volgende regels, deze regels blokkeren de toegang tot de websites.

127.0.0.1 xxl.com
127.0.0.1 www.xxl.com
127.0.0.1 sex.com
127.0.0.1 www.sex.com
127.0.0.1 89.com
127.0.0.1 www.89.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.macafee.com
127.0.0.1 macafee.com
127.0.0.1 liveupdate.symantecliveupdate.
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.macafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.macafee.com
127.0.0.1 dispatch.macafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.macafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 virusalert.nl
127.0.0.1 www.virusalert.nl
127.0.0.1 download.com
127.0.0.1 www.download.com

Eigenschappen e-mail bericht

Gebruikt Microsoft Outlook om zichzelf te verspreiden naar alle adressen dit het vind in het adres boek, het e-mail bericht heeft de volgende kenmerken:

Onderwerp: Yaser Arafat secrets
Bericht:
all secrets about Yaser Arafat in attachment

Onderwerp: Happy new year
Bericht:
this is my great gift 4 u,in 2005 see it in attachment

Onderwerp: All Abu gharib jail secrets in iraq
Bericht:
this all secrets about Abu gharib secrets movies & photos see it in attachment

Onderwerp: best 10 sex movies
Bericht:
in attachment u can see the best 10 movies in 2004

Onderwerp: Best 3 games in 2004
Bericht:
wat?? is the best 3 games in 2004 in attachment file you 'll find its with its crack and secret serial no (new&free)

Onderwerp: PARPAROSA party (free)
Bericht:
hi,happy new year... in attachment u can see movies of the best party in 2004 all over the world

Onderwerp: SHABAB NET presents
Bericht:
hi... welcome 4 u in shabab net world due to new year we present new magic cam which enables u to see all cam in all chat types whith out any
request!!(Dawoud MAGIC CAM)!!its free with its crack in attachment

Bijlage:
Britny spears marriage with Bnladen son.zip.exe
© VirusAlert schaal

Innovatie:  10
Besturing:  35
Logistiek:  15
Schade:  9

Schaal:  17/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Herkenning van besmetting:

Bestanden

* Creeert de volgende bestanden:

%Windir%\All Users\Desktop\magic
C:\magic_cam
C:\hard core hook from web
D:\hook all sex movies from webs
D:\secrets
E:\real sex telephones

* Kopieert zichzelf als het volgende:

%Windir%\acdsee demo.exe
%Windir%\system\system copy.exe
%Windir%\system32\egywormo[gen2].exe
%Windir%\All Users\Desktop\magic\sex photoes of monika.zip.exe
%Windir%\All Users\Start Menu\Programs\StartUp\salga.b.exe
%Windir%\Start Menu\mob xp10 net speeder.zip.exe
%Windir%\start menu\mob xp10 net speeder.zip.exe
%Windir%\start menu\programs\DR.BLACK PERSON.zip.exe
%Windir%\start menu\programs\DR.BLACK PERSON chat prog.zip.exe
C:\BEST 10 SEX MOVIES IN 2004.zip
C:\hard core hook from web\setup.zip.exe
C:\magic_cam\magic_cam.ZIP.EXE
C:\Program Files\Accessories\Nicole kidman.zip...............exe
C:\Program Files\mirc\Britny spears marriage with Bnladen son.zip.exe
C:\Program Files\mirc32\Britny spears marriage with Bnladen son.zip.exe
C:\Documents and Settings\All Users\DESKTOP\holywood stuff film.zip.exe
C:\Documents and Settings\All Users\Start Menu\white fang sex.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\sisqoo^^007 progs.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\sisqoo^^007 progs.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\a7meedye graphices maker.zip.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\salga.b.exe
D:\FUN.ZIP.EXE
D:\girlfriends emails.zip.exe
D:\hook all sex movies from webs\setup.zip.exe
E:\blood of fetch sex.zip.exe
E:\Messenger 9.00.ZIP.EXE
E:\real sex telephones\call from me.zip.exe

(c:\Windows\System bij Win95/98/Me & c:\Windows\System32 bij Win2000, XP en NT)

%Windir is C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000).

Registry

Creatie van de registry-sleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

Met de waarde:

"windows" = "%Windir%\system\system copy.exe"
"system xp" = "%Windir%\acdsee demo.exe"

Creatie van de registry-sleutels:

HKEY_CURRENT_USER\Software\Kazaa\Transfer\

Met de waarde:

"StartKazaa -SilentRun" = "C:\Program Files\Kazaa\My Shared Folder\Shared"

Verwijder instructies:
Tip
1a. Verwijder het virus met de gratis online scanner van McAfee, klik hier

==> Voor het gebruik van deze scanner wordt een pop-up geopend.
Gebruikt u bijv. Windows met Service Pack 2 dan moet u deze pop-up toestaan.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:
  • Bagageonline kortingscode: 30% Korting op uw bestelling Het bericht Bagageonline kortingscode verscheen eerst op VirusAlert Blog.
  • Albelli kortingscode: Elke maand een nieuwe kortingscode Het bericht Albelli kortingscode verscheen eerst op VirusAlert Blog.
  • New York Pizza kortingscode: voor een lekkere pizza deal Het bericht New York Pizza kortingscode verscheen eerst op VirusAlert Blog.
  • Greetz kortingscode: Korting op diverse cadeaus. Het bericht Greetz kortingscode verscheen eerst op VirusAlert Blog.
  • Douglas kortingscode: voor de lekkerste parfumerie Het bericht Douglas kortingscode verscheen eerst op VirusAlert Blog.
  • Vision Direct kortingscode: Korting op brillen & lenzen Het bericht Vision Direct kortingscode verscheen eerst op VirusAlert Blog.
  • Bitdefender kortingscode: Om Antivirus te kopen met korting! Het bericht Bitdefender kortingscode verscheen eerst op VirusAlert Blog.
  • 24Dealstore kortingscode: Elke dag tref je hier een nieuwe deal Het bericht 24Dealstore kortingscode verscheen eerst op VirusAlert Blog.

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS