Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Ahker.E@mm

Aliassen: Email-Worm.Win32.Anker.e [Kaspersky Lab], WORM_AHKER.E [Trend Micro]

Eigenschappen

Ahker is een virus wat zich verspreidt via e-mail en gedeelde netwerken als bijvoorbeeld Kazaa. De adressen die daarvoor gebruikt worden komen uit allerlei bestanden die op de geïnfecteerde pc gevonden worden. Eén van de eigenschappen van de mail is dat hij afkomstig LIJKT te zijn van de beveiligings afdeling van Symantec, Trend Micro of Microsoft. De bijlage zal in dit geval 'removal tool.zip' zijn. Daarnaast zal het virus zich verspreiden via netwerken als bijvoorbeeld Kazaa door een aantal kopieën van zichzelf in de gedeelde map van een dergelijk programma te plaatsen.

Het virus zal het Hosts bestand aanpassen zodat je bepaalde pagina's niet meer kunt bezoeken. Dit zal gaan om pagina's van antivirusbedrijven zodat je geen informatie meer op kunt vragen en je virusscanner niet meer kunt updaten. Daarnaast zal het virus de beveiligings instellingen lager instellen en voorkomen dat bepaalde programma's gebruikt kunnen worden. De geïnfecteerde pc zal ook ingezet worden bij een dDOS aanval tegen een pagina van Microsoft.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'bazzi.exe' in de standaard Windows map. In de meeste gevallen zal dit de map c:\windows zijn, maar c:\winnt is ook mogelijk.


Verwijder instructie's

1 - Het bestand hal.dll moet hersteld worden. Dit kun je doen door de MS-DOS prompt te openen en vervolgens het commando

sfc /scannow

te typen. Druk dan op 'enter' en plaats de originele Windows cd-rom als de pc daarom vraagt.

2 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen uit zetten.

3 - Start de pc op in de veilige modus.

4 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 windowsupdate.microsoft.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

5 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is.

6 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

7 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de volgende waarde:

"Generic Host Process for Win32 Services" = "bazzi.exe"

Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Ga dan naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

en verwijder daar de waarde

"W32 Service" = "bazzi.exe"

Verwijder vervolgens de waarde

"EnableFirewall" = "1"

uit de sleutels

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\DomainProfile
HKEY_CURRENT_USER\Software\Policies\Microsoft\WindowsFirewall\StandardProfile

Daarna moet je op zoek naar de sleutels

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

en

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

om daar de waarden

"AUOptions" = "1"

en

"NoAutoUpdate" = "1"

te verwijderen. Vervolgens moet je op zoek naar de sleutels

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\security center
HKEY_CURRENT_USER\Software\Microsoft\security center

om daar de waarden

"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"UpdatesDisableNotify" = "1"

te verwijderen. Daarna moet je naar de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer

om daar de waarden

"DisallowRun" = "1"

en

"NoRun" = "1"

te verwijderen. Ga daarna naar de sleutels

HKEY_CURRENT_USER\Software\Microsoft\Windows_NT\CurrentVersion\systemrestore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\systemrestore

om daar de waarde

"DisableSR" = "1"

te verwijderen. Verwijder daarna de waarden

"DisableRegistryTools" = "0"

en

"DisableTaskMgr" = "1"

uit de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Daarna moet je in de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

de volgende waarden verwijderen:

"1" = "regedit.exe"
"2" = "notepad.exe"
"3" = "wordpad.exe"
"4" = "write.exe"
"5" = "wuauclt.exe"
"6" = "wupdmgr.exe"
"7" = "msnmsgr.exe"
"8" = "LUALL.exe"
"9" = "AUPDATE.exe"
"10" = "ALUNOTIFY.exe"
"11" = "micho.exe"
"12" = "bado.exe"
"13" = "DAP.exe"

Daarna moet je uit de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\windowsupdate\auto update\

de waarde verwijderen die verwijst naar het bestand 'bazzi.exe'. In de sleutel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\ComputerName

moet je vervolgens de waarde

"computername" = "Agent Hacker"

verwijderen. Vervolgens moet je op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\speedBit\Download Accelerator

om daar de waarde te verijderen die verwijst naar

"BrowserIntegration" = "0"

In de sleutel

HKEY_CLASSES_ROOT\txtfile\shell\open\command

dient de waarde

"(Standaard)" = "bazzi.exe %1"

verwijderd te worden. Verwijder daarna uit de sleutel

HKEY_CLASSES_ROOT\Identities

de waarden

"Last Username" = "Main Identity"
"Last User ID" = "{7DD94F27-4EFA-46C1-8546-45CE0347F328}"
"Identity Ordinal" = "2"

In de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Internet_Account_Manager\Accounts

moet je vervolgens de waarden

"AssociatedID" = "27 4F D9 7D FA 4E C1 46"

en

"Server ID" = "8"

verwijderen. Daarna moet je nog op zoek naar de sleutel

HKEY_CURRENT_USER\Software\Imesh\Client\LocalContent

(indien aanwezig) om daar de waarde

"Dir0" = "012345:%Program Files%\Ahker.E"

te verwijderen. De volgende sleutel die je op moet zoeken is de sleutel

HKEY_CURRENT_USER\Software\Kazaa\LocalContent

(indien aanwezig) om daar de waarden

"Dir0" = "%ProgramFiles%\Ahker.E"
"DisableSharing" = "0"
"DownloadDir" = "%ProgramFiles%\Ahker.E"

te verwijderen. Als laatste moet je dan nog op zoek naar de sleutel

HKEY_CURRENT_USER\Software\Kazaa\Transfer

(indien aanwezig) om daar de waarde

"D1Dir0" = "%Program Files%\Ahker.E"

te verwijderen.

8 - Sluit daarna de register editor en de eventueel andere open staande programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk verwijderd is.


Maatregelen

1 - Zorg er voor dat je virusscanner up to date is zodat hij ook dit virus kan herkennen.

2 - Open geen mail die je niet verwacht, maar verwijder die ongelezen van het systeem.

3 - Scan alle bestanden die je zomaar van iemand gekregen hebt of gedownload hebt van het internet met een up to date virusscanner voor je ze gaat gebruiken.

Bron: Symantec, Trend Micro



Copyright 2006 Virushelp