Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Chod@mm

Aliassen: Win32.Nochod.A [Computer Associates], Backdoor.Win32.VB.aam [Kaspersky Lab], W32/NoChod@MM [McAfee], WORM_CHOD.A [Trend Micro]

Eigenschappen

Chod is een virus wat zich met name verspreidt via e-mail en afkomstig LIJKT te zijn van Microsoft, Trend Micro of Symantec. De mail doet zich voor als rapport dat een andere mail niet afgeleverd kon worden en de originele mail zou dan in de bijlage zitten. Door deze te openen zie je uiteraard niet de mail die je verzonden zou hebben, maar infecteer je het systeem met het virus. Naast de verspreiding via e-mail kan het virus zich ook via het MSN netwerk verspreiden.

Het virus zal het Hosts bestand aanpassen waardoor bijvoorbeeld pagina's van antivirusbedrijven niet meer te bezoeken zijn. Daarnaast zal het virus er voor zorgen dat bepaalde processen die te maken hebben met de beveiliging van je pc stop gezet worden. Er zal ook een trojan geïnstalleerd worden op het systeem waardoor anderen verbinding met je pc kunnen maken.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'cpu.dll' in de standaard System map van Windows. In het geval van Windows XP zal het om de map c:\windows\system32 gaan. Bij Windows 95, 98 en Me zal het om de map c:\windows\system gaan, terwijl het in het geval van Windows 2000 en NT om de map c:\winnt\system32 zal gaan.


Verwijder instructie's

1 - Gebruikers van Windows Me en Windows XP moeten de optie Systeem Herstellen (tijdelijk) uit zetten.

2 - Start de pc op in de veilige modus.

3 - Het hosts bestand moet worden aangepast. Dit kun je doen door het op te zoeken met de Windows Verkenner, en je kunt het vinden in de map c:\windows. Klik het bestand aan met de rechter muisknop en klik dan op 'openen met' en selecteer vervolgens het programma Kladblok of Notepad. Verwijder dan de volgende regels:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
fastclick.net
ftp.f-secure.com
ftp.sophos.com
grisoft.com
housecall.trendmicro.com
kaspersky.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
merijn.org
my-etrust.com
nai.com
networkassociates.com
pandasoftware.com
phpbb.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spywareinfo.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.com
www.avp.com
www.awaps.net
www.ca.com
www.f-secure.com
www.fastclick.net
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.merijn.org
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.phpbb.com
www.sophos.com
www.spywareinfo.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.zonelabs.com
www3.ca.com
zonelabs.com

LET OP: De regel waar '127.0.0.1 local host' bij staat mag niet verwijderd worden.

4 - Start de pc op de normale manier op en zorg er voor dat je virusscanner zo veel mogelijk up to date is.

5 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht er een actief bestand gevonden worden dan is het mogelijk dat dit niet verwijderd kan worden door je virusscanner en moet je de pc nogmaals in de veilige modus opstarten.

6 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen.

Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de volgende waarde

"Csrss" = "System map\[willekeurige map]\csrss.exe"

Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Daarna moet je op zoek naar de sleutels

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

en

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Run

om daar dezelfde waarde te verwijderen. Verwijder vervolgens uit de sleutels

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion

de waarden

"Load" = "System map\[willekeurige map]\csrss.exe"
"Run" = "System map\[willekeurige map]\csrss.exe"

Daarna moet je in de sleutels

HKEY_CLASSES_ROOT\Chode

en

HKEY_LOCAL_MACHINE\Software\Classes\Chode

de waarde

"Installed" = "1"

verwijderen. Als één na laatste moet je op zoek naar de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

om daar de waarden

"DisableRegistryTools" = "1"

en

"NoAdminPage" = "1"

te verwijderen. De laatste stap is het opzoeken van de sleutel

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

om daar de waarden

"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"

te verwijderen. Sluit vervolgens de register editor.

7 - Het bestand 'win.ini' moet in het geval van Windows 95/98/Me worden aangepast. Gebruikers van Windows Me moeten wel eerst de map c:\windows\recent leeg maken omdat het mogelijk is dat daar een kopie van het bestand in staat.
Als je dit gedaan hebt kun je beginnen met het aanpassen van het bestand: Klik hiervoor op 'start' en daarna op 'uitvoeren'. Type dan in de balk

edit c:\windows\win.ini

en druk dan op 'enter' of klik op 'ok'. Er zal dan een DOS scherm openen. Let op: In de regel gaan we er vanuit dat Windows op de standaard manier is geïnstalleerd, dus als je Windows op een andere harde schijf (bijvoorbeeld D) hebt staan dan moet je dat uiteraard aanpassen. In het bestand kan de volgende regel staan:

Run = System map\csrss.exe

Deze regel moet je zo aanpassen dat alles na het = teken verwijderd wordt en het er dus zo

Run =

uit komt te zien. Ook is het mogelijk dat de regel

Load = System map\csrss.exe

moet worden aangepast en ook in dit geval moet je alles na het = teken verwijderen zodat de regel er zo

Load =

uit komt te zien. Als je dat gedaan hebt klik je op 'bestand' en daarna op 'opslaan' en daarna klik je weer op 'bestand' maar daarna op 'afsluiten'.

8 - Start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg dat je virusscanner zo veel mogelijk up to date is.

2 - Open niet zomaar klakkeloos elke mail maar verwijder mail die je niet verwacht ongelezen van het systeem.

3 - Klik niet zomaar op elke link en open niet zomaar elka bestand wat je via MSN krijgt toegezonden.

Bron: McAfee, Symantec, Trend Micro



Copyright 2006 Virushelp