Zoeken:               HOME | NIEUWS | TOOLS | LINKS | FAQ | NIEUWSBRIEF | SHOP

    W32.Kwbot.S.Worm@mm

Aliassen: Backdoor.IRCBot.gen [KAV]

Eigenschappen

Het lijkt bijna in de mode te zijn om virussen te verspreiden die een DOS aanval (Denial Of Service) uit kunnen voeren, want deze nieuwe variant van KwBot is er ook zo één.

Het virus verspreidt zich zowel via e-mail als via het netwerk van Kazaa. Voor de verspreiding via e-mail maakt het virus gebruik van een bijlage bestand wat 'app.exe' heet en via het netwerk van Kazaa kan het virus zich verstoppen in allerlei verschillende programma bestanden. Het lijkt dan om een bepaald programma te gaan, maar in werkelijkheid ben je dan een virus aan het downloaden wat actief zal worden op het moment dat je het bestand zult openen.

Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand 'syscfg32.exe' in de standaard System map van Windows. Dit zal onder Windows XP de map windows\system32 zijn, onder Windows 2000 en NT zal het om de map winnt/system32 gaan en onder Windows 95, 98 en Me zal het om de map windows\system gaan.


Verwijder instructie's

1 - Zorg er voor dat je virusscanner up to date is en zo staat ingesteld dat hij in alle bestanden zoekt.

2 - Zet de pc eerst voor minimaal 30 seconden helemaal uit en let er op dat hij dan echt uit staat en niet in de 'stand by' stand blijft staan. Start de pc daarna op in de veilige modus in het geval van Windows 95, 98 en Me of beëindigde taak van het bestand onder Windows NT, 2000 en XP door gebruik te maken van Taakbeheer. Dit kun je openen door de toetsen CTRL+ALT+DEL in te drukken.

3A - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden.
  B - In het geval van Windows Me of Windows XP is het mogelijk dat het virus wordt aangetroffen in de zogenaamde 'restore map'. Als dat het geval is kun je hier klikken voor de verwijderings instructies.
  C - Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!! Uiteraard zul je in dit geval eerst de online scan uit moeten voeren en pas daarna in de veilige modus de geïnfecteerde bestanden moeten verwijderen.

4 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen. Let op: Maak geen fouten bij het werken in het register. Dit is het 'hart' van je pc en als daar dingen verkeerd gedaan worden is het mogelijk dat de pc niet (goed) meer werkt. Je moet op zoek naar de sleutel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

en door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten. Verwijder daar de waarde die verwijst naar het bestand 'syscfg32.exe'. Dit kun je doen door de betreffende waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'. Daarna moet je naar de sleutel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

en daar moet je ook de waarde verwijderen die verwijst naar 'syscfg32.exe'. Sluit dan de register editor af.

5 - Sluit alle programma's af, start de pc opnieuw op en draai dan een volledige systeemscan om te controleren of het virus ook daadwerkelijk is verwijderd.


Maatregelen

1 - Zorg er voor dat je virusscanner up to date is.

2 - Scan alle bestanden die je zomaar van iemand krijgt of gedownload hebt van het internet voor je ze gaat openen.

3 - Let op met het openen van mail, en zeker als die de bijlage 'app.exe' heeft. Verwijder in dat geval de mail ongelezen van het systeem.

Bron: Symantec



Copyright 2006 Virushelp