W32.Lorsis.Worm
Aliassen:
Eigenschappen
Dit virus verspreidt zich via het netwerk van Kazaa door zich voor te doen als bestand één van de volgende bestanden:
Cracks.zip .exe
CristinaAguilera.Jpg .exe
Dreaming of You.doc .exe
HackersBook.doc .exe
Hacking tools.zip .exe
Norton Antivirus 2003 Crack.zip .exe
Readme.doc .exe
SilviaSaintDoubleAnalAction.doc .exe
Let er op dat de extensie .exe niet zichtbaar is omdat er 15 spaties staan tussen de twee extensies en het lijkt op die manier dus om een normaal bestand te gaan.
Het virus zal pas echt actief zijn in de maand februari en van 6 t/m 31 december. In deze perioden zal het virus allerlei (systeem)bestanden van de pc verwijderen zodat deze niet (goed) meer zal functioneren. Een eventuele besmetting is te herkennen aan de aanwezigheid van het bestand C:\Windows\System\iexplorer.exe.
Verwijder instructie's
1 - Zorg er voor dat je virusscanner up to date is en dat hij zo staat ingesteld dat hij in alle bestanden zoekt.
2 - Gebruikers van Windows Me en Windows XP moeten (tijdelijk) de optie Systeem Herstellen uit zetten. Hoe dat precies in zijn werk gaat kun je lezen door hier te klikken.
3 - Draai een volledige systeemscan en verwijder de geïnfecteerde bestanden die gevonden worden. Mocht een bestand niet verwijderd kunnen worden, start de pc dan op in de veilige modus en start de virusscanner dan door op Start en Programma's te klikken.
Mocht je geen virusscanner hebben dan kun je een gratis online virusscan uitvoeren bij BitDefender of Trend Micro. Schrijf in dat geval de namen op van de geïnfecteerde bestanden en verwijder ze handmatig door ze op te zoeken met behulp van de Windows Verkenner. Klik een bestand daar voor aan met de rechter muisknop en klik dan op 'verwijderen'. Daarna moet je niet vergeten om de prullenbak leeg te maken!!
4 - Pas het register aan door op 'start' te klikken en daarna op 'uitvoeren'. Type dan in de balk het woord 'regedit' (zonder de ' tekens) en druk dan op 'enter'. De register editor zal dan openen en je moet op zoek naar de sleutel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Door de sleutel aan te klikken met de linker muisknop kun je aan de rechterkant van het scherm de waarden zien die in de sleutel zitten en je moet dan de waarde verwijderen die verwijst naar het bestand 'iexplorer.exe'. Dit kun je doen door de waarde aan te klikken met de rechter muisknop en daarna te klikken op 'verwijderen'.
Ga dan op zoek naar de sleutel
HKEY_CURRENT_USER
en verwijder daar de waarde die verwijst naar 'Copyright'.
Als laatste moet je op zoek naar de sleutel
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
en daar moet je dan de waarde die verwijst naar 'Start Page' en 'Window title' verwijderen. Sluit dan de register editor.
5 - Pas het bestand system.ini aan. Voor gebruikers van Windows Me is het belangrijk dat ze eerst de map windows\recent leeg maken omdat daar een kopie van het bestand in kan zitten en deze dient verwijderd te worden voor er stappen worden ondernomen.
Klik dan op 'start' en daarna op 'uitvoeren' en type dan in de balk 'edit c:\windows\system.ini' (zonder de ' tekens) en druk dan op 'enter'. Een DOS scherm zal dan openen. Kijk dan in het 'boot' gedeelte van het bestand bij de regel 'shell ='. Achter het = teken mag alleen 'explorer.exe' staan en verder helemaal niets. Mocht er nog iets bij staan als 'iexplorer.exe' dan moet je dat verwijderen. Klik hierna op 'bestand' en daarna op 'opslaan' en daarna weer op 'bestand' en dan op 'afsluiten'.
6 - Sluit alle programma's af, start de pc opnieuw op en draai een volledige systeemscan om te controleren of het virus daadwerkelijk is verwijderd.
Maatregelen
De beste maatregel is natuurlijk om geen bestanden via Kazaa te downloaden, maar door er voor te zorgen dat je virusscanner up to date is en elk bestand te scannen voor je het gaat openen kun je ook voorkomen dat dit virus je pc zal infecteren.
Copyright 2006 Virushelp
| |
