nieuw msn virus!!

[Yannick]

er is een nieuw msn virus uitgebroken!!

het gaat om 2 winrar bestandjes met de volgende naam

C005_jpg en G038_jpg accepteer deze niet!!

heb je hem wel... doe dan het volgende

Configuratie scherm --> software --> naam van het paketje verwijderen zo kom je er vanaf

[be_dup]

en welk type virus is dit precies, en wat zijn de mogelijke gevolgen?

of heb je daar geen idee vn?

more info lz... thnx a bunch,

your pal,

den eddy

[Yannick]

msn word onbruikbaar naar mijn weten...

verder weet ik het (gelukkig xD) niet

[Dark_Basics]

Ik heb wat opzoekwerk gedaan voor jullie, altijd handig om te weten natuurlijk

Heb vlug even een samenvatting getypt.

G038_jpg.zip, IRCBot.aex

Algemeen :

De IRCBot variant probeert gebruikers via onderstaande zinnen te verleiden tot het openen van het G038_jpg.zip bestand. In het archief bevindt zich het slim genoemde bestand "www.G038_jpg-msn.com".

Eenmaal actief opent de bot een achterdeur. De laatste tijd verschijnen er steeds meer MSN wormen die meertalig zijn.

Deze variant beschikt ook over Turkse, Spaanse, Italiaanse, Duitse, Franse en Engelse "openingszinnen". Aangezien de berichten afkomstig zijn van mensen in de vriendenlijst, verwachten veel gebruikers niet dat ze met malware geïnfecteerd worden.

Bestandsnaam : G028_jpg.zip, in de zip file zit er een .com bestand namelijk "www.G038_jpg-msn.com", zoals bovenstaande vermeld is het een variant op Backdoor.Win32.IRCBot.aex

Technische Details :

G038_jpg.zip (www.G038_jpg-msn.com)

Size: 435,200 bytes

MD5 hash: 3ede1801994c59b35b96aac2b13852d1

Detection: Backdoor.Win32.IRCBot.aex (Kaspersky)

Details:

(1) File Drops:

%Windows%\G038_jpg.zip
%Windows%\CDSpeed.exe

(2) Toevoegen registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"CDSpeed.exe" = "%Windows%\CDSpeed.exe"

Aanpassen registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCDisable"=dword:ffffff9d
"SFCScan"=dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
"WaitToKillServiceTimeout"="7000"

(3) Past sommige registry keys en systeem bestanden aan namelijk ftp.exe, tftp.exe, tcpip.sys.

(4) Zend MSN boodschappen:

dessa egentligen trevliga: P
gyckel mte se dig detta fotografera
du fick se detta dess galet 
estes s realmente agradeis 
wow voc?viu este?
como voc?gosta de me nesta foto
voc?comeu ver este seu assim engrado
Bu resimler nasil sence bir bakarmisin 
su komik resimlerime baksana 
bak 
Kiz kardesim bunlari sana yollamami sledi 
bu resimler space in nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos?divertente
come lo pensate osservi qui sguardo di lol
a questo controllo di distorsione di velocit?questo fuori
el lol mi hermana quisiera que le enviara este bum de foto
vengo de fi este foto bum
ey i que hace el bum de foto!
Si vea el loL del em
l tipo, me acepta por favor su solamente bum de foto: (!
lol meine Schwester wscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he mhten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien lol
lol he hoe vind je me hier op
eeeh c mes tof 
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le lol ceci est dre
ma soeur a voulu que tu regarde ca
daut de la reproduction sonore avez-vous vu ceci ?
looooook 
loooooooooooool 
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this 

Verwijderen (Manueel):

1. Verwijder registry key :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CDSpeed.exe"="%Windows%\CDSpeed.exe"

2. Start Windows opnieuw op

3. Verwijder virus bestanden :

%Windows%\G038_jpg.zip
%Windows%\CDSpeed.exe

4. Kopieer volgende bestanden :

kopieer %System%\microsoft\backup.tftp naar:

%System%\tftp.exe
%System%\dllcache\tftp.exe

kopieer %System%\microsoft\backup.ftp naar:

%System%\ftp.exe
%System%\dllcache\ftp.exe

5. Voer nieuwe registry data in :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCDisable"=dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
"WaitToKillServiceTimeout"="20000"

delete "SFCScan":

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCScan"