Index
o Homepage
o Links
o Services
o Yaha
Virus
Onderstaande
menupunten openen in een nieuw venster.
o Forum
o Gastenboek
o Nieuwsbrief
o Nieuws-systeem
o Reactie-formulier
|
Yaha.E is een mass-mailer internetworm die zich
verspreidt via e-mail.
Het virus is afkomstig uit India.
Het virus wordt geactiveerd door het bijlagebestand te openen, of
automatisch indien gebruikers geen Microsoft-patches tbv.
"Incorrect MIME-header" hebben geïnstalleerd. (zie hieronder)
Het virus installeert zich vervolgens op het systeem en verstuurt
zichzelf naar alle contactpersonen die het vindt in het adressenboek van
de volgende programma`s:
- Microsoft Windows (.WAB)
- MSN Messenger
- Yahoo pager list
- ICQ
- en overige adressen die het vindt in bestanden waarvan de extensie
begint met .ht (bijvoorbeeld .htm of .html)
Het virus verstuurt zichzelf door onder wisselende naamstellingen van de
onderwerpaanduiding als de tekst van het bericht. Het bestand waarin het
virus zit verpakt is altijd 25.619 byte groot. Het virus tracht
geinstalleerde firewall en AV-software uit te schakelen. Op bepaalde
systemen slaagt het virus erin om ervoor te zorgen dat bepaalde
programma`s niet kunnen starten.
Afhankelijk van de naam van de Windows "prullenbak" plaats het
virus zich op deze locatie, of anders in de standaard Windows directorie
(meestal c:\windows). De naamstelling van dit bestand wisselt en wordt
samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is
altijd .dll.
Mogelijke naamstelling: 64538920.dll
Eigenschappen van het e-mailtje:
-Onderwerp: [continue wisselend]
-Tekst van het bericht: [continue wisselend]
[Maar veel van de Yaha.E mailtjes bevatten een eerste alinea die luidt:]
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
-Naam bijlagebestand: Dit bestand is 25,619 byte groot.
1e deel van de naam is of/of:
[Al dan niet met FW: (forward) er voorgeplaatst]
checkfriends
dailyreport
darm
friends
friends4u
friendscr
friendsearch
frienship4u
FRUNLOG
goldfish
lbiodata
love
lovefinder
loveletter
loversgang
lovescr
mountan
New relations to check
New WordPad Document
ontslagwerf
passion
rampen in steden in de 14 eeuw
report
resume
rishtha
screensaver4u
shakingfriends
shakingfriendship
tHiZz
tHiZz iZz FroM me §t@ñ tHa EuRO
truelovers
Wachtwoorden enzo...
weeklyreport
De 1e extensie luidt of/of:
.doc
.mp3
.xls
.wav
.txt
.jpg
.gif
.dat
.bmp
.htm
.mpg
.mdb
.zip
De eindextensie is of/of:
.pif
.bat
.scr
Voorbeeld:
loveletter.txt.bat
|
|
-Installeer preventief de juiste patches van
Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in
staat is om zichzelf te activeren en door te sturen. Zie Windows-Update,
hieronder.
Herkenning van besmetting:
-Trillen/bewegen van uw Windows-desktop.
-Weergave van een aantal tekst-vensters hiervan zijn de volgende teksten
bekend:
-U r so cute today #!#!
-True Love never ends
-I like U very much!!!
-U r My Best Friend
1. Bestand(en):
Aanwezigheid van het volgende bestand op uw systeem:
Afhankelijk van de naam van de Windows "prullenbak" plaats het
virus zich op deze locatie, of anders in de standaard Windows directorie
(meestal c:\windows). De naamstelling van dit bestand wisselt en wordt
samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is
altijd .dll.
Mogelijke naamstelling: 64538920.dll
2. Registry:
In de sleutel:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command\
Wordt een verwijzing gemaakt naar "bestandsnaam, zie 1".
[Dit zorgt ervoor dat het virus iedere keer na het opstarten van Windows
wordt geactiveerd.]
|
|
Optimaal verwijderen bestaat uit 2 stappen.
1a. Update uw antivirussoftware.
1b. Verwijder het virus met uw ge-update AV-software EN/OF via een
online tool of scanner.
Het Yaha verwijderingsprogramma van Bifdefender kunt u direct vanaf deze
locatie downloaden klik hier.
let wel: na de scan vraagt dit programma om een emailadres, wilt u dit
niet afgeven: Kies tegelijk [crtl-alt-del] en kies "bitdefender"
binnen het taak-proces en sluit deze af.
Online tools & scanners
Voor een overzicht van tools en scanners. klikt
u hier.
zie voor de tools onder "antivirus-verwijderingstools"
zie voor de scanners onder "check online op.."
2. Pas de registry van Windows aan, zie hieronder.
Aanpassen van de registry:
Yaha.E tast de registryfunctie aan, daarom dient u eerst regedit.exe om
te zetten in regedit.com
Ga naar "start" -> "uitvoeren / run"
type in: copy regedit.exe regedit.com [enter]
type in: start regedit.com [enter]
Vervolgens: Ga naar de waarde:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Je ziet dan een mappenstructuur die eindigt in de geopende map "command".
(Of kies CTRL-F en zoek op de naam "command".
(Controleer vervolgens of je in de bovenstaande mappenstructuur zit!)
Deze selecteer je.
Kies vervolgens in het rechterpaneel de waarde "standaard"
Indien u hier een verwijzing vindt naar het virusbestand (zie
"preventie maatregelen : 1") dan heeft het virus deze dus
aangepast en dient u onderstaande stappen uit te voeren!
Klik met rechtermuisknop op dit icoon en kies "wijzigen".
Pas vervolgens de waardegegevens aan, type in ["%1" %*].
Kies [ok].
De standaardwaarde in de commandsleutel is nu veranderd in:
""%1" %*"
Start de PC opnieuw op en voer vervolgens met uw ge-update AV-software
een volledige systeemscanuit, zet hierbij ook de scan op verborgen
bestanden aan. Lees evt. hiervoor de helpfunctie van uw av-pakket.
|