Virus Update

[StRiDeR]

MSINFO32
MSIEXEC16
MSDOS
MSDM
MSCONFIG
MSCMAN
MSCCN32
MSCACHE
MSBLAST
MSBB
MSAPP
MRFLUX
MPFTRAY
MPFSERVICE
MPFAGENT
MOSTAT
MOOLIVE
MONITOR
MMOD
MINILOG
MGUI
MGHTML
MGAVRTE
MGAVRTCL
MFWENG3.02D30
MFW2EN
MFIN32
MD
MCVSSHLD
MCVSRTE
MCTOOL
MCSHIELD
MCMNHDLR
MCAGENT
MAPISVC32
LUSPT
LUINIT
LUCOMSERVER
LUAU
LSETUP
LORDPE
LOOKOUT
LOCKDOWN2000
LOCKDOWN
LOCALNET
LNETINFO
LDSCAN
LDPROMENU
LDPRO
LDNETMON
LAUNCHER
KILLPROCESSSETUP161
KERNEL32
KERIO-WRP-421-EN-WIN
KERIO-WRL-421-EN-WIN
KERIO-PF-213-EN-WIN
KEENVALUE
KAZZA
KAVPF
KAVPERS40ENG
KAVLITE40ENG
JEDI
JDBGMRG
JAMMER
ISTSVC
ISRV95
LOADER
MCUPDATE
LUALL
ISASS
IRIS
IPARMOR
IOMON98
INTREN
INTDEL
INIT
INFWIN
INFUS
INETLNFO
IFW2000
IFACE
IEXPLORER
IEDRIVER
IEDLL
IDLE
ICSUPPNT
ICMON
ICLOADNT
ICLOAD95
IBMAVSP
IBMASN
IAMSTATS
IAMSERV
IAMAPP
HXIUL
HXDL
HWPE
HTPATCH
HTLOG
HOTPATCH
HOTACTIO
HBSRV
HBINST
HACKTRACERSETUP
GUARDDOG
GUARD
GMT
GENERICS
GBPOLL
GBMENU
GATOR
FSMB32
FSMA32
FSM32
FSGK32
FSAV95
FSAV530WTBYB
FSAV530STBYB
FSAV32
FSAV
FSAA
FRW
FPROT
FP-WIN_TRIAL
FP-WIN
FNRB32
FLOWPROTECTOR
FIREWALL
FINDVIRU
FIH32
FCH32
FAST
FAMEH32
F-STOPW
F-PROT95
F-PROT
F-AGNT95
EXPLORE
EXPERT
EXE.AVXW
EXANTIVIRUS-CNET
EVPN
ETRUSTCIPE
ETHEREAL
ESPWATCH
ESCANV95
ESCANHNT
ICSUPP95
ESCANH95
ESAFE
ENT
EMSW
EFPEADM
ECENGINE
DVP95_0
DVP95
DSSAGENT
DRWEBUPW
DRWEB32
DRWATSON
DPPS2
DPFSETUP
DPF
DOORS
DLLREG
DLLCACHE
DIVX
DEPUTY
DEFWATCH
DEFSCANGUI
DEFALERT
DCOMX
DATEMANAGER
Claw95
CWNTDWMO
CWNB181
CV
CTRL
CPFNT206
CPF9X206
CPD
CONNECTIONMONITOR
CMON016
CMGRDIAN
CMESYS
CMD32
CLICK
CLEANPC
CLEANER3
CLEANER
CLEAN
CFINET32
CFINET
CFIADMIN
CFGWIZ
CFD
CDP
CCPXYSVC
CCEVTMGR
CCAPP
BVT
BUNDLE
BS120
BRASIL
BPC
BORG2
BOOTWARN
BOOTCONF
BLSS
BLACKICE
BLACKD
BISP
BIPCPEVALSETUP
BIPCP
BIDSERVER
BIDEF
BELT
BEAGLE
BD_PROFESSIONAL
BARGAINS
BACKWEB
CLAW95CF
CFIAUDIT
AVXQUAR
AVXMONITORNT
AVXMONITOR9X
AVWUPSRV
AVWUPD
AVWINNT
AVWIN95
AVSYNMGR
AVSCHED32
AVPTC32
AVPM
AVPDOS32
AVPCC
AVP32
AVP
AVNT
AVLTMAIN
AVKWCTl9
AVKSERVICE
AVKSERV
AVKPOP
AVGW
AVGUARD
AVGSERV9
AVGSERV
AVGNT
AVGCTRL
AVGCC32
AVE32
AVCONSOL
AU
ATWATCH
ATRO55EN
ATGUARD
ATCON
ARR
APVXDWIN
APLICA32
APIMONITOR
ANTS
ANTIVIRUS
ANTI-TROJAN
AMON
AMON9X
ALOGSERV
ALEVIR
ALERTSVC
AGENTW
AGENTSVR
ADVXDWIN
ADAWARE
ACKWIN32
AVWUPD32
AVPUPD
AUTOUPDATE
AUTOTRACE
AUTODOWN
AUPDATE
ATUPDATER

This worm may search for shared folders on the internet with weak passwords and copy itself into them.

A text file named HOSTS may also be dropped into C:\\drivers\etc\ which may contain a list of anti-virus and other security-related websites each bound to the IP loopback address of 127.0.0.1 which would effectively prevent access to these sites.
For example:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

W32/Agobot-JI can sniff HTTP, VULN, ICMP, FTP and IRC network traffic and
steal data from them.

The following vulnerabilities can also be exploited to aid propagation on
unpatched systems and manipulate registry keys:

Remote Procedure Call (RPC) vulnerability.
Distributed Component Object Model (DCOM) vulnerability.
RPC Locator vulnerability.
IIS5/WEBDAV Buffer Overflow vulnerability.

For more information about these Windows vulnerabilities, please refer to the following Microsoft Security Bulletins:

Microsoft Security Bulletin MS03-001
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-039.

W32/Agobot-JI can also polymorph on installation in order to evade detection and share / delete the admin$, ipc$ etc drives.

It can also test the available bandwidth by attempting to GET or POST data to the following websites:

'www.ryan1918.net'
'www.ryan1918.org'
'www.ryan1918.com'
'yahoo.co.jp'
'www.nifty.com'
'www.d1asia.com'
'www.st.lib.keio.ac.jp'
'www.lib.nthu.edu.tw'
'www.above.net'
'www.level3.com'
'nitro.ucsc.edu'
'www.burst.net'
'www.cogentco.com'
'www.rit.edu'
'www.nocster.com'
'www.verio.com'
'www.stanford.edu'
'www.xo.net'
'de.yahoo.com'
'www.belwue.de'
'www.switch.ch'
'www.1und1.de'
'verio.fr'
'www.utwente.nl'
'www.schlund.net'

W32/Agobot-JI can also be used to initiate denial-of-service (DoS) and distributed denial-of-service (DDoS) synflood / httpflood / fraggle / smurf etc attacks against remote systems.

This worm can steal the Windows Product ID and keys from several computer applications or games including:

AOL Instant Messenger
Battlefield 1942
Battlefield 1942: Secret Weapons Of WWII
Battlefield 1942: The Road To Rome
Battlefield 1942: Vietnam
Black and White
Call of Duty
Chrome
Command and Conquer: Generals
Command and Conquer: Generals: Zero Hour
Command and Conquer: Red Alert2
Command and Conquer: Tiberian Sun
Counter-Strike
FIFA 2002
FIFA 2003
Freedom Force
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
Industry Giant 2
IGI2: Covert Strike
James Bond 007: Nightfire
Legends of Might and Magic
Medal of Honor: Allied Assault
Medal of Honor: Allied Assault: Breakthrough
Medal of Honor: Allied Assault: Spearhead
Nascar Racing 2002
Nascar Racing 2003
NHL 2002
NHL 2003
Need For Speed: Hot Pursuit 2
Need For Speed: Underground
Neverwinter Nights
Ravenshield
Shogun Total War - Warlord Edition
Soldiers Of Anarchy
Soldier of Fortune II - Double Helix
The Gladiators
Unreal Tournament 2003
Unreal Tournament 2004
Windows Messenger

W32/Agobot-JI will delete the files CSRSS.EXE and CSRSRV.DLL from the Windows System32 folder (if they exist) upon execution.


Recovery

Please follow the instructions for removing worms.

[StRiDeR]

mengatasi virus di internet!-

anda tidak akan dapat mengelakkan apa jua bentuk yang akan berlaku masa akan datang... kecuali

SEDIAKAN PAYUNG SEBELUM HUJAN... .

Jadi ini adalah salah satu untuk mengatasi cara² dan langkah pencegahan virus di mana jua terutama sekali di INTERNET... .

DALAM jaringan Internet tidak ada sebuah peluru perak yang bisa menyelesaikan persoalan yang dihadapi, termasuk serangan virus-virus komputer seperti "Melissa" atau "I Love You", dan lainnya. Oleh karena, perkasa Internet yang sekarang dimiliki oleh para pelaku Internet, khususnya perusahaan-perusahaan, merupakan perkakas retroaktif bukan proaktif.

Mengatasi virus atau serangan lain terhadap jaringan Internet hanya bisa dilakukan setelah serangan itu terjadi, dan para webmaster dan konsultan keamanan komputer tidak bisa mengantisipasi kapan virus "Melissa" atau "Love Bug" lainnya muncul. Untuk mencegah terjadi serangan para hacker, orang-orang dengan kemampuan untuk membobol komputer, perusahaan-perusahaan besar mulai mempekerjakan para spesialis dengan kemampuan setara hacker ini tetapi berbeda mentalitas.

Ini memang menjadi persaingan semacam the good dan the bad. Mereka saling berlomba untuk saling menaklukkan. Para spesialis akan terus mengantisipasi apa yang akan dilakukan oleh para hacker. Namun, yang perlu diingat adalah jaringan Internet adalah medium terbuka yang dirancang dengan asumsi akan digunakan untuk tujuan yang tepat.

Jaringan Internet tidak dirancang dengan perlindungan terhadap satu persen orang-orang yang membuat program untuk kepuasan tersendiri. Serangan virus-virus Internet biasanya berdampak pada sistem e-mail perusahaan, tetapi jenis serangan denial-of-service dan sejenisnya berdampak lebih besar dan terkoordinasi menjadi ancaman elektronis yang bisa melumpuhkan infrastruktur komputer perusahaan.


***
ANCAMAN elektronik ini bisa digambarkan sebagai sebuah jaring laba-laba berukuran raksasa yang terdiri dari jaringan komputer yang terhubungkan ke seluruh dunia. Sebuah serangan virus elektronik secara relatif akan merusak sebagian kecil dari keseluruhan jaringan laba-laba ini. Seperti melempar sebuah batu ke jaring laba-laba.

Akan tetapi, kalau para hacker dan sejenisnya berkumpul menjadi sebuah kelompok dengan tujuan tertentu, membuat sebuah perangkat dan perkakas elektronik yang besar, maka serangan yang ditimbulkan akan menghapus sebagian besar jaringan Web dunia. Jenis serangan ini yang terjadi pada saat dilancarkan serangan denial-of-service belum lama ini.

Dalam serangan denial-of-service, para hacker menanam ko-de-kode tertentu ke dalam me-sin-mesin komputer untuk melancarkan sebuah serangan terpadu. Seperti tembakan meriam 21 kali dalam sebuah upacara militer kenegaraan. Memang membutuhkan berbagai skenario agar serangan ini bisa terjadi lagi, dan tidak akan mudah.

Namun, jalan teknologi yang sekarang ini tumbuh, lingkungan komunikasi menjadi semakin dekat dan acamannya menjadi semakin nyata. Memang tidak mudah untuk menentukan seberapa besar sebenarnya kerugian yang bisa ditimbulkan akibat serangan virus terhadap bisnis yang bergerak di jaringan Internet. Para analis memperkirakan serangan virus "Melissa" tahun lalu menyebabkan kerugian lebih dari satu milyar dollar AS.


***
SEJAUH ini, cara efektif yang bisa dilakukan untuk mencegah terjadinya serangan virus adalah dengan melakukan penyuluhan kepada para karyawan tentang permasalahan virus ini, dan menjelaskan apa yang bisa dilakukan untuk meminimalkan akibat dari serangan virus elektronik ini. Ada beberapa langkah yang bisa dilakukan untuk mencegah terjadinya kerugian dan kerusakan akibat serangan virus ini.

Langkah yang harus dilaku-kan antara lain pastikan seluruh sistem di dalam komputer di back up secara reguler. Selain itu, pastikan juga file data-data penting di back-up secara benar dan dilakukan secara reguler. Pastikan komputer-komputer yang digunakan dilengkapi dengan perangkat lunak anti-virus, termasuk di komputer notebook, desktop, workstation, dan server.

Pastikan perangkat lunak anti-virus yang digunakan tetap aktif pada semua sistem, dan dibuat mekanisme yang akan tetap mengaktifkan anti-virus ini. Selain itu, pastikan perangkat lunak anti-virus ini tetap up to date mengingkuti perkembangan yang terbaru.

Bagi perusahaan-perusahaan yang menggunakan jaringan komputer, pencegahan serangan virus juga dilakukan dengan memastikan seluruh karyawan mengetahui siapa yang harus dihubungi kalau ada pertanyaan tentang e-mail yang mencurigakan. Selain itu, pastikan sebuah perencanaan reaksi terhadap serangan virus dan siap mengaktifkan penanggulangannya

[StRiDeR]

IRC/Krisworm-C

Type

mIRC or pIRCH script worm

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the June 2004 (3.82) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received just one report of this worm from the wild.


Description

IRC/Krisworm-C is used in conjunction with an MIRC client to allow remote
access to the host computer.
Please refer to W32/Krisworm-A for more information


Recovery

Please follow the instructions for removing worms.

[StRiDeR]

W32/Lovgate-AB

Aliases

Lovegate-Z

Type

Win32 worm

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the July 2004 (3.83) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received no reports from users affected by this worm. However, we have issued this advisory following enquiries to our support department from customers.


Description

A detailed analysis will be published here shortly. Please check again later.

Recovery

Please follow the instructions for removing worms.

[atokENSEM]

StRiDeR said:

mengatasi virus di internet!-

anda tidak akan dapat mengelakkan apa jua bentuk yang akan berlaku masa akan datang... kecuali

SEDIAKAN PAYUNG SEBELUM HUJAN... .

Jadi ini adalah salah satu untuk mengatasi cara² dan langkah pencegahan virus di mana jua terutama sekali di INTERNET... .

DALAM jaringan Internet tidak ada sebuah peluru perak yang bisa menyelesaikan persoalan yang dihadapi, termasuk serangan virus-virus komputer seperti "Melissa" atau "I Love You", dan lainnya. Oleh karena, perkasa Internet yang sekarang dimiliki oleh para pelaku Internet, khususnya perusahaan-perusahaan, merupakan perkakas retroaktif bukan proaktif.

Mengatasi virus atau serangan lain terhadap jaringan Internet hanya bisa dilakukan setelah serangan itu terjadi, dan para webmaster dan konsultan keamanan komputer tidak bisa mengantisipasi kapan virus "Melissa" atau "Love Bug" lainnya muncul. Untuk mencegah terjadi serangan para hacker, orang-orang dengan kemampuan untuk membobol komputer, perusahaan-perusahaan besar mulai mempekerjakan para spesialis dengan kemampuan setara hacker ini tetapi berbeda mentalitas.

Ini memang menjadi persaingan semacam the good dan the bad. Mereka saling berlomba untuk saling menaklukkan. Para spesialis akan terus mengantisipasi apa yang akan dilakukan oleh para hacker. Namun, yang perlu diingat adalah jaringan Internet adalah medium terbuka yang dirancang dengan asumsi akan digunakan untuk tujuan yang tepat.

Jaringan Internet tidak dirancang dengan perlindungan terhadap satu persen orang-orang yang membuat program untuk kepuasan tersendiri. Serangan virus-virus Internet biasanya berdampak pada sistem e-mail perusahaan, tetapi jenis serangan denial-of-service dan sejenisnya berdampak lebih besar dan terkoordinasi menjadi ancaman elektronis yang bisa melumpuhkan infrastruktur komputer perusahaan.


***
ANCAMAN elektronik ini bisa digambarkan sebagai sebuah jaring laba-laba berukuran raksasa yang terdiri dari jaringan komputer yang terhubungkan ke seluruh dunia. Sebuah serangan virus elektronik secara relatif akan merusak sebagian kecil dari keseluruhan jaringan laba-laba ini. Seperti melempar sebuah batu ke jaring laba-laba.

Akan tetapi, kalau para hacker dan sejenisnya berkumpul menjadi sebuah kelompok dengan tujuan tertentu, membuat sebuah perangkat dan perkakas elektronik yang besar, maka serangan yang ditimbulkan akan menghapus sebagian besar jaringan Web dunia. Jenis serangan ini yang terjadi pada saat dilancarkan serangan denial-of-service belum lama ini.

Dalam serangan denial-of-service, para hacker menanam ko-de-kode tertentu ke dalam me-sin-mesin komputer untuk melancarkan sebuah serangan terpadu. Seperti tembakan meriam 21 kali dalam sebuah upacara militer kenegaraan. Memang membutuhkan berbagai skenario agar serangan ini bisa terjadi lagi, dan tidak akan mudah.

Namun, jalan teknologi yang sekarang ini tumbuh, lingkungan komunikasi menjadi semakin dekat dan acamannya menjadi semakin nyata. Memang tidak mudah untuk menentukan seberapa besar sebenarnya kerugian yang bisa ditimbulkan akibat serangan virus terhadap bisnis yang bergerak di jaringan Internet. Para analis memperkirakan serangan virus "Melissa" tahun lalu menyebabkan kerugian lebih dari satu milyar dollar AS.


***
SEJAUH ini, cara efektif yang bisa dilakukan untuk mencegah terjadinya serangan virus adalah dengan melakukan penyuluhan kepada para karyawan tentang permasalahan virus ini, dan menjelaskan apa yang bisa dilakukan untuk meminimalkan akibat dari serangan virus elektronik ini. Ada beberapa langkah yang bisa dilakukan untuk mencegah terjadinya kerugian dan kerusakan akibat serangan virus ini.

Langkah yang harus dilaku-kan antara lain pastikan seluruh sistem di dalam komputer di back up secara reguler. Selain itu, pastikan juga file data-data penting di back-up secara benar dan dilakukan secara reguler. Pastikan komputer-komputer yang digunakan dilengkapi dengan perangkat lunak anti-virus, termasuk di komputer notebook, desktop, workstation, dan server.

Pastikan perangkat lunak anti-virus yang digunakan tetap aktif pada semua sistem, dan dibuat mekanisme yang akan tetap mengaktifkan anti-virus ini. Selain itu, pastikan perangkat lunak anti-virus ini tetap up to date mengingkuti perkembangan yang terbaru.

Bagi perusahaan-perusahaan yang menggunakan jaringan komputer, pencegahan serangan virus juga dilakukan dengan memastikan seluruh karyawan mengetahui siapa yang harus dihubungi kalau ada pertanyaan tentang e-mail yang mencurigakan. Selain itu, pastikan sebuah perencanaan reaksi terhadap serangan virus dan siap mengaktifkan penanggulangannya

good artikel..

[StRiDeR]

Troj/Inor-I

Type

Trojan

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the July 2004 (3.83) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received just one report of this Trojan from the wild.


Description

Troj/Inor-I is a script file which attempts to drop and execute Troj/Multidr-P.

Recovery

Please follow the instructions for removing Trojans.

[StRiDeR]

Troj/StartPa-AE

Aliases

Trojan.WinREG.StartPage

Type

Trojan

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the July 2004 (3.83) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received just one report of this Trojan from the wild.

Note: The IDE issued for Troj/StartPa-AE at 15:54 GMT on 22 April also contained detection for Troj/Mixtar-B, Troj/Agent-E, Troj/Ketch-B, Troj/StartPa-GH, Troj/DeathCo-B, W32/FlyVB-A, Troj/Agent-L and Troj/IEStart-H. This IDE has now been updated to enhance detection of Troj/Agent-L.


Description

Troj/StartPa-AE changes browser settings for Microsoft Internet Explorer each
time Windows is started.
Troj/StartPa-AE is simply a text file (typically named sysdll.reg) which can
be used as an input to Regedit to set the following registry entries:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sys = "regedit -s sysdll.reg"

The last of these registry entries causes the registry to be updated using
Troj/StartPa-AE each time Windows is started.

Troj/StartPa-AE may be installed on the computer by Troj/AdClick-AE.


Recovery

Please follow the instructions for removing Trojans.

You should also change your Internet Explorer settings using Tools|Internet options|General to remove any modifications made by the Trojan.

Windows NT/2000/XP

In Windows NT/2000/XP you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
sys = "regedit -s sysdll.reg"

and delete it if it exists.

Close the registry editor.

[StRiDeR]

W32/Francette-K

Aliases

Worm.Win32.Francette.l, W32/Tumbi.worm.gen.b, W32.Francette.Worm, WORM_FRANCETTE.L

Type

Win32 worm

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the July 2004 (3.83) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received just one report of this worm from the wild.


Description

W32/Francette-K is a backdoor Trojan and a worm that attempts to spread by exploiting vulnerabilties and backdoors left by members of the W32/Mydoom
family of worms.
W32/Francette-K may spread to vulnerable computers by taking advantage of the
DCOM RPC vulnerability (MS03-026).

W32/Francette-K allows a malicious user remote access to an infected computer.
The worm drops a dll file lol.dll which is used to capture user keystrokes
which may be sent to the attackers email account. Lol.dll is detected by
Sophos Anti-Virus as W32/Francette-I.

W32/Francette-K may connect to an IRC server and provide backdoor access via
IRC channels.

In order to run automatically when Windows starts up W32/Francette-K creates
the following registry entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft IIS


Recovery

Please follow the instructions for removing worms.

Download and install the Microsoft patch mentioned above.

Change any data that may have become compromised.

Windows NT/2000/XP

In Windows NT/2000/XP you will also need to edit the following registry entry. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft IIS

and delete it if it exists.

Close the registry editor.

[StRiDeR]

W32/Rbot-T

Aliases

Backdoor.Rbot.gen, W32/Sdbot.worm.gen.h

Type

Win32 worm

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the July 2004 (3.83) release of Sophos Anti-Virus.

Customers using Enterprise Manager, PureMessage and any of the Sophos small business solutions will be automatically protected at their next scheduled update.


At the time of writing, Sophos has received just one report of this worm from the wild.


Description

W32/Rbot-T is a worm which attempts to spread to remote network shares. It
also contains backdoor Trojan functionality, allowing unauthorised remote access to the infected computer via IRC channels while running in the background as a service process.
W32/Rbot-T spreads to network shares with weak passwords as a result of the
backdoor Trojan element receiving the appropriate command from a remote user.

W32/Rbot-T copies itself to the Windows system folder as NAVSCAN64.EXE
and creates entries at the following locations in the registry so as to run itself
on system startup:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

W32/Rbot-T may set the following registry entries:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

W32/Rbot-T may try to delete the C$, D$, E$, IPC$ and ADMIN$ network shares on the host computer.

W32/Rbot-T may also try to log keystrokes and window text to a file called
DEBUG.TXT in the Windows system folder.


Recovery

Please follow the instructions for removing worms.

[atokENSEM]

nape ramai yg tak membincangkan ttg virus ni..

[StRiDeR]

Hj.atokENSEM said:

nape ramai yg tak membincangkan ttg virus ni..

mungkin diorang x berminat...x pun x nak ambil tahu...

[atokENSEM]

StRiDeR said:

mungkin diorang x berminat...x pun x nak ambil tahu...

maybe la kot...