| Chicane |
Ik zie heel wat mensjes op irc de laatste tijd weer worms spammen omdat ze eringetrapt zijn door op een geil britney plaatje te klikken of irritant .swf filetje.
Gelukkig wordt er niet al te veel permanente schade aangericht in de meeste gevallen, maar er zijn hardnekkige uitzonderingen.
Mocht je een keer erin gestonken zijn en je pc flipt doe dan het volgende:
Taken from http://www.irchighway.net/
It seems this is a very bad week for IRC networks. There is another worm spreading around.
Do not to click on any URL which looks suspicious. As far as the one worm is concerned,
do not click on any URL with this pattern:
www.dzacc.com/~mike/funny/*******.swf
Or you will get infected yourself.
Apparently, there would be two mIRC worms. One is known as Morphine and the other is called
New Malware.b. They do not only spam on IRC but also on MSN apparently. As far as we have
been able to gather, it would be rather easy to get rid of it. If you are infected, there are
two files on your hard drive that needs deletion: dllhost32.exe and winumc.exe.
There is also a script that should be unloaded from mIRC: custom1.mrc. You can then delete the
file.
---------------------------------------------
Removing the worm:
1) Bring up your Task Manager and kill the winumc.exe process.
2) Delete the file winumc.exe (and dllhost32.exe if you have it) from your HD
(usually C:\system32\ dir). Use the search command to find them.
3) Delete the file custom1.mrc from your mIRC root dir.
Then either:
- Unload custom1.mrc script from mIRC (/unload -rs custom1.mrc)
OR
- Close and restart mIRC
4) Click on START->run and type in 'msconfig'
Click on the Startup tab and remove the checkmark from the winumc.exe line.
I used "Tweakui For Power Users" to remove that entry completely (dunno where it
is written in but I guess there are other ways to remove it, maybe by editing some *.ini file).
Maybe removing this entry from the registry (START->run->regedit) does the trick:
HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUsrManagmentConf
(Bron: http://161.53.64.5/~perplexr/mirc_worm_remove.txt)
Nog even wat extra info:
- Deze methode werkt maar voor een paar worm/abuse virii, der zijn genoeg zieke geesten om weer met wat anders de irc community te treiteren :)
- Denken dat Opera, Mozilla of wat voor browser dan ook veilig is, is hetzelfde als geloven in God (zo ongeveer een beetje wel ;)).. andere browsers maken gebruik van de Internet Explorer core namelijk. Het enige wat een andere browser doet is het risico aanzienlijk kleiner maken.
- Klik nooit op een link van http://*.freenet.de/* daar komt namelijk de grootste teringzooi van scripts vandaan.
- Ook al heb je Norton Antivirus of wat voor elite scanner dan ook, deze worms kan je niet detecteren of blokkeren voordat je op de link klik omdat de extensie (.jpg/.txt/.swf bv) niet als een risico wordt beschouwd. Pas achteraf gaan sommige antivirus software blaten als het te laat is.
Voor de mensen die toch nieuwsgierig zijn, zomaar even een voorbeeld: ms-its:mhtml:file://C:\foo.mhtml!ht...HM::exploit.htm
Deze exploit maakt gebruik van Shockwave en Flash handlers om je pc eens even lekker keihard van achteren te verkrachten :) |
|
|
