[VirusAlert] Mydoom - Privacy en beveiliging

maandag 26 januari 2004 23:24

Acties:

+1 Henk 'm!

Blablabla

Topicstarter

Op dit moment is er weer een zeer agressief virus bezig met zich verspreiden. Op dit moment is er nog weinig info over, en alleen McAfee heeft momenteel enige informatie die van nut is:

This is a mass-mailing and peer-to-peer file-sharing worm that bears the following characteristics:

* contains its own SMTP engine to construct outgoing messages
* contains a backdoor component (see below)
* contains a Denial of Service payload

The virus arrives in an email message as follows:

From: (Spoofed email sender)
Do not assume that the sender address is an indication that the sender is infected. Additionally you may receive alert messages from a mail server that you are infected, which may not be the case.

Subject: (Varies, such as)

* Error
* Status
* Server Report
* Mail Transaction Failed
* Mail Delivery System
* hello
* hi

Body: (Varies, such as)

* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available.

Attachment: (varies [.bat, .exe, .pif, .cmd, .scr] - often arrives in a ZIP archive) (22,528 bytes)

* examples (common names, but can be random)
* doc.bat
* document.zip
* message.zip
* readme.zip
* text.pif
* hello.cmd
* body.scr
* test.htm.pif
* data.txt.exe
* file.scr

In the case of two file extensions, multiple spaces may be inserted as well, for example:

* document.htm (many spaces) .pif

The icon used by the file tries to make it appear as if the attachment is a text file:

When this file is run (manually), it copies itself to the WINDOWS SYSTEM directory as taskmon.exe

* %SysDir%\taskmon.exe

(Where %Sysdir% is the Windows System directory, for example C:\WINDOWS\SYSTEM)

It creates the following registry entry to hook Windows startup:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

The virus uses a DLL that it creates in the Windows System directory:

* %SysDir%\shimgapi.dll (4,096 bytes)

This DLL is injected into the EXPLORER.EXE upon reboot via this registry key:

* HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

The virus will not replicate on the 12th February or later (although the DLL will still be installed).

Peer To Peer Propagation
The worm copies itself to the KaZaa Shared Directory with the following filenames:

* nuke2004
* office_crack
* rootkitXP
* strip-girl-2.0bdcom_patches
* activation_crack
* icq2004-final
* winamp

Remote Access Component
The worm (this functionality is in the dropped DLL) opens a connection on TCP port 3127 (if that fails it opens next available port up to port 3198). The worm can accept specially crafted TCP transmissions.

* On receipt of one kind of such a transmission it will save the embedded binary into a temporary file and execute it. Then the temporary file is deleted.
* On receipt of another kind it can relay TCP packets thus providing IP spoofing capabilities (possibly to facilitate SPAM distribution)

Denial of Service Payload
On the first system startup on February 1st or later, the worm changes its behavior from mass mailing to initiating a denial of service attack against the sco.com domain. This denial of service attack will stop on the first system startup of February 12th or later, and thereafter the worm's only behavior is to continue listening on TCP port 3127.

http://vil.nai.com/vil/content/v_100983.htm

Vermoedelijk is dit de Symantec-link: http://securityresponse.s...data/w32.novarg.a@mm.html (maar hier is nog niks te vinden qua nuttige info).

Op dit moment heeft in ieder geval McAfee nog geen DAT-file, maar wel een tijdelijke EXTRA.DAT: hier (ik denk dat er binnen nu en een paar uur wel een volwaardige DAT-file zal zijn, gezien de enorme verspreidingsgraad momenteel).

[ Voor 62% gewijzigd door wildhagen op 27-01-2004 22:16 ]

Virussen? Scan ze hier!

maandag 26 januari 2004 23:32

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

26-01 23:30> F_J_K: Hm, ik HAD ook gewoon kunnen mergen

26-01 23:31> Schouw: ja, dat HAD je natuurlijk ook kunnen doen
Dus even wat extra info:

Anoniem: 55140 schreef op 26 januari 2004 @ 23:26:
Vanuit het niets ineens 100en/1000en reports van dit virus.
Het verspreidt zich via mail/kazaa.

Vendors zijn nog bezig met analyseren.

When executed, the worm opens up Windows' Notepad with garbage data in it.

Dus als je dit ziet, weet je dat het te laat is.

Paar linkjes alvast.
http://vil.nai.com/vil/content/v_100983.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

Thanks, Roel

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 26 januari 2004 23:36

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

Ben ik de enige die het nut van dergelijk waarschuwingen in twijfel trekt? Als mensen beschermt willen zijn dan moeten ze updaten; als mensen willen weten welke virussen er nu weer zijn uitgebroken dan kunnen ze dat lezen op de bekende sites... Waarom deze meldingen (ik zie er steeds meer voorbij komen)

Is het nu echt de bedoeling dat mensen in dit topic gaan roepen hoevaak ze dit mailtje al hebben gehad?

[ Voor 15% gewijzigd door Spider.007 op 26-01-2004 23:36 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 26 januari 2004 23:39

Acties:

0 Henk 'm!

Anoniem: 55140

Omdat er ook genoeg mensen hier langs komen/zijn gekomen, die niet die sites bezoeken.
Daarnaast zijn ze meer ITW en ook vaker.
We zien nu op drie dagen tijd vier breakouts, waarbij deze de topper lijkt te zijn.
Meer dan 250 nieuwe virussen in drie dagen, that's very rare, if not unprecendented.

Daarnaast is een extra waarschuwing natuurlijk nooit weg imho.

Edit:

Is het nu echt de bedoeling dat mensen in dit topic gaan roepen hoevaak ze dit mailtje al hebben gehad?

Nee, althans niet als het aan mij ligt, dit is:
-ter waarschuwing
-general topic voor disinfectie e.d.

[ Voor 25% gewijzigd door Anoniem: 55140 op 26-01-2004 23:40 ]

maandag 26 januari 2004 23:40

Acties:

0 Henk 'm!

BoGhi

Er zijn natuulijk mensen die liever GoT lezen, dan de sites van AV-leveranciers

Programmers don't die. They GOSUB without RETURN

maandag 26 januari 2004 23:41

Acties:

0 Henk 'm!

Miki

Spider.007 schreef op 26 januari 2004 @ 23:36:
Ben ik de enige die het nut van dergelijk waarschuwingen in twijfel trekt? Als mensen beschermt willen zijn dan moeten ze updaten; als mensen willen weten welke virussen er nu weer zijn uitgebroken dan kunnen ze dat lezen op de bekende sites... Waarom deze meldingen (ik zie er steeds meer voorbij komen)

Is het nu echt de bedoeling dat mensen in dit topic gaan roepen hoevaak ze dit mailtje al hebben gehad?

Een gewaarshuwd mens telt voor twee. Daarnaast gebruikers van Symantec producten hebben 1x per week een update, dacht iedere woensdag. Symantec levert bijvoorbeeld wel beta dats uit, echter moet je die handmatig updaten! Dus is een waarschuwing in iedergeval welkom lijkt me. Daarnaast is het ook handig voor degene die toch geinfecteerd raakt, omdat de removal instructies of links ervan steeds bijstaan.

maandag 26 januari 2004 23:43

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Spider.007: bij elk virus dit doen wordt het zeker wel overdreven ja en dat zou geen nut meer hebben omdat het 'old news' is. En deze week gaat het erg hard. Maar af en toe en bij hele vervelende virussen (en het lijkt nu idd erg snel te gaan) denk ik dat het de lezers wel weer even er aan herinnerd - zeker als je normaliter eens per week update. (Ik laat het KAV twee keer per dag doen, misschien overdreven paranoide

)

_{Laten we dit trouwens evt. in het SA feedback topic verder doen als daar behoefte aan is}

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 26 januari 2004 23:45

Acties:

0 Henk 'm!

Anoniem: 55140

Hmm, lijkt erop dat Trend Micro hem flagt als Mimail.r
Zal z'n account nu al suspended zijn?

Edit:
Cat 4 aldus Symantec.

[ Voor 18% gewijzigd door Anoniem: 55140 op 26-01-2004 23:48 ]

dinsdag 27 januari 2004 08:32

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

Even een extra linkje:

http://www.f-secure.com/v-descs/novarg.shtml

Inmiddels heeft McAfee nieuwe emergency DAT-files (4319) gereleased, ergens in de nacht, nadat er gisteren avond al een tijdelijke EXTRA.DAT is gereleased.

Ter indicatie: inmiddels hier ruim 1000 van deze virussen afgevangen, sinds middernacht (normaal is dat 20-30 ongeveer).

Virussen? Scan ze hier!

dinsdag 27 januari 2004 08:56

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dat gaat inderdaad gruwelijk hard

_{Duidelijk, die verschillende virusnamen -> kleine titeledit}

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 27 januari 2004 09:12

Acties:

0 Henk 'm!

avon

Het virus heeft nou niet echt de kenmerken om een super virus te zijn, hoe kan het dan nog zo hard lopen?; Zijn er nog steeds zoveel mensen die rustig op dat attachment drukken?

[ Voor 26% gewijzigd door avon op 27-01-2004 09:12 ]

Gratis webwinkel beginnen? Met Onetoshop.com kunt u direct beginnen!

dinsdag 27 januari 2004 09:46

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

AvOn schreef op 27 januari 2004 @ 09:12:
Het virus heeft nou niet echt de kenmerken om een super virus te zijn, hoe kan het dan nog zo hard lopen?; Zijn er nog steeds zoveel mensen die rustig op dat attachment drukken?

Ach, iedereen klikt nog steeds op attachments die langskomen. En aangezien de gemiddelde gebruiker nog virusdefinities uit 2002 heeft, of op zijn best begin 2003... schiet het niet op.

En hij verspreid zich ook op Kazaa... wat zoekt iedereen op Kazaa? Onder andere cracks...

Virussen? Scan ze hier!

dinsdag 27 januari 2004 09:52

Acties:

0 Henk 'm!

Tjark

DON'T PANIC

de mailserver van de uni is nog niet geupdate. heb er 2 binnen gehad.
Gelukkig doet NOD32 z'n werk

Zal de systeembeheerder hier eens vragen of ie ook al 'bezoek' heeft gehad.

*insert signature here

dinsdag 27 januari 2004 10:40

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

foutje

[ Voor 190% gewijzigd door We Are Borg op 27-01-2004 12:28 ]

dinsdag 27 januari 2004 12:28

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Okee, ik zou graag wat advies willen hebben, want ik krijg net het volgende emailtje:

[q]

The Star Internet anti-virus service, powered by MessageLabs, discovered a possible virus or unauthorised code (such as a joke program or trojan) in an email sent by you.

This email has now been quarantined and was not delivered.

Please read this whole email carefully. It explains what has happened to your email, which suspected virus has been caught, and what to do if you need help.

To help identify the email:

The message sender was
mijnemail@mijnprovider.nl

The message was titled 'Hi'
The message date was Tue, 27 Jan 2004 11:03:48 +0000 The message recipients were
smith@carillionplc.com

The virus or unauthorised code identified in the email is: >>> W32/MyDoom.A in '569354_3X_AZ-S_PA2__readme.htm=R46.scr'

Some viruses forge the sender address.

The message was diverted into the virus holding pen on mail server server-8.tower-1.messagelabs.com (id 569354_1075201398) and will be held for 30 days before being destroyed.

For more information please visit
http://www.star.net.uk/Support/Faq/FAQ.asp

If you sent the email from a corporate network, please contact your IT Helpdesk or Support Department for assistance. They will be able to help you disinfect your workstation.

If you would like further information on how to subscribe to the Star Internet anti-virus service, a proactive anti-virus service working around the clock, around the globe, please complete our enquiry form

Star Internet is a business to business service provider. If you are a home user you should contact your anti-virus software vendor or obtain help from http://www.star.net.uk/Support/Faq/FAQ.asp

________________________________________________________________________
This email has been scanned for all viruses by the MessageLabs Email Security System. For more information on a proactive email security service working around the clock, around the globe, visit http://www.messagelabs.com ________________________________________________________________________

Hier snap ik dus echt niks van. De volgende dingen gechecked:

• NAV2003 volledig up to date
• Vanochtend kreeg ik bij ontvangen van mail een alert van NAV2003 dat dit virus verwijderd werd uit een email. Dus nooit wat geopend, direct bij ontvangst verwijderd door NAV2003
• Naar aanleiding van Symantec gezocht op de reg key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version. Die blijk ik dus te hebben.
Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/virus.JPG

Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/virus.JPG

• Naar aanleiding van Symantec gezocht op shimgapi.dll. Niks gevonden.

Ben ik nu wel of niet besmet?

dinsdag 27 januari 2004 12:31

Acties:

0 Henk 'm!

Anoniem: 55140

From: (spoofed email sender)

Handig van ze om 'bounce-mails' te sturen..
Dus je bent(zeer waarschijnlijk)niet besmet.

Removal tool: http://www.bitdefender.com/html/free_tools.php

Edit2:
Je zou ook nog eens op taskmon.exe kunnen zoeken.

[ Voor 35% gewijzigd door Anoniem: 55140 op 27-01-2004 12:34 ]

dinsdag 27 januari 2004 12:39

Acties:

0 Henk 'm!

AcouSE

Swedish Chef

Statistiek:

dinsdag 27 januari 2004 12:44

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Anoniem: 55140 schreef op 27 januari 2004 @ 12:31:
[...]

Handig van ze om 'bounce-mails' te sturen..
Dus je bent(zeer waarschijnlijk)niet besmet.

Removal tool: http://www.bitdefender.com/html/free_tools.php

Edit2:
Je zou ook nog eens op taskmon.exe kunnen zoeken.

Thanks. Tooltje is nu aan het scannen. Krijg net het volgende emailtje

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

andrew@smithprice.co.uk

Met als detail.txt toegevoegd

Reporting-MTA: dns;server.smithprice.co.uk
Received-From-MTA: dns;planet.nl
Arrival-Date: Tue, 27 Jan 2004 11:37:14 +0000

Final-Recipient: rfc822;andrew@smithprice.co.uk
Action: failed
Status: 5.1.1

Lijkt er toch op dat ik het virus heb

. Blijkbaar heb ik het emailtje met het virus toch verstuurd. Hopelijk vind die scantool wat.

dinsdag 27 januari 2004 12:48

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Anoniem: 55140 schreef op 27 januari 2004 @ 12:31:
[...]

Handig van ze om 'bounce-mails' te sturen..
Dus je bent(zeer waarschijnlijk)niet besmet.

Removal tool: http://www.bitdefender.com/html/free_tools.php

Edit2:
Je zou ook nog eens op taskmon.exe kunnen zoeken.

En welke moet je dan hebben, Mimail staat er een aantal keer tussen, behalve de mimail.r variant...

dinsdag 27 januari 2004 12:49

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

ThePerfectCell schreef op 27 januari 2004 @ 12:48:
[...]
En welke moet je dan hebben, Mimail staat er een aantal keer tussen, behalve de mimail.r variant...

Zij noemen hem Novarg.A, dat is dit virus. Ieder antivirus-bedrijf noemt een virus namelijk anders, ze zijn niet allemaal gelijk.

Virussen? Scan ze hier!

dinsdag 27 januari 2004 12:49

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

ThePerfectCell schreef op 27 januari 2004 @ 12:48:
[...]
En welke moet je dan hebben, Mimail staat er een aantal keer tussen, behalve de mimail.r variant...

Win32.Novarg.A@mm 1997 times Download

Deze heb ik gepakt. Dat virus claimen ze ook dat ik het heb verstuurd + vandaag een keertje binnengekregen.

dinsdag 27 januari 2004 12:49

Acties:

0 Henk 'm!

Anoniem: 55140

ThePerfectCell schreef op 27 januari 2004 @ 12:48:
[...]
En welke moet je dan hebben, Mimail staat er een aantal keer tussen, behalve de mimail.r variant...

Kijk naar de topictitle..
Daar staat Novarg ook tussen..

Win32.Novarg.A@mm

De removaltool daarvoor moet je hebben.

Edit:

@ mensen die sneller kunnen typen dan ik.

[ Voor 8% gewijzigd door Anoniem: 55140 op 27-01-2004 12:50 ]

dinsdag 27 januari 2004 12:50

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Scan is klaar. Niks gevonden. Waarom dan wel dat rare emailtje en die reg key in mijn register?

edit:

Zwaait terug naar een traag persoon

[ Voor 24% gewijzigd door We Are Borg op 27-01-2004 12:51 ]

dinsdag 27 januari 2004 12:54

Acties:

0 Henk 'm!

Mike Jarod

Hoopvol

, dat Flash dingetje in de post van AcouSE is wel grappig. Kan je aangeven dat je het infectie percentage van alle virussen in de hele wereld wil zien. Nederland doet het met 15,nogiets procent weer erg goed. Zie geen overzicht staan gesorteerd op grootte van dat percentage, maar volgens mij zit NL wel in de top 5 van meest geinfecteerde landen.

_{AcouSE, was dat je bedoeling dat je post er zo brak uitziet}

dinsdag 27 januari 2004 12:55

Acties:

0 Henk 'm!

Anoniem: 55140

We Are Borg schreef op 27 januari 2004 @ 12:50:
Scan is klaar. Niks gevonden. Waarom dan wel dat rare emailtje en die reg key in mijn register?

edit:
Zwaait terug naar een traag persoon

Kan ook zijn dat de symantec write-up crap is.
De FSAV write-up zegt niets over die key, daarnaast heb ik die geloof ik wel eens eerder gezien in legit situatie iirc.
http://www.f-secure.com/v-descs/novarg.shtml

Het virus spooft het from field, sommige mailscanners zien de noodzaak om @ from adress te reageren met de melding: je hebt een virus.

Kreeg zojuist mail van wanadoo meneer, met mailadres: [blabla]@aramgroup.com
Wat niet juist is natuurlijk, iig waarschijnlijk.

Het kan dus goed zijn dat jouw adres wordt gespoofd, waar scanners op reageren.

dinsdag 27 januari 2004 13:04

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Ik kreeg gister trouwens een mail, met virus, volgens mij ook deze... Maar het vreemde is... Ik kreeg hem van mijn eigen adres...

Terwijl ik zeker weet, dat ik geen virus heb... Want ik had er voor een scan gedaan, bij HouseCall... Maar ben je dan ook besmet, als je een mailtje krijgt van jezelf?

[ Voor 13% gewijzigd door CH4OS op 27-01-2004 13:04 ]

dinsdag 27 januari 2004 13:06

Acties:

0 Henk 'm!

blackd

ThePerfectCell schreef op 27 januari 2004 @ 13:04:
Maar ben je dan ook besmet, als je een mailtje krijgt van jezelf?

Zie hierboven, from adres wordt gespoofed.
Kijk eens in de headers om te zien waar hij vandaan komt.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 27 januari 2004 13:06

Acties:

0 Henk 'm!

Anoniem: 55140

Gisteren had Trend(of random andere AV)nog geen detectie hiervoor.
Ik zou zeggen, scan je bak eens met removal tool e.d..

dinsdag 27 januari 2004 13:06

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Anoniem: 55140 schreef op 27 januari 2004 @ 12:55:
Het kan dus goed zijn dat jouw adres wordt gespoofd, waar scanners op reageren.

Daar hou ik het dan maar voorlopig op. Niks gevonden wat wijst op het virus, behalve die reg key. Zal wel in een spamlijstje staan die is overgenomen ofzo.

dinsdag 27 januari 2004 13:07

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

blackd schreef op 27 januari 2004 @ 13:06:
[...]

Zie hierboven, from adres wordt gespoofed.
Kijk eens in de headers om te zien waar hij vandaan komt.

Ik gooi verdachte mailtjes altijd weg... Zonder pardon, linea reckta foetsie (niet in de 'prullenbak' ofzo). Kan dus niet meer in de header kijken

dinsdag 27 januari 2004 13:10

Acties:

0 Henk 'm!

Anoniem: 55140

ThePerfectCell schreef op 27 januari 2004 @ 13:07:
[...]
Ik gooi verdachte mailtjes altijd weg... Zonder pardon, linea reckta foetsie (niet in de 'prullenbak' ofzo). Kan dus niet meer in de header kijken

Handig voor research, zoals je nu ook merkt.

Het 'echte' weggooien van mails heeft weinig nut, tenzij je om ruimte verlegen zit.
Als er gebruik wordt gemaakt van exploit is het meestal toch al te laat.

dinsdag 27 januari 2004 13:10

Acties:

0 Henk 'm!

André

Analytics dude

Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Is het echt zo dat de virussen 'leven' door gebruikers die domweg op alles ja klikken en alles openen? Ik zie het wel veel bij vrienden die zo'n hoax-mailtje krijgen met de mededeling die 10 keer door te sturen (het lijkt wel dat belgische virus uit dat grapje).

dinsdag 27 januari 2004 13:12

Acties:

0 Henk 'm!

Gardocki

André schreef op 27 januari 2004 @ 13:10:
Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Is het echt zo dat de virussen 'leven' door gebruikers die domweg op alles ja klikken en alles openen? Ik zie het wel veel bij vrienden die zo'n hoax-mailtje krijgen met de mededeling die 10 keer door te sturen (het lijkt wel dat belgische virus uit dat grapje).

Het leuke met dit virus is dat mensen denken dat ze het van een bekende krijgen. Daarom openen ze klakkeloos de attachment zonder naar de extensie ofzo te kijken.

They made me do it.

dinsdag 27 januari 2004 13:13

Acties:

0 Henk 'm!

blackd

André schreef op 27 januari 2004 @ 13:10:
Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Dat ligt eraan. Als bijvoorbeeld je systeem niet up to date is en je gebruikt Outlook Express kan een virus gebruik maken van een hele oude exploit. Dan hoef je zelf de bijlage niet te openen, dat gebeurt vanzelf. Maar dat is een combinatie van factoren.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 27 januari 2004 13:13

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Anoniem: 55140 schreef op 27 januari 2004 @ 13:10:
[...]

Handig voor research, zoals je nu ook merkt.
Het 'echte' weggooien van mails heeft weinig nut, tenzij je om ruimte verlegen zit.
Als er gebruik wordt gemaakt van exploit is het meestal toch al te laat.

Ja das waar, maar als ik dit topic had gezien gister, dan had ik het wel gepost... En ik zag hem (zoals je denk ik nu denkt) vandaag pas...

dinsdag 27 januari 2004 13:13

Acties:

0 Henk 'm!

Kramers

Tijd voor iets nieuws

domme vraag: maar hoe weet jij dat je geen virus hebt als je geen virusscanner gebruikt?

Huh.. moet ik hier wat typen of zo ?

dinsdag 27 januari 2004 13:14

Acties:

0 Henk 'm!

Anoniem: 55140

André schreef op 27 januari 2004 @ 13:10:
Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Gebruik je IE? Of überhaupt windows?
Waarschijnlijk wel, dan is de kans ook waarschijnlijk dat je geïnfecteerd zal raken als je dat nog niet bent,

Domme mailwormen zoals deze zou iedereen moeten herkennen.
Maar ik kan je link geven naar legit uitziende url, waarbij een file wordt gedownload/ge-execute zonder dat je het doorhebt.
En dan heb ik het over IE met security settings @ high(en hoger met manual settings).

_{Firebird heeft hier geen last van.}

dinsdag 27 januari 2004 13:15

Acties:

0 Henk 'm!

Miki

André schreef op 27 januari 2004 @ 13:10:
Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Is het echt zo dat de virussen 'leven' door gebruikers die domweg op alles ja klikken en alles openen? Ik zie het wel veel bij vrienden die zo'n hoax-mailtje krijgen met de mededeling die 10 keer door te sturen (het lijkt wel dat belgische virus uit dat grapje).

En hoe weet jij nu zo zeker dat jij niet toevallig een backdoor hebt en zo fungeert als server? Ongemerkt kun je nu ook een virus verspreider zijn zonder dat je ook maar wat doorhebt.

dinsdag 27 januari 2004 13:17

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

André schreef op 27 januari 2004 @ 13:10:
Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Als je deze uitspraak 5 jaar geleden deed had je nog gelijk ook.

Maar tegenwoordig hoef je echt geen rare dingen meer te openen om toch besmet te raken, en ook onopgemerkt ook. Het bezoeken van kwaadwillende maar toch betrouwbaar ogende sites is al ruimschoots voldoende. Zeker als je bedenkt dat de URL die je ziet nie de echte URL hoeft te zijn (URL spoofing etc).

Virussen? Scan ze hier!

dinsdag 27 januari 2004 13:20

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

André schreef op 27 januari 2004 @ 13:10:
Wat is dat toch met die virussen, ik heb nog nooit een virusscanner gehad en ook nog geen virus. Als je geen rare dingen opent op je pc kan er toch ook niets gebeuren.

Is het echt zo dat de virussen 'leven' door gebruikers die domweg op alles ja klikken en alles openen? Ik zie het wel veel bij vrienden die zo'n hoax-mailtje krijgen met de mededeling die 10 keer door te sturen (het lijkt wel dat belgische virus uit dat grapje).

Don't agree. Zoals wildhagen al zegt, hoef je niet iets vreemds te doen om een virus te krijgen. Jij opent dus nooit een attachment van een vriend, een foto via msn als je het krijgt doorgestuurd? Mensen zonder virusscanner dragen juist ook mee aan het verspreiden van een virus

dinsdag 27 januari 2004 13:21

Acties:

0 Henk 'm!

anandus

Heb hem hier op werk ook gekregen.

Net mailtje naar de systeembeheerder gestuurd over het virus... Komt-ie langs om te zeggen dat volgens hem iedereen up to date is, alleen ik toevallig niet?

Werd een halve ruzie, niet eens een bedankje...
Moet-ie zelf weten...

Maar hij zegt dat alles up to date is behalve de mijne, welke ik handmatig update en toen werd het virus wel herkend...

Vanaf welk tijdstip is die F-Secure update, dan?

[ Voor 6% gewijzigd door anandus op 27-01-2004 13:22 ]

"Always remember to quick save" - Sun Tzu

dinsdag 27 januari 2004 13:22

Acties:

0 Henk 'm!

Anoniem: 39303

mmm net ff een uitdraai van onze virusdatabase van de afgelopen 24 uur gezien, en ik denk dat dit een van de grootste uitbraken is van het afgelopen jaar.

de aantallen ontvangen emails verdubbelen nog steeds elk uur, dus ik zie niet gauw een eind eraan komen.

dinsdag 27 januari 2004 13:23

Acties:

0 Henk 'm!

André

Analytics dude

Hmm, aha, dus, daar zit wat in.

Kramers schreef op 27 januari 2004 @ 13:13:
domme vraag: maar hoe weet jij dat je geen virus hebt als je geen virusscanner gebruikt?

Tja, goeie vraag. Maar alles doet het prima op mijn pc en ik zie dat er niets vreemds gebeurd met mijn traffic.

Miki schreef op 27 januari 2004 @ 13:15:
[...]

En hoe weet jij nu zo zeker dat jij niet toevallig een backdoor hebt en zo fungeert als server? Ongemerkt kun je nu ook een virus verspreider zijn zonder dat je ook maar wat doorhebt.

Daar heb je toch een firewall voor. Die geeft alleen bepaalde programma's toegang.

wildhagen schreef op 27 januari 2004 @ 13:17:
[...]

Als je deze uitspraak 5 jaar geleden deed had je nog gelijk ook.

Maar tegenwoordig hoef je echt geen rare dingen meer te openen om toch besmet te raken, en ook onopgemerkt ook. Het bezoeken van kwaadwillende maar toch betrouwbaar ogende sites is al ruimschoots voldoende. Zeker als je bedenkt dat de URL die je ziet nie de echte URL hoeft te zijn (URL spoofing etc).

Ik ben al een tijd geen systeembeheerder meer dus ik volg het niet zo meer. Maar als dat echt zo is dan wordt het dus tijd voor een virusscanner.

dinsdag 27 januari 2004 13:28

Acties:

0 Henk 'm!

Anoniem: 55140

Van yahoo scanner:

Scan result: Virus scanning is temporarily unavailable.
This file has not been scanned.

FSAV update die Novarg zou meoten coveren was van 0:01 GMT+1 iirc.
Daarmee was F-Secure een van de eerste.

Edit:
Dat was dus @ anandus.

[ Voor 7% gewijzigd door Anoniem: 55140 op 27-01-2004 13:29 ]

dinsdag 27 januari 2004 13:31

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

Anoniem: 39303 schreef op 27 januari 2004 @ 13:22:
mmm net ff een uitdraai van onze virusdatabase van de afgelopen 24 uur gezien, en ik denk dat dit een van de grootste uitbraken is van het afgelopen jaar.

Dit kan ik wel bevestigen, het enige wat er nog enigszins in de buurt kom zijn I Love You, Yaha.g en Klez.h, maar die zijn allemaal meer dan een jaar oud.

Virussen? Scan ze hier!

dinsdag 27 januari 2004 13:38

Acties:

0 Henk 'm!

Anoniem: 26235

Hoe werken die Virus bedrijven eigenlijk, mijn laatste virus definities waren van eergister (of afgelopen vrijdag, iig gister niet geupdate) d8 ik en toch krijg ik gisteravond 3x een melding van dit virus door Norton 2004?

Ik begrijp dat ie gisteren pas officieel is ontdekt maar hoe kan Norton dit nou weten?

[ Voor 9% gewijzigd door Anoniem: 26235 op 27-01-2004 13:39 ]

dinsdag 27 januari 2004 13:40

Acties:

0 Henk 'm!

Anoniem: 55140

Anoniem: 26235 schreef op 27 januari 2004 @ 13:38:
Hoe werken die Virus bedrijven eigenlijk, mijn laatste virus definities waren van eergister d8 ik en toch krijg ik gisteravond 3x een melding van dit virus door Norton 2004?

Ik begrijp dat ie gisteren pas officieel is ontdekt maar hoe kan Norton dit nou weten?

NAV detecteert dit virus, net zoals alle andere AVbedrijven pas sinds vannacht.
Je defs zjin dus toch up to date.

AVs kunnen malware pro-actief detecteren door:
-generic detection(generieke sigs voor families)
-heuristics(code analyseren)
-goede sigs maken, die virussen als 'nieuwe variant van' kunnen detecteren.

dinsdag 27 januari 2004 14:03

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Krijg weer mail:

- These recipients of your message have been processed by the mail server:
mary@o2mail.co.uk; Failed; 5.1.1 (bad destination mailbox address)

Remote MTA mail.o2mail.co.uk: SMTP diagnostic: 550 RCPT TO:<mary@o2mail.co.uk> User unknown

TXT bestand

Reporting-MTA: dns; mail.o2.co.uk
Received-from-MTA: dns; planet.nl (158.152.7.169)
Arrival-Date: Tue, 27 Jan 2004 12:56:52 +0000

Final-Recipient: rfc822; mary@o2mail.co.uk
Action: Failed
Status: 5.1.1 (bad destination mailbox address)
Remote-MTA: dns; mail.o2mail.co.uk
Diagnostic-Code: smtp; 550 RCPT TO:<mary@o2mail.co.uk> User unknown

Als ik het goed begrijpt komt dit omdat mijn email adres als afzender wordt gebruikt of dat ik het virus heb (wat mij erg sterk lijkt).

offtopic:
Ik word gek van mijn mail client

. Vandaag krijg ik belangrijke uitslag van tentamen per mail en elke keer krijg ik geluid dat ik mail heb ontvangen en dan blijkt het virus te zijn.

dinsdag 27 januari 2004 14:05

Acties:

0 Henk 'm!

blackd

Reporting-MTA: dns; mail.o2.co.uk
Received-from-MTA: dns; planet.nl (158.152.7.169)

Let op dat planet.nl faked is, bekijk de whois van dat IP maar eens, of ga op zoek naar een revdns entry.

We Are Borg schreef op 27 januari 2004 @ 14:03:

offtopic:
Ik word gek van mijn mail client . Vandaag krijg ik belangrijke uitslag van tentamen per mail en elke keer krijg ik geluid dat ik mail heb ontvangen en dan blijkt het virus te zijn.

offtopic:
Op mijn popboxen filtert XS4ALL de virussen eruit, daar krijg ik geen melding van. Op m'n eigen server krijg ik wel een notice als er een virus gevonden is, maar ik verwacht geen belangrijke mailtjes gelukkig

[ Voor 57% gewijzigd door blackd op 27-01-2004 14:10 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 27 januari 2004 14:05

Acties:

0 Henk 'm!

Anoniem: 55140

We Are Borg schreef op 27 januari 2004 @ 14:03:
Als ik het goed begrijpt komt dit omdat mijn email adres als afzender wordt gebruikt of dat ik het virus heb (wat mij erg sterk lijkt).

Yup, mensen in HK topic ook al aan het klagen.
Gaat er nog op uitdraaien dat meer mensen panieken ivm. dit soort mailtjes dan het gezeik door het virus zelf..

dinsdag 27 januari 2004 14:48

Acties:

0 Henk 'm!

Anoniem: 55140

Bron: http://kaspersky.com/news.html?id=3629137

Kaspersky Labs, a leading information security software developer has
detected that a dangerous new Internet worm, Novarg (also known as
Mydoom). In just a few hours this malicious program caused a global
epidemic, infecting approximately 300 thousand computers throughout the
world. This incident is the most serious outbreak so far this year, and
shows every sign of breaking replication records set in 2003.

An explosion in malicious program activity undoubtedly points to serious
preparations made by virus writers. This included the creation of a
network of infected computers; when the number of computers in the
network reached critical mass a command was sent to mail out Novarg.
This is the same approach used previously by the email worm Sobig.F

Detailed analysis of the geographic spread of the worm leads to the
assumption that Novarg was created in Russia.

Novarg carries a very dangerous payload. Firstly, the worm installs a
proxy server on the infected computer. Malefactors can then use this
module in spamming or in mass-mailing new versions of the malicious
program.

Secondly, Novarg installs a backdoor (a utility for unauthorized remote
control) thus allowing the virus writer to control the infected machine.
The backdoor makes it possible to steal, change or delete data, install
third-party programs and so forth.

"The danger of the integration of virus and spam technologies to create
united, dedicated networks for cyber-criminals is becoming a reality. We
have detected two malicious programs within the first two days of this
week that illustrate this trend", comments Eugene Kaspersky, Head of
Anti-virus Research at Kaspersky Labs, "This problem may well signal a
new era in computer virology in the near future, an era marked by even
more frequent and serious outbreaks".

dinsdag 27 januari 2004 15:00

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Anoniem: 55140 schreef op 27 januari 2004 @ 14:05:
[...]

Yup, mensen in HK topic ook al aan het klagen.
Gaat er nog op uitdraaien dat meer mensen panieken ivm. dit soort mailtjes dan het gezeik door het virus zelf..

In de HK kijk ik haast nooit dus ik geloof je meteen

. Ik vind het alleen irritant dat ik die mailtjes terug krijg van providers die vinden dat ik een virus aan het verspreiden ben. Nu net 1 minuut geleden weer een variant binnen gekrengen.

Maar goed, ik heb het virus niet (99% zeker) en dus gaan al die mailtjes gelijk de prullebak in. Het betekend trouwens wel dat mijn email adres ergens op een spam lijst staat ofzo, want hoe kunnen ze anders mijn email adres gebruiken? Mijn email adres is mijn voor en achternaam met een punt ertussen, dus die kan je niet zomaar random verzinnen

dinsdag 27 januari 2004 15:17

Acties:

0 Henk 'm!

GigaDave56

We Are Borg schreef op 27 januari 2004 @ 15:00:
[...]

In de HK kijk ik haast nooit dus ik geloof je meteen . Ik vind het alleen irritant dat ik die mailtjes terug krijg van providers die vinden dat ik een virus aan het verspreiden ben. Nu net 1 minuut geleden weer een variant binnen gekrengen.

Maar goed, ik heb het virus niet (99% zeker) en dus gaan al die mailtjes gelijk de prullebak in. Het betekend trouwens wel dat mijn email adres ergens op een spam lijst staat ofzo, want hoe kunnen ze anders mijn email adres gebruiken? Mijn email adres is mijn voor en achternaam met een punt ertussen, dus die kan je niet zomaar random verzinnen .

En wat nou als een bekende van jou geinfecteerd is... met jouw emailadres in zijn adresboek?

Algemene vraag: Ik heb ooit eens gehoord dat als je een user genaamd !0000 in je (outlook) adresboek zet, een virus daarover 'struikelt'. Is dat zo?

[ Voor 3% gewijzigd door GigaDave56 op 27-01-2004 15:25 . Reden: klein foutje... ]

Not so Giga One
> I'd sell my soul for you, babe
> For money to burn, for you
> I'd give you all and have none, babe
> Just to, just to, to have you here by me... [Scooter - Rebel yell]

dinsdag 27 januari 2004 15:20

Acties:

0 Henk 'm!

Anoniem: 55140

GigaDave56 schreef op 27 januari 2004 @ 15:17:
Algemene vraag: Ik heb ooit eens gehoord dat als je een user genaamd !0000 in je (outlook) adresboek zet, een virus daarover 'struikelt'. Is dat zo?

Nee, fabeltje.
(Zo goed als)alle nieuwe virussen hebben eigen SMTP component, dus hoeven ze die van O(E) niet te gebruiken, waardoor je geen melding krijgt.

dinsdag 27 januari 2004 17:26

Acties:

0 Henk 'm!

Anoniem: 39303

nog mazzel trouwens dat dit virus lukraak adressen genereerd, als het virus echte adressen zou gebruiken was het virus nog 3/4 zo hard gegaan nu bouncen de meesten

dinsdag 27 januari 2004 17:35

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

GigaDave56 schreef op 27 januari 2004 @ 15:17:
[...]

En wat nou als een bekende van jou geinfecteerd is... met jouw emailadres in zijn adresboek?

Dat is idd een goede mogelijkheid. Zijn genoeg mensen die ik ken die niet zo goed met virussen omgaan.

Algemene vraag: Ik heb ooit eens gehoord dat als je een user genaamd !0000 in je (outlook) adresboek zet, een virus daarover 'struikelt'. Is dat zo?

Ooit van gehoord, maar eigelijk nooit geprobeerd. Het gaat uit van een systeem dat wanneer het eerste email adres ongeldig is, dat de rest van je lijst niet meer gechecked wordt. Zoals Schouw al aangeeft, geloof ik daar niet zo in.

dinsdag 27 januari 2004 18:43

Acties:

0 Henk 'm!

Anoniem: 39303

Ik zie nu wel een hele sterke "Nederland komt thuis" beweging, aan het eind van de middag zakte het een beetje in, maar sinds 6 uur gaat het weer hard omhoog.

De meeste Nederlanders hebben thuis natuurlijk ook minder virusbescherming dan op het werk en openen toch makkelijker bestanden die ze op het werk niet kunnen/mogen openen.

dinsdag 27 januari 2004 18:45

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

Wel mooie update van www.messagelabs.com/viruseye/threats/ :

Warning: Mydoom virus spreading rapidly

Updated at 14.20 GMT/09.20 New York/01.20 Sydney

MessageLabs has now intercepted 1.2 million copies of W32/Mydoom.A-mm. The company is processing between 50,000 and 60,000 copies of the worm an hour. To date, the worm’s peak infection rate is 1 in 12 of all email scanned be MessageLabs. So far, the worm has been seen in 168 countries.

W32/Mydoom.A has exceeded the infamous SoBig.F virus in terms of copies intercepted, and the number continues to rise.

[ Voor 3% gewijzigd door wildhagen op 27-01-2004 18:46 ]

Virussen? Scan ze hier!

dinsdag 27 januari 2004 19:43

Acties:

0 Henk 'm!

Sponge

Serious Game Developer

Hm, krijg ook constant die mail binnen. Blijkbaar ene iemand die me in zijn adresboek had.. zonder een virusscanner... Krijg per uur nu 8 stuks binnen

btw: Sticky?

dinsdag 27 januari 2004 19:54

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Kramers schreef op 27 januari 2004 @ 13:13:
domme vraag: maar hoe weet jij dat je geen virus hebt als je geen virusscanner gebruikt?

Virus-mailtjes zijn makkelijker te herkennen dan je denkt hoor

En er zijn ook online scanners, die ik eens per week er over langs laat gooien...

[ Voor 15% gewijzigd door CH4OS op 27-01-2004 19:54 ]

dinsdag 27 januari 2004 19:56

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Sponge schreef op 27 januari 2004 @ 19:43:
btw: Sticky?

Het gaat inderdaad gruwelijk hard, maar veel besmette tweakers ben ik nog niet tegengekomen (gezien aan het aantal topics erover: die zijn er amper en 0 vanwege infectie). Zolang dit topic redelijk bovenaan staat is het ook niet zo heel nodig denk ik. Maar als er besmette tweakers komen en het nodig blijkt komt er wel een sticky ja

Ontopic: CERT heeft nu een Advisory doen uitgaan: CERT Advisory CA-2004-02 Email-borne Viruses

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 27 januari 2004 19:56

Acties:

0 Henk 'm!

Anoniem: 39303

Ik ben trouwens nu diverse ipadressen in de firewall aan het blacklisten want 80% van alle virussen komen slechts van een handje vol ipadressen (vooral xs4all klanten), meer mensen hier last van?

dinsdag 27 januari 2004 19:59

Acties:

0 Henk 'm!

Anoniem: 55140

ThePerfectCell schreef op 27 januari 2004 @ 19:54:
[...]
Virus-mailtjes zijn makkelijker te herkennen dan je denkt hoor En er zijn ook online scanners, die ik eens per week er over langs laat gooien...

Sinds wanneer komen alle virussen via de mail binnen?
Lees een post hierboven over IE nog maar eens, het is mogelijk een spammachine van je te maken zonder ergens op ja te hoeven klikken met security settings @ high.
We gebruiken natuurlijk een dll, want dat valt stukken minder op.
Daarnaast hebben virussen die op andere manieren binnenkomen dan mail meestal ook een ietswat minder leuke payload.

Welke scanners gebruik je? Trend kon nog niet eens na 1,5 jaar klez.h fatsoenlijk detecteren.

PAV is waarschijnlijk meest overrated AV die het geeft.
Laat dat net de twee bekendste online scanners zijn..

En dan nog, een week is méér dan genoeg tijd om 1000en(spam)mails te versturen.

dinsdag 27 januari 2004 20:01

Acties:

0 Henk 'm!

Sen

<-->

Ik heb vandaag alleen al 300 van die mailtjes gehad. Veel op willekeurigenaam@mijndomein.com. Echt zwaar irritant is dit. Dit is tot nu toe het enigste virus waar ik echt last van heb.

dinsdag 27 januari 2004 20:05

Acties:

0 Henk 'm!

Anoniem: 39303

Sen schreef op 27 januari 2004 @ 20:01:
Ik heb vandaag alleen al 300 van die mailtjes gehad. Veel op willekeurigenaam@mijndomein.com. Echt zwaar irritant is dit. Dit is tot nu toe het enigste virus waar ik echt last van heb.

Geen willekeuringe lijst met namen, er zit een array met ongeveer 30 voornamen ingebakken in het virus vooral Bob; ray; sandra etc

dinsdag 27 januari 2004 20:06

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

Anoniem: 39303 schreef op 27 januari 2004 @ 20:05:
[...]

Geen willekeuringe lijst met namen, er zit een array met ongeveer 30 voornamen ingebakken in het virus vooral Bob; ray; sandra etc

Dit zijn ze:

Additionally, the worm contains strings, which it uses to randomly generate, or guess, email addresses. These are prepended as user names to harvested domain names:

* sandra
* linda
* julie
* jimmy
* jerry
* helen
* debby
* claudia
* brenda
* anna
* alice
* brent
* adam
* ted
* fred
* jack
* bill
* stan
* smith
* steve
* matt
* dave
* dan
* joe
* jane
* bob
* robert
* peter
* tom
* ray
* mary
* serg
* brian
* jim
* maria
* leo
* jose
* andrew
* sam
* george
* david
* kevin
* mike
* james
* michael
* john
* alex

Virussen? Scan ze hier!

dinsdag 27 januari 2004 20:06

Acties:

0 Henk 'm!

Pogostokje

* twiet *

Anoniem: 39303 schreef op 27 januari 2004 @ 19:56:
Ik ben trouwens nu diverse ipadressen in de firewall aan het blacklisten want 80% van alle virussen komen slechts van een handje vol ipadressen (vooral xs4all klanten), meer mensen hier last van?

Ja, en chello is ook begonnen zag ik net. Allemaal IP adressen uit die reeksen. Het wordt avond, mensen gaan hun mail lezen en op domme dingen klikken enzo.

... ook ik heb soms per ongeluk gelijk.

dinsdag 27 januari 2004 20:11

Acties:

0 Henk 'm!

Anoniem: 39303

Pogostokje schreef op 27 januari 2004 @ 20:06:
[...]

Ja, en chello is ook begonnen zag ik net. Allemaal IP adressen uit die reeksen. Het wordt avond, mensen gaan hun mail lezen en op domme dingen klikken enzo.

[rml]mabit in "[ VirusAlert] Mydoom = Novarg = Mimail.r"[/rml]

dinsdag 27 januari 2004 22:27

Acties:

0 Henk 'm!

Crash

ik heb er dus ook last van

kreeg gister en vandaag vage mailtjes binnen die gebounced waren, terwijl ik van mijn account niet eens mailtjes gestuurd had. scan met NAV leverde niks op.

deze kreeg ik bijvoorbeeld:

- These recipients of your message have been processed by the mail server:
jim@libero.it; Failed; 5.2.2 (mailbox full)

Remote MTA ims2a.libero.it: SMTP diagnostic: 552 RCPT TO:<jim@libero.it> Mailbox disk quota exceeded

en nog wat andere, maar die had ik al weggegooid

nu lees ik dit hier dus, en het verklaart een hoop

nog even voor de zekerheid m'n register etc. gechecked aan de hand van de gegevens die hier in dit topic staan, gelukkig niks aan de hand op mijn systeem.
maar wel verdomd vervelend dit zeg

dinsdag 27 januari 2004 22:30

Acties:

0 Henk 'm!

DJSmiley

Hier ook al weer spitsuur.

Leuk, zo'n *@hostname.demon.nl mailadres, maar op deze manier krijg ik dus wel een enorme zooi binnen.

Ikke kijken wat t was (mn mailserver AV was nog niet geupdated, wou 'm ff over andere virusscan gooien), klik ik g$%GDG#$$ dubbel ipv kopieeren naar server (met av)

kon ik dus mn eigen meteen gaan ontsmetten

dinsdag 27 januari 2004 22:45

Acties:

0 Henk 'm!

Mimail is toch een ander virus dan Mydoom(Novarg), waarom staan ze allebei (drie) dan in de topictitel?

dinsdag 27 januari 2004 22:49

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

ET schreef op 27 januari 2004 @ 22:45:
Mimail is toch een ander virus dan Mydoom(Novarg), waarom staan ze allebei (drie) dan in de topictitel?

Dit virus heeft meerder namen:

McAfee noemt hem MyDoom
Norton noemt hem Novarg
Trend noemt hem Mimail.r

Maar het is wel alledrie hetzelfde virus.

Virussen? Scan ze hier!

dinsdag 27 januari 2004 22:50

Acties:

0 Henk 'm!

Anoniem: 40595

mimail is de naam die trend eraan geeft, iedere scannerbakker geeft er voor de handigheid een andere naam aan

dinsdag 27 januari 2004 23:01

Acties:

0 Henk 'm!

Panda kent een Mydoom.A en Mimail.C ,
McAfee kent W32/Mydoom@MM en W32/Mimail.q@MM,
Computer Associates() kent Win32.Mydoom.A en Win32.Mimail.Q,
Norton kent W32.Novarg.A@mm en W32.Mimail.Q@mm,

Lijken me dus wel 2 verschillende virussen
Mimail is bij allen Low risk, Mydoom is High risk(Outbreak).

edit:
Ik zie nu dat idd Trend de handigheid heeft bedacht om Mydoom maar de naam Mimail.R (want dat komt na Q

) te geven

[ Voor 38% gewijzigd door ET op 27-01-2004 23:06 . Reden: FF Norton toegevoegd ]

dinsdag 27 januari 2004 23:09

Acties:

0 Henk 'm!

Anoniem: 55140

Doet me denken aan Welchia..
Trend heeft er toen blaster.d oid van gemaakt.(als enige)
Zoals we weten is Welchia geen lovesan variant..

[ Voor 5% gewijzigd door Anoniem: 55140 op 27-01-2004 23:09 ]

woensdag 28 januari 2004 12:47

Acties:

0 Henk 'm!

Anoniem: 38841

heb het hier op het werk ook gehad gister, een collega klikte het aan en sindsdien is die pc helemaal over de rooie, helaas nog geen virusscanner geinstalleerd, aangezien deze pc net opnieuw is geinstalleerd.

Maar het virus is er uit, alleen is de server er nu mee gekapt, (exchange) de data is beschadigd.

woensdag 28 januari 2004 13:51

Acties:

0 Henk 'm!

Anoniem: 76468

We Are Borg schreef op 27 januari 2004 @ 13:06:
[...]

Daar hou ik het dan maar voorlopig op. Niks gevonden wat wijst op het virus, behalve die reg key. Zal wel in een spamlijstje staan die is overgenomen ofzo.

Je hebt die key helemaal niet,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Let op die extra Version, staan niet in jouw screenshot hoor.

[ Voor 9% gewijzigd door Anoniem: 76468 op 28-01-2004 13:54 ]

woensdag 28 januari 2004 14:04

Acties:

0 Henk 'm!

Icey

Zo maar een vraag, Ikzelf ben altijd erg voorzichtig met alles maar nou was ik toch wel benieuwd of ik wel veilig zit.

Mailserver zit een geintergreerde scanner van kaspersky in die iedere nacht om 00.00 update (en verbazingwekkend iedere nacht een mailtje van 1 a4tje met allemaal backdoors/virussen in mijn mailbox). Ik draai verder mcafee 4.5.1 op de server die ook snachts update, en een Mcafee Home op mijn eigen pcs (met dank aan xs4all). Ik denk dat ik hiermee toch wel redelijk veilig zit?

Wat ik me daarnaast afvraag, er gaat aadig wat mailtjes heen en weer, en toch heb ik nog geen enkel virussmailtje gehad de afgelopen laten we zeggen 6 maanden

. Ik zie her en der mensen die echt dit virus al 10x voorbij zien komen op dagelijkse basis. Komt dat gewoon omdat die gasten minder voorzichtig zijn met het geven van hun adressen ofzo?

woensdag 28 januari 2004 14:12

Acties:

0 Henk 'm!

anandus

offtopic:
Wat hoorde ik net?

SCO heeft een kwart miljoen dollar beloning uitgekeerd voor degene die de maker van het MyDoom-virus aangeeft

Klopt dit?

"Always remember to quick save" - Sun Tzu

woensdag 28 januari 2004 14:16

Acties:

0 Henk 'm!

leftbird

Ik krijg echt tientallen mailtjes binnen op het moment met het w32/MYDOOM virus er in. Meesten zijn naam@chello.nl zitten ook wat mailtjes van bekkende bij maar waar komen die naam@chello.nl vandaan dan.

woensdag 28 januari 2004 14:18

Acties:

0 Henk 'm!

Anoniem: 55140

anandus schreef op 28 januari 2004 @ 14:12:

offtopic:
Wat hoorde ik net?

SCO heeft een kwart miljoen dollar beloning uitgekeerd voor degene die de maker van het MyDoom-virus aangeeft

Klopt dit?

http://webwereld.nl/nieuws/17591.phtml
Ietswat betrouwbaardere link:Artikel /.(Slashdot dus)

Edit:
Directe link PR van SCO

[ Voor 12% gewijzigd door Anoniem: 55140 op 28-01-2004 14:19 ]

woensdag 28 januari 2004 16:27

Acties:

0 Henk 'm!

Anoniem: 55140

Van KL UK:

Please ensure you have latest updates as there has just been detected a new variant of mydoom (mydoom.b) by Kaspersky Labs.

woensdag 28 januari 2004 16:28

Acties:

0 Henk 'm!

Anoniem: 39303

leftbird schreef op 28 januari 2004 @ 14:16:
Ik krijg echt tientallen mailtjes binnen op het moment met het w32/MYDOOM virus er in. Meesten zijn naam@chello.nl zitten ook wat mailtjes van bekkende bij maar waar komen die naam@chello.nl vandaan dan.

als je een alias hebt dat voorkomt in de lijst van Mcafee dan ben je de lul, het virus heeft een vaste lijst me namen:

bijv

ray
brenda
sandra
etc
etc.

die plakt ie vast aan zoveel mogelijk domeinen die hij kan vinden. Chello.nl is een redelijk bekend domein dus je zult er flink wat virussen op binnen krijgen.

woensdag 28 januari 2004 16:30

Acties:

0 Henk 'm!

anandus

Anoniem: 55140 schreef op 28 januari 2004 @ 16:27:
Van KL UK:

[...]

Gaat snel...

Bij dit soort nieuwe versies, is het dan van dezelfde maker of juist niet?

"Always remember to quick save" - Sun Tzu

woensdag 28 januari 2004 16:34

Acties:

0 Henk 'm!

Gardocki

Anoniem: 55140 schreef op 28 januari 2004 @ 16:27:
Van KL UK:

[...]

Heb je een linkje?

They made me do it.

woensdag 28 januari 2004 16:34

Acties:

0 Henk 'm!

Anoniem: 55140

anandus schreef op 28 januari 2004 @ 16:30:
[...]
Gaat snel...

Bij dit soort nieuwe versies, is het dan van dezelfde maker of juist niet?

Dat ligt er maar net aan, kan ik zo geen zinnig woord over zeggen.
Waarschijnlijk wel.

woensdag 28 januari 2004 16:35

Acties:

0 Henk 'm!

Anoniem: 55140

Tom S. schreef op 28 januari 2004 @ 16:34:
[...]

Heb je een linkje?

Heeft ze gepost op ander forum, maar uit daily.txt:

I-Worm.Mydoom.a, I-Worm.Mydoom.b,

woensdag 28 januari 2004 17:27

Acties:

0 Henk 'm!

Anoniem: 55140

(Excuses for yet another post)...

. Our analysts believe that Mydoom.b is probably using machines infected by the original Mydoom to propagate. Therefore, the computer community may be facing a much more serious outbreak than the one caused by Mydoom.a yesterday, January 27.

Dat is _niet_ goed.

Deze variant target www.microsoft.com ipv. www.sco.com om te DoSen.

woensdag 28 januari 2004 17:35

Acties:

0 Henk 'm!

Anoniem: 40595

nee he niet alweer dat gezeik.
laat die virus scriptkiddies eens iets orgineler zijn.

woensdag 28 januari 2004 17:45

Acties:

0 Henk 'm!

Anoniem: 39303

avert is em nog aan het onderzoeken, maar voorlopig heeft hij de status LOW, maar er wordt zo te zien wel een emmergency dat release gedaan.

4320 komt vanavond uit, dus dat is wel een teken dat ze het serieus nemen:

http://vil.nai.com/vil/content/v_100988.htm

woensdag 28 januari 2004 17:49

Acties:

0 Henk 'm!

Anoniem: 55140

Anoniem: 39303 schreef op 28 januari 2004 @ 17:45:
avert is em nog aan het onderzoeken, maar voorlopig heeft hij de status LOW, maar er wordt zo te zien wel een emmergency dat release gedaan.

4320 komt vanavond uit, dus dat is wel een teken dat ze het serieus nemen:

http://vil.nai.com/vil/content/v_100988.htm

Het is woensdag.

Hij is al ITW.
Heb al wat Amerikanen gesproken die hem hebben.

woensdag 28 januari 2004 17:52

Acties:

0 Henk 'm!

Anoniem: 39303

Anoniem: 55140 schreef op 28 januari 2004 @ 17:49:
[...]

Het is woensdag.
Hij is al ITW.
Heb al wat Amerikanen gesproken die hem hebben.

Mcaffee releast standaard zijn dat files om 22.26 (lokale tijd) dat is 04.26 Nederlandse tijd, ik kan het mis hebben, maar kijk eens op de ftp server naar de aanmaak tijden

woensdag 28 januari 2004 18:09

Acties:

0 Henk 'm!

Anoniem: 55140

Anoniem: 39303 schreef op 28 januari 2004 @ 17:52:
[...]

Mcaffee releast standaard zijn dat files om 22.26 (lokale tijd) dat is 04.26 Nederlandse tijd, ik kan het mis hebben, maar kijk eens op de ftp server naar de aanmaak tijden

Ik zeg alleen dat NAI standaard op de woensdag update released.
Heb snel even gekeken op ftp://ftp.nai.com en daar staan alleen 4319DATs, maar het kan zijn dat ik wat heb gemist aangezien ik daar nooit kom.

woensdag 28 januari 2004 18:16

Acties:

0 Henk 'm!

Anoniem: 39303

Anoniem: 55140 schreef op 28 januari 2004 @ 18:09:
[...]

Ik zeg alleen dat NAI standaard op de woensdag update released.
Heb snel even gekeken op ftp://ftp.nai.com en daar staan alleen 4319DATs, maar het kan zijn dat ik wat heb gemist aangezien ik daar nooit kom.

volgens mij released NAI 7 dagen na de vorige update maar ik kan het mis hebben hoor.

dat zou natuurlijk ook kunnen dat het gewoon een wekelijkse update is...

woensdag 28 januari 2004 18:19

Acties:

0 Henk 'm!

anandus

Anoniem: 55140 schreef op 28 januari 2004 @ 17:27:
(Excuses for yet another post)...

[...]

Dat is _niet_ goed.
Deze variant target www.microsoft.com ipv. www.sco.com om te DoSen.

Koffiedik kijken enzo, maar is er een kans dat dit expres zo opgezet is?

"Always remember to quick save" - Sun Tzu

woensdag 28 januari 2004 18:21

Acties:

0 Henk 'm!

Anoniem: 39303

Dit is minder grappig

Redirection To Prevent Updates
The worm appends the local hosts file to prevent the access of updates and information. The following sites are redirected, such that they are inaccessible.

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

woensdag 28 januari 2004 18:21

Acties:

0 Henk 'm!

Anoniem: 55140

dat zou natuurlijk ook kunnen dat het gewoon een wekelijkse update is...

Daar doelde ik dus op.

KL heeft als(een van de)eerste een write-up.
Dat ik die dag nog mocht meemaken.

http://www.viruslist.com/eng/viruslist.html?id=850737

The worm contains a backdoor function, and is also programmed to carry out DoS attacks on the sites www.sco.com and www.microsoft.com.

Dus beide sites..

woensdag 28 januari 2004 18:28

Acties:

0 Henk 'm!

wildhagen

Blablabla

Topicstarter

Anoniem: 39303 schreef op 28 januari 2004 @ 18:16:
[...]

volgens mij released NAI 7 dagen na de vorige update maar ik kan het mis hebben hoor.

Nee, er komt *altijd* op woensdag een update uit, en er zit niet altijd 7 dagen tussen. Eergisteren (toen het originele virus uitkwam) zijn er zelfs twee DAT-files op één dag uitgekomen (4318 en 4319).

Virussen? Scan ze hier!

woensdag 28 januari 2004 18:48

Acties: