Hoofdcategorieën
Device Settings

[RSS] [quick] Forum » Softe goederen » Beveiliging & Virussen » [VirusAlert] Bagle varianten lijken o.a. van ISP af te komen

Topicacties

[VirusAlert] Bagle varianten lijken o.a. van ISP af te komen

Dit topic is afgesplitst vanuit een ander topic of gemerged; de topicstarter is daarom niet gelijk aan de topicstarter zoals vermeld in de topiclijst.

Pagina: 1 2 3 last

Reageer Nieuw Topic

offline Geplaatst op dinsdag 17 februari 2004 16:58

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
MAJOR UPDATE: LEES DIT

Sinds een paar dagen doen nieuwe varianten de ronde.
Deze lijken o.a. van je ISP af te komen, waar een password protected zipfile bijzit, dit om het echter te laten lijken.
Dit is dus geen echt bericht van je ISP, maar een virus.
Note:De mail zal(bijna)altijd eruitzien alsof het van je eigen ISP afkomt, dus als je Demon gebruikt staat er wat over Demon in de mail, bij bijvoorbeeld @home, dus iets over @home.


Voorbeeldmail: ISP was yahoo
Subject: Email account utilization warning
Attach: Attach.zip
Message:
quote:
Dear user, the management of Yahoo.com mailing
system wants to let you know that,

Your e-mail account will be disabled because of
improper using in next
three days, if you are still wishing to use it,
please, resign your
account information.

For details see the attached file.

For security purposes the attached file is
password protected. Password is "07364".

Cheers,
The Yahoo.com team


Nogmaals: dit is een voorbeeldmail, karakteristieken kunnen dus afwijken.


Oude originele post naar onder geschoven:


We've got a spreader..
KL: Severe Risk
Symantec: Cat3
NAI: Medium

quote:
Infected emails have the following characteristics:
Message header:

ID x... thanks

with "x" being a string of random characters.
Message body:

Yours ID x
--
Thank

with "x" being a string of random characters.
Attachment:
The attachment has a random name and is 11KB in size.

A detailed description of I-Worm.Bagle.b will be available in the near future.

Wat write-ups:
http://www.viruslist.com/eng/alert.html?id=983343
http://www.f-secure.com/v-descs/bagle_b.shtml
http://vil.nai.com/vil/content/v_101030.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.alua@mm.html

edit:
En dat in de korte tijd dat ik buiten was...
I will never go outside again!! :+


Nuttige edit:
Removal tool: http://www.f-secure.com/tools/f-bagle.zip
http://www.f-secure.com/tools/f-bagle.exe

quote:
Found on 17th of February 2004, Bagle.B is a variant of the successful Bagle. As its predecessor it is mass-mailing worm. The worm sends messages with the subject 'ID [random string]... thanks' and random EXE attachment names. It also installs a backdoor. Bagle has been programmed to stop spreading on 25th of February.

Schouw wijzigde dit bericht 04-03-2004 15:13 (63%)

Loudness overcomes reason

offline Geplaatst op dinsdag 17 februari 2004 19:17

Acties:

Dupje
Berichten: 9.442
Reg. datum: 21 juni 2002
Zijn die exe bestanden schadelijk (bevatten ze het virus :? ) en worden ze getedecteerd als virus zijnde door de antivirussen?

Elektro bliepjes enzo - Forza Scuderia Ferrari

offline Geplaatst op dinsdag 17 februari 2004 19:20

Acties:

CptChaos
It's a kind of magic
Berichten: 8.765
Reg. datum: 17 april 2002
quote:
duponjan schreef op 17 februari 2004 @ 19:17:
Zijn die exe bestanden schadelijk (bevatten ze het virus :? ) en worden ze getedecteerd als virus zijnde door de antivirussen?
Ik kan aannemen, dat dat onder andere .exe files zijn. Zou me niet verbazen, als het ook .scr of andere extensies zouden zijn...

Als je virusdefinities de nieuwste zijn, neem ik aan van wel... 8)7 |:( Of snap ik nu je vraag niet zo goed?

CptChaos wijzigde dit bericht 17-02-2004 19:23 (18%)

[ Het Spotweb topic ][ Spotweb Github ][ BF3 topic ][ GoT BF3 site ]

offline Geplaatst op dinsdag 17 februari 2004 19:29

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
duponjan schreef op 17 februari 2004 @ 19:17:
Zijn die exe bestanden schadelijk (bevatten ze het virus :? ) en worden ze getedecteerd als virus zijnde door de antivirussen?

Welke exe bestanden?
Die bij de verzonden mail zitten?
Dat zijn replica's. :+

Alle vendors hebben inmiddels een update uitgebracht afaik.

Loudness overcomes reason

offline Geplaatst op woensdag 18 februari 2004 10:42

Acties:

Siebje
Berichten: 42
Reg. datum: 05 februari 2004
is er al een aantal beinfecteerde pc's bekend?
 

offline Geplaatst op woensdag 18 februari 2004 10:42

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
Siebje schreef op 18 februari 2004 @ 10:41:
[...]


sorry, idd Bagle.b daar vroeg ik het me over af.

We gaan hier maar verder. :P
Dat zullen nu nog wel hele grove schattingen zijn..
Zal vanmiddag eens navragen.

Loudness overcomes reason

offline Geplaatst op woensdag 18 februari 2004 14:53

Acties:

0xDEADBEEF
Berichten: 1.110
Reg. datum: 21 december 2003
quote:
Schouw schreef op 18 februari 2004 @ 10:42:
Zal vanmiddag eens navragen.
Zijn de exacte aantallen van besmetting niet online beschikbaar of is dat "bedrijfsgeheim" :?

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

offline Geplaatst op woensdag 18 februari 2004 14:55

Acties:

Moore
The law
Berichten: 6.361
Reg. datum: 22 januari 2004
Ik kreeg ook al een waarschuwing via m'n Virusscanner (McAfee Personal) , heel handig... meteen de laatste definities ophalen.
 

offline Geplaatst op woensdag 18 februari 2004 14:58

Acties:

Bas Jansen
Berichten: 145
Reg. datum: 06 juni 2000
Ik heb er gisteren eentje binnen gekregen en die werd niet herkend door Norton Antivirus 2003 Professional met de definities van 16 februari. Met de definities van 17 februari vond 'ie 'm wel.
 

offline Geplaatst op woensdag 18 februari 2004 15:15

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
LaLaLand schreef op 18 februari 2004 @ 14:53:
[...]


Zijn de exacte aantallen van besmetting niet online beschikbaar of is dat "bedrijfsgeheim" :?

Waarom zouden ze bedrijfsgeheim zijn?
Als er keuze is tussen virusanalyse en wat getalletjes online zetten, gaat het eerste voor.
Net zoals KL eerst een update uitbrengt voordat ze gaan beginnen aan de write-up.
Exacte aantallen kun je natuurlijk nooit geven.

En we hebben nóg een Severe risk worm zie ik nu...
Maw: Genoeg andere dingen te doen. :)

Loudness overcomes reason

offline Geplaatst op woensdag 18 februari 2004 15:19

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Schouw schreef op 18 februari 2004 @ 15:15:
[...]

En we hebben nóg een Severe risk worm zie ik nu...
Maw: Genoeg andere dingen te doen. :)
Laat me raden: W32/NetSky.B? Damn, wat een kreng, die gaat écht loeihard. Zojuist de EXTRA.DAT van NAI geinstalleerd... McAfee gaat meteen als een gek tekeer met detecties... gaat nog sneller dan Mydoom een tijdje terug, op dit moment althans....

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op woensdag 18 februari 2004 15:24

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
wildhagen schreef op 18 februari 2004 @ 15:19:
[...]


Laat me raden: W32/NetSky.B? Damn, wat een kreng, die gaat écht loeihard. Zojuist de EXTRA.DAT van NAI geinstalleerd... McAfee gaat meteen als een gek tekeer met detecties... gaat nog sneller dan Mydoom een tijdje terug, op dit moment althans....
Yup. :)
[VirusAlert] Moodown.b / Netsky.B

Loudness overcomes reason

offline Geplaatst op woensdag 18 februari 2004 15:31

Acties:

Sluuut
Sluuut pred 29y 188d 23h 55m
Berichten: 7.025
Reg. datum: 16 februari 2003
Ik moet wel zeggen dat ik blij ben dat de virussen tegenwoordig massmailers zijn.. aangezien ik geen onbekende attachments open... Vroeger had je virussen die zowat alle .exe's aanpaste waardoor ze corrupt worden.. dat was nogal vervelend.

Nor bedak!!

offline Geplaatst op zaterdag 28 februari 2004 00:51

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Bagle.c is gesignaleerd.
NAI ziet het atm als een medium risk.

Voorlopige write-up: http://vil.nai.com/vil/content/v_101059.htm

[Bagle.c added to title]

Edit:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.c@mm.html
http://www.f-secure.com/v-descs/bagle_c.shtml
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.C

Nogmaals edit:
Het lijkt erop dat zo ongeveer alle vendors hebben geupdate, opvallend: NAV nog niet.
Wederom is AVG (free)sneller met de(automatische)update dan NAI/NAV, wat toch wel raar is eigenlijk.

En nog een keer!
quote: Symantec
Note: Virus definitions version 60217w (extended version 2/17/2004 rev 23) detect this sample as W32.Beagle.A@mm.

False positive die goed uitpakt deze keer. :P
(Dit komt niet vaak genoeg voor om geen toeval te zijn imo).

Schouw wijzigde dit bericht 28-02-2004 03:27 (88%)

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 15:54

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Title-edit: added Bagle.d

I-Worm.Bagle.d is ITW, ben benieuwd.

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 16:55

Acties:

AdminHenk
Berichten: 273
Reg. datum: 21 oktober 2002
quote:
Schouw schreef op 28 februari 2004 @ 00:51:
Bagle.c is gesignaleerd.
Het lijkt erop dat zo ongeveer alle vendors hebben geupdate, opvallend: NAV nog niet.
Wederom is AVG (free)sneller met de(automatische)update dan NAI/NAV, wat toch wel raar is eigenlijk.

En nog een keer!

[...]

False positive die goed uitpakt deze keer. :P
(Dit komt niet vaak genoeg voor om geen toeval te zijn imo).
NAV Corporate had gisteren al definitie tegen bagle.c
 

offline Geplaatst op zaterdag 28 februari 2004 17:03

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 28 februari 2004 @ 15:54:
Title-edit: added Bagle.d

I-Worm.Bagle.d is ITW, ben benieuwd.

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.D

:?

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zaterdag 28 februari 2004 17:09

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
There are very few differences in the C and D variants; they have the same sizes and same functionality, and the emails sent by them are identical. Mostly the virus has been modified to avoid detection by some antivirus programs.
Lijkt populair te worden om kleine aanpassingen te doen..

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 17:10

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 28 februari 2004 @ 17:09:
[...]

Lijkt populair te worden om kleine aanpassingen te doen..

aha
ik vatte het al ff niet

iig heeft trend vanacht 2 patterns gereleased, dus dan zit het verder wel snor :)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zaterdag 28 februari 2004 17:22

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
D2k schreef op 28 februari 2004 @ 17:10:
[...]

aha
ik vatte het al ff niet

iig heeft trend vanacht 2 patterns gereleased, dus dan zit het verder wel snor :)

1 @ 1:10 onze tijd
2 @ 5:40 onze tijd

Dan neem ik aan dat die tweede was voor 'bagle.d', dan was Trend rap hiermee. :)

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 17:37

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Ja gvd...

I-Worm.Bagle.e is ITW.

Title-enhancement: generic sig. :P :)

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 17:39

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
ROFLOL, gaat hard zo :P

Maar waarom melden zowel Sophos, Symantec als NAI nog niks over .D, laat staan .E? Worden die niet misleid door die minieme verschillen oid? :?

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op zaterdag 28 februari 2004 17:50

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Volgens mij werken die allemaal met string-based sigs, hoewel ik het bij Sophos niet durf te zeggen.
Dit maakt het gericht ondetecteerbaar maken supereasy, maar die strings zitten(vaak)in een gedeelte wat niet wordt gepackt, waardoor zo'n AV dus weer meer kans heeft, behalve als de author daar natuurlijk ook op heeft gelet.

Deze Worm lijkt een beetje anti-KAV te zijn..
(Check maar waarnaar hij geen mail zal sturen, alleen avp wordt geblockt).

Yet another new variant of the Bagle worm, Bagle.E was found in the wild on February 28th, 2004.

This variant is packed with PeX packer instead of UPX used by C and D variants. So the file is a bit larger.

KAV ondersteunt Pex, dus dat zou het probleem eigenlijk niet mogen zijn..
Tenzij het een modified version is.

Het kan natuurlijk ook gewoon zijn dat KAV eerder is met detectie dan de andere vendors.
Sowieso overdag is die kans redelijk groot.

edit:
Maar normaal zie je bijvoorbeeld bij NAI staan van:
"new variant detected blablabla"
Dat mis ik nu een beetje

Schouw wijzigde dit bericht 28-02-2004 17:59 (7%)

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 18:46

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
Oké, NAI heeft nu in ieder geval een pagina voor Bagle.D aangemaakt: http://vil.nai.com/vil/content/v_101060.htm

Op dit moment staat er niks op, maar dat kan elk moment veranderen. Kennelijk zijn ze hem aan het analyzen.

Edit (19:14): ook voor Bagle.E is nu een page aangemaakt: http://vil.nai.com/vil/content/v_101061.htm . Deze is nog leeg. De page van .D is nu wel gevuld (link zie hierboven)

Edit (20:48): De site van Bagle.e (zie hierboven) is nu ook geupdate :)

wildhagen wijzigde dit bericht 28-02-2004 20:49 (39%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op zaterdag 28 februari 2004 18:56

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.E
trend heeft al een pagina, en hij zit in de controlled release. nog niet in de algemene pattern.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zaterdag 28 februari 2004 20:22

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Schaamteloze c/p van online friend. :P
Dikgedrukte zut is clickable.
Vaag @ Trend wel, want nu staat er weer wel een write-up mbt. Bagle.d

Swiss AVP: I-Worm.Bagle.c and I-Worm.Bagle.d
{not the same Site as Kaspersky Virus Encyclopedia}

Panda: Bagle.C
{no matches to Bagle.D in their Virus Encyclopedia yet}

Trend: WORM_BAGLE.D and WORM_BAGLE.C
{they are on the ball with detailed writeups on both variants}

Sophos: W32/Bagle-C
{no hits on "D" variant yet at their site}

Computer Associates: Win32.Bagle.C
{nothing on "D" variant listed by CA yet either}

BitDefender: Win32.Bagle.{C-E}@mm
{BD, like Kaspersky, has the 'C' through 'E' covered}

VSAntivirus {English Transl}: W32/Bagle.C
"It opens notepad and it shows icon of Excel"
{nothing listed for 'D' variant yet}

Norman: W32/Bagle.C@mm and W32/Bagle.D@mm
{like Kaspersky & Trend, they are on the ball with writeups on 'C', 'D'}

VisNetic: I-Worm.Bagle.c and I-Worm.Bagle.d
{they too are on the ball with both 'C' and 'D'}

F-Secure: Bagle.C, Bagle.D, and Bagle.E
{last but not least - perhaps the best vendor writeups}

offtopic:
Wildhagen, je link naar Bagle.e is niet helemaal correct. :)

Loudness overcomes reason

offline Geplaatst op zaterdag 28 februari 2004 20:24

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 28 februari 2004 @ 20:22:
Vaag @ Trend wel, want nu staat er weer wel een write-up mbt. Bagle.d
whehe idd vaag
pattern 784 was die eerste van vanacht iig. Dus ze waren er vlotjes bij.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zaterdag 28 februari 2004 20:49

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Schouw schreef op 28 februari 2004 @ 20:22:

offtopic:
Wildhagen, je link naar Bagle.e is niet helemaal correct. :)
Fixed. Hij nam de punt mee in de URL, dat moet natuurlijk niet :)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op zaterdag 28 februari 2004 21:02

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Pattern: 787
Version: 00
Release Type: New Malware Threat
Notes:
WORM_BAGLE.D and WORM_BAGLE.E
net gereleased. Trends 3e pattern van vandaag.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zondag 29 februari 2004 02:15

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Een LiveUpdate op zaterdag(USA), dat zie je ook niet vaak.
Symantec heeft dus IU/LU ge-issued voor Bagle.e.
Niet gepland aan write-up te zien.(Ga je je toch afvragen of er nu weer FP issues komen) :X

Loudness overcomes reason

offline Geplaatst op zondag 29 februari 2004 13:40

Acties:

eborn
Berichten: 2.354
Reg. datum: 27 april 2000
Ik verbaas me er weer enkele keer over hoe snel ClamAV (ook gratis) is met het uitbrengen van updates. Onze mailserver gebruikt het als mailscanner en met alle nieuwe virussen werkt het als een trein.

Vacature: PHP Web Developer

offline Geplaatst op zondag 29 februari 2004 17:36

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Beetje late reactie. Ook ik heb nog wel eens een social-life :P

I-Worm.Bagle.f is ITW.

Loudness overcomes reason

offline Geplaatst op zondag 29 februari 2004 17:40

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 29 februari 2004 @ 17:36:
Beetje late reactie. Ook ik heb nog wel eens een social-life :P

I-Worm.Bagle.f is ITW.
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.F

trend is nog aan het onderzoeken :)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zondag 29 februari 2004 17:41

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
* wildhagen zucht nog maar eens diep... je word er toch niet goed van....

Vannacht trouwens een exemplaar van Bagle.E gehad, maar niet afgevangen door McAfee (nog geen nieuwe DAT-files). Gemaild naar het AVERT en binnen 5 minuten een EXTRA.DAT gekregen. Deze werkt, want daarna is hij wel een paar keer afgevangen. Beetje slordig dat die Extra.DAT niet op de site stond...

Mensen die deze EXTRA.DAT ook willen hebben kunnen me mailen (adres: zie profile). Let op: deze werkt dus alleen tegen de .E-variant, niet tegen de .D en de .F.

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op zondag 29 februari 2004 17:51

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Quasi write-up.(Bij gebrek aan beter)
4 new variants of I-Worm.Bagle
[ 02/29/2004 19:25, GMT +03:00, Moscow ]
Danger : moderate risk

Kaspersky Lab reports four new variants of the Bagle mass-mailing Internet worm that were detected on february 28-29. These variants are named C, D, E, F and are all present in the e-mail traffic now.

All variants have minor differences and are packed with various packer utilities (UPX, Pex). They contain a backdoor routine acting on the port 2745.

The new variants of the Bagle worm are detected with the current Kaspersky Anti-Virus base set.

You can get more information on the I-Worm.Bagle.c and the I-Worm.Bagle.d worms in the "Virus Encyclopedia". The descriptions of the other worm's variants will be available soon.
Ben benieuwd of bepaalde andere vendors vandaag ook gaan updaten, verwacht het eigenlijk wel.

Loudness overcomes reason

offline Geplaatst op zondag 29 februari 2004 19:33

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
Bagle.F at McAfee/NAI: http://vil.nai.com/vil/content/v_101062.htm

En we gaan gewoon door, Bagle.G is inmiddels óók alweer gevonden...

.G @ McAfee/NAI: http://vil.nai.com/vil/content/v_101063.htm

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op zondag 29 februari 2004 20:27

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Hmm, ik moet nog een bevestiging krijgen, maar ik vermoed dat NAI's Bagle.F en Bagle.G een en dezelfde zijn voor KAV.

KAV VA:
quote:
what NAI detects as .g we detect as .f :)

Loudness overcomes reason

offline Geplaatst op zondag 29 februari 2004 20:55

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
D2k schreef op 29 februari 2004 @ 17:40:
[...]

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.F

trend is nog aan het onderzoeken :)
trend heeft een writeup gedaan iig :)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zondag 29 februari 2004 20:57

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
D2k schreef op 29 februari 2004 @ 20:55:
[...]

trend heeft een writeup gedaan iig :)
Had dan ook direct deze even genoemd. :)
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G

Loudness overcomes reason

offline Geplaatst op zondag 29 februari 2004 21:00

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 29 februari 2004 @ 20:57:
[...]

Had dan ook direct deze even genoemd. :)
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G
ah ff gemist :)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zondag 29 februari 2004 22:06

Acties:

D2k
Berichten: 22.027
Reg. datum: 06 januari 2001
quote:
Schouw schreef op 29 februari 2004 @ 20:57:
[...]

Had dan ook direct deze even genoemd. :)
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G
writeup
quote:
This memory-resident worm mass-mails copies of itself using its own SMTP (Simple Mail Transfer Protocol) engine. It sends out email messages with a spoofed return address to addresses that it gathered from an infected system. The email message it sends out has varying details.

Below is a sample email message that it sends out:


This new BAGLE variant is very similar to WORM_BAGLE.F. Its main difference is that it appends additional text strings in the body of the email message it sends out.

It also spreads by dropping malicious files in folders that have the text string ‘shar’ in its name.

It may update its malware copy by opening port 2745 and attempts to execute PHP files in the Web. It also terminates certain running proceses.

It runs on Windows 95, 98, ME, NT, 2000 and XP.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

offline Geplaatst op zondag 29 februari 2004 22:16

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
http://us.mcafee.com/viru...iption&virus_k=101063
quote:
This variant of W32/Bagle functions almost identically to the .F variant. There are two differences:

* The executable has been repackaged
* One of the processes the virus attempts to terminate has been altered
o OUTPOST.EXE -> OUTPOS1T.EXE
Spreekt Trend(een beetje)tegen dus.
\o/ @ KAV unpackers + code based sigs \o/ :P

Loudness overcomes reason

offline Geplaatst op maandag 01 maart 2004 12:30

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Update:
NAI en Symantec hebben vannacht een weekly/LU gereleased voor de nieuwe Bagle varianten.

offtopic:
Lijkt erop dat we alleen maar extra sig hebben gemaakt voor Bagle.d voor de 'handigheid':
# Win32.Bagle.D (Also known as I-Worm.Bagle.c (Kaspersky), WORM_BAGLE.D (Trend), Win32/Bagle.D.Worm, W32/Bagle.d@MM (McAfee))

Loudness overcomes reason

offline Geplaatst op maandag 01 maart 2004 18:25

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Nieuwe variant gesignaleerd:

Bagle.h

voorlopige write-up: http://vil.nai.com/vil/content/v_101068.htm

Edit:
Nog wat meer write-ups:
http://www.f-secure.com/v-descs/bagle_h.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.h@mm.html

Generic sig die eerder vandaag gemaakt is, bewijst nu al z'n nut. :)
quote:
The next new Bagle variant - Bagle.H, arrived at the evening on March 1st, 2004. This variant spreads in password protected ZIPs. The password is a random number included at the end of the email message.
Op password protected malware was ik al een hele tijd aan het wachten..

Schouw wijzigde dit bericht 01-03-2004 18:31 (75%)

Loudness overcomes reason

offline Geplaatst op maandag 01 maart 2004 18:35

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Schouw schreef op 01 maart 2004 @ 18:25:

Op password protected malware was ik al een hele tijd aan het wachten..
Je bent te lang aan het wachten, Bagle.F had ook al password-protected ZIP files (NAI tagged ze als W32/Bagle.f!pwdzip) ;)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op maandag 01 maart 2004 18:38

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
wildhagen schreef op 01 maart 2004 @ 18:35:
[...]


Je bent te lang aan het wachten, Bagle.F had ook al password-protected ZIP files (NAI tagged ze als W32/Bagle.f!pwdzip) ;)
Mja, ik las het, maar nu kreeg ik die quote voor m'n neus terwijl ik aan het posten was, dus dacht ik: laat ik dat er eens bijgooien. :P

Loudness overcomes reason

offline Geplaatst op dinsdag 02 maart 2004 10:33

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
The joy.

I-Worm.Bagle.h is ITW, hoewel de meeste andere vendors deze als Bagle.i detecteren.

Edit:

http://us.mcafee.com/viru...iption&virus_k=101069
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.i@mm.html

offtopic:
Zie nu pas dat het een hoofdletter 'i' is die Symantec gebruikte, dacht eerst 'l' :X

Schouw wijzigde dit bericht 02-03-2004 10:54 (96%)

Loudness overcomes reason

offline Geplaatst op dinsdag 02 maart 2004 15:09

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
Ok, McAfee/NAI heeft voor de .H en de .I-varianten nu een EXTRA.DAT gereleased. Te downloaden op http://a64.g.akamai.net/7...mcafee-avert/101068-a.exe

Edit: en om circa 18:00 is er een emergency DAT-release gekomen, versie 4331, te downloaden op http://a64.g.akamai.net/7...nglish/intel/sdat4331.exe
quote:
*******************IMPORTANT*******************

4331 Emergency Dat release due to:

W32/BAGLE.H@MM

**********************************************

wildhagen wijzigde dit bericht 02-03-2004 18:37 (52%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op dinsdag 02 maart 2004 21:50

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
Joepie!!! Feesten we allemaal mee? Bagle.J is er ook alweer....... *puke*

McAfee/NAI-page (nu nog leeg, still being analysed): http://vil.nai.com/vil/content/v_101071.htm

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op dinsdag 02 maart 2004 22:04

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
FYI:
De methode die NAI gebruikt om Passwordprotected Bagle-zips te detecteren is nogal twijfelachtig.
quote:
NAI detects Bagle psw-ZIPs - but they detect ANY ZIP with psw-protected EXE file in it if:

- compression method = stored
- ZIP is password protected
- file size is about 20K
Omdat nogal veel mensen om soortgelijke detectie hebben gevraagd bij KL, bieden we die nu ook.
Alleen scant KAV de mail, die wel viruslike chars moet hebben voor deze methode, extract daaruit het password en gebruikt dat om de archive te kunnen unpacken waardoor er dus een postive ID gegeven kan worden.

Loudness overcomes reason

offline Geplaatst op woensdag 03 maart 2004 10:58

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
Und nogmahls:

I-Worm.Bagle.j is ITW

Voor de andere vendors dus Bagle.k.
Er lijkt een gevecht gaande tussen de authors van Bagle en die van NetSky.
Wat ze natuurlijk moeten uitvechten door zoveel mogelijk worms te releasen. :/

Loudness overcomes reason

offline Geplaatst op woensdag 03 maart 2004 11:09

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
Zouden ze het record van I Love You/LoveLetter gaan halen? Daar waren uiteindelijk iets van 50-60 varianten van ofzo :P

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op woensdag 03 maart 2004 11:15

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
wildhagen schreef op 03 maart 2004 @ 11:09:
Zouden ze het record van I Love You/LoveLetter gaan halen? Daar waren uiteindelijk iets van 50-60 varianten van ofzo :P
We gaan volgens mij wel vandaag een updaterecord halen. :p
KL heeft vandaag al 6 updates uitgebracht. :X

Loudness overcomes reason

offline Geplaatst op woensdag 03 maart 2004 11:17

Acties:

F_J_K
Moderator OFF
Front Verplichte Underscores
Berichten: 42.129
Reg. datum: 18 juni 2001
quote:
Schouw schreef op 02 maart 2004 @ 22:04:
Omdat nogal veel mensen om soortgelijke detectie hebben gevraagd bij KL, bieden we die nu ook.
Alleen scant KAV de mail, die wel viruslike chars moet hebben voor deze methode, extract daaruit het password en gebruikt dat om de archive te kunnen unpacken waardoor er dus een postive ID gegeven kan worden.
Door NAI alleen op bestandsgrootte afgaan is wat eng --> even zoeken op mijn eigen HDD levert diverse zips op van +- 20kb :X Al zijn die natuurlijk niet encrypted.

Maar dat is handig gedaan in KAV :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind'

offline Geplaatst op woensdag 03 maart 2004 12:57

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Schouw schreef op 03 maart 2004 @ 10:58:
Und nogmahls:

I-Worm.Bagle.j is ITW
McAfee/NAI write-up @ http://vil.nai.com/vil/content/v_101074.htm
quote:
Voor de andere vendors dus Bagle.k.
Er lijkt een gevecht gaande tussen de authors van Bagle en die van NetSky.
Wat ze natuurlijk moeten uitvechten door zoveel mogelijk worms te releasen. :/
Nou, als ik de write-up van McAfee/NAI zie:
quote:
The following string is present inside the virus body:

Skynet AntiVirus - Bagle - you are a looser!!!!
(zie http://vil.nai.com/vil/content/v_101073.htm)

Dan zou je het wel gaan denken ja....

wildhagen wijzigde dit bericht 03-03-2004 13:49 (29%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op woensdag 03 maart 2004 19:21

Acties:

eborn
Berichten: 2.354
Reg. datum: 27 april 2000
Hebben al die mensen niets beters te doen?
NetSky.F
Beagle.K
MyDoom.H

Zucht... gelukkig zie ik dat ClamAV twee generieke signatures voor toekomstige B(e)agle's heeft toegevoegd. Dus met een beetje geluk pakt die er de komende dagen de meeste variaties uit.

eborn wijzigde dit bericht 03-03-2004 19:21 (3%)
Reden: Twee signatures

Vacature: PHP Web Developer

offline Geplaatst op donderdag 04 maart 2004 02:50

Acties:

RobIII
DT Admin Doktersteam / Moderator Devschuur®
^ Romeinse 3 ja!
Berichten: 30.326
Reg. datum: 18 december 2001
Dit ontving ik zojuist in mijn mail:

subject: E-mail account disabling warning.
quote:
Dear user of "Demon.nl" mailing system,

Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

For further details see the attach.

Kind regards,
The Demon.nl team http://www.demon.nl
Fijn. Nu ook al hoaxes die zich op gebruikers van bepaalde ISP's richten. Ik zit toevallig bij demon en wordt dus geacht hier in te stinken. Mooi niet dus... :(
(Overigens wordt het mailtje vergezeld van MoreInfo.pif van 12Kb.)

Wat heb ik een hekel aan hoaxes!


Ik plaats het hier als "waarschuwing" / "mededeling". Een gewaarschuwd mens telt voor 2 ;)

RobIII wijzigde dit bericht 04-03-2004 02:51 (11%)

Press any key to continue or any other key to quit

Trotse papa van Luca en Danu! | Pick My Icon!

offline Geplaatst op donderdag 04 maart 2004 03:41

Acties:

jeroenr
Dit is Woezel
Berichten: 1.344
Reg. datum: 19 juni 2001
Dat is dus geen hoax, maar gewoon een virus. Het virus zet gewoon de domeinnaam in de mail om te laten lijken of het van je provicer komt.
http://securityresponse.s...data/w32.beagle.j@mm.html

Voor een échte Tweaker is Windows wat McDonalds is voor een fijnproever.

offline Geplaatst op donderdag 04 maart 2004 03:53

Acties:

Niels Klomp
Uitgeprutst
Berichten: 16.289
Reg. datum: 19 oktober 2000
Gelukkig is het virus nog niet zo ver om op basis van TLD's de juiste taal te kiezen :X

Als die e-mail in het nederlands zou zijn, zou > 95% er in stinken namelijk. :/

Centis Online Backup. Als zekerheid telt

offline Geplaatst op donderdag 04 maart 2004 09:30

Acties:

gomaster
Berichten: 2.327
Reg. datum: 20 februari 2002
Deze had ik net binnen maar dan van het hetnet.nl mailing system :|. Dit wordt echt te erg dus :|

Twitter

offline Geplaatst op donderdag 04 maart 2004 09:35

Acties:

RobIII
DT Admin Doktersteam / Moderator Devschuur®
^ Romeinse 3 ja!
Berichten: 30.326
Reg. datum: 18 december 2001
Whuh? Oh... Ik had eigenlijk geen idee dat beagle dit soort berichten stuurde. Ik had er wel van gehoord maar wist er verder weinig van om eerlijk te zijn.

Excuses voor mijn spuit 11 actie ;)

Press any key to continue or any other key to quit

Trotse papa van Luca en Danu! | Pick My Icon!

offline Geplaatst op donderdag 04 maart 2004 10:06

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
Wat een tekst ook... :?
quote:
Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.
Oftewel inclusief alle fouten:

Uw emailaccount zal onklaar gemaakt worden wegens fout gebruik in volgende drie dagen, als je er nog gebruik van wil maken, alstublieft, zeg uw accountinformatie op.

Als Demon me dat soort mailtjes gaat sturen ga ik toch echt eerst in discussie over dat ze een paar mensen in dienst moeten nemen die wel Engels kennen :D

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 10:08

Acties:

BazzH
Kei-goed...
Berichten: 5.505
Reg. datum: 12 november 2001
Virusje ofzo. Ik kreeg hem ook binnen van administration@het-domein-wat-ik-beheer.nl.

En ik weet van niks natuurlijk. Daarnaast stuurt onze organisatie geen mails in het Engels en bestaat er geen account "administration".

Edit:

Dan kan ik niet achterblijven natuurlijk:
quote:
Subject: E-mail account security warning.

Dear user of *******.nl gateway e-mail server,

Your e-mail account has been temporary disabled because of unauthorized access.

Advanced details can be found in attached file.

Sincerely,
The *******.nl team http://www.*******.nl
En daarbij natuurlijk een pif-je: TextDocument.pif

Ik heb de geavanceerde details nog niet bekeken hoor.... :)

BazzH wijzigde dit bericht 04-03-2004 10:29 (57%)

Think smart........ Act stupid........
Nieuwe PC is binnuh! SPECS: hier dus.

offline Geplaatst op donderdag 04 maart 2004 10:20

Acties:

Miki
Berichten: 4.366
Reg. datum: 03 november 2001
Lijkt wel of dat engels al eerder is vertaald van een andere taal, bablefish hoXar :+

Daarnaast mailt Demon.nl altijd standaard in het Nederlands en een engelse vertaling in hetzelfde mailtje daaronder. Dus das een andere reden om het niet te vertrouwen. Vind het wel knap dat het steeds meer en meer op echte meldingen begint te lijken.
 

offline Geplaatst op donderdag 04 maart 2004 10:23

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
Deze wil ik jullie niet onthouden:
quote:
Thu, 04 Mar 2004 07:38:47 +0100
From: support@tweakers.net
To: gathering@tweakers.net
Subject: E-mail account disabling warning.
Part(s): 2 Readme.zip application/octet-stream 16.63 KB

Dear user of Tweakers.net,

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.

Further details can be obtained from attached file.

For security purposes the attached file is password protected. Password is "50238".

Best wishes,
The Tweakers.net team
http://www.tweakers.net
:D :D :D :D :D :D :D

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 10:24

Acties:

Nielsz
Looking good = feeling great
Berichten: 17.675
Reg. datum: 29 maart 2001
:D :D :D

Hippopotomonstrosesquippedaliophobia = Fear of long words
Denial is a river in Egypt

offline Geplaatst op donderdag 04 maart 2004 10:28

Acties:

Miki
Berichten: 4.366
Reg. datum: 03 november 2001
Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.

Miki wijzigde dit bericht 04-03-2004 10:29 (22%)

 

offline Geplaatst op donderdag 04 maart 2004 10:32

Acties:

Voutloos
Schoterbos (2)
Berichten: 13.728
Reg. datum: 30 januari 2002
quote:
curry684 schreef op 04 maart 2004 @ 10:23:
Deze wil ik jullie niet onthouden:

[...]

:D :D :D :D :D :D :D
:D

Trouwens ook wel stom dat het subject niet geheel overeen komt met de inhoud.

Talkin.nl daily photoblog
Day 2204: Schoterbos (2)
Foto specs: Canon 50D, Sigma 8-16 HSM, 1/400s, f/6.3, ISO 100

offline Geplaatst op donderdag 04 maart 2004 10:33

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Miki schreef op 04 maart 2004 @ 10:28:
Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.
Nu trappen er nog steeds mensen in... ik kon gisteren nog net op tijd mijn vader van de PC wegrukken voor hij de .EXE ging openen (de ZIP was al geopend).

Hij: "Ja, maar die mail is toch van mijn provider, dan is het toch goed?"
Ik: *zucht*...

En ik voel aan mijn theewater dat hij echt de enige niet zal zijn die zo denkt...

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

offline Geplaatst op donderdag 04 maart 2004 10:36

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
quote:
Miki schreef op 04 maart 2004 @ 10:28:
Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.
'Ammount' staat niet in mijn woordenboek hoor ;)

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten :D

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 10:39

Acties:

BazzH
Kei-goed...
Berichten: 5.505
Reg. datum: 12 november 2001
quote:
curry684 schreef op 04 maart 2004 @ 10:36:
[...]

'Ammount' staat niet in mijn woordenboek hoor ;)

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten :D
Bij ons was hij gericht aan het account "ant" (vertaal: mier).

Think smart........ Act stupid........
Nieuwe PC is binnuh! SPECS: hier dus.

offline Geplaatst op donderdag 04 maart 2004 10:41

Acties:

Miki
Berichten: 4.366
Reg. datum: 03 november 2001
quote:
curry684 schreef op 04 maart 2004 @ 10:36:
[...]

'Ammount' staat niet in mijn woordenboek hoor ;)

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten :D
Ik zei toch vluchtig doorgelezen te hebben :Y)
 

offline Geplaatst op donderdag 04 maart 2004 10:45

Acties:

_fool
Helemaal zo gek nog niet
Berichten: 331
Reg. datum: 30 augustus 2003
[schaam] Ik ben bang dat ik hier misschien wel gewoon ingetrapt was :/ [/schaam]

Oftewel: TS, nuttige waarschuwing!

specs

offline Geplaatst op donderdag 04 maart 2004 10:45

Acties:

TRON
Berichten: 3.183
Reg. datum: 10 september 2001
Password zal wel op de zip-file zitten. Hierdoor herkent een virusscanner geen virus in een packed-file.

En? Tooltje al geprobeerd? :+

www.Gratis-Poll.nl

offline Geplaatst op donderdag 04 maart 2004 10:50

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
quote:
TRON schreef op 04 maart 2004 @ 10:45:
Password zal wel op de zip-file zitten. Hierdoor herkent een virusscanner geen virus in een packed-file.

En? Tooltje al geprobeerd? :+
Kaspersky doet volgens Schouw sinds kort z'n best om password-protected zips te checken, iig goed genoeg voor Bagle :)

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 10:54

Acties:

TRON
Berichten: 3.183
Reg. datum: 10 september 2001
En hoe zal dat dan mogelijk zijn? Password-protected zips zijn gecodeerd en alleen te decoderen door een wachtwoord in te geven. Er blijven dus toch bepaalde signatures zichtbaar.

www.Gratis-Poll.nl

offline Geplaatst op donderdag 04 maart 2004 10:55

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
quote:
curry684 schreef op 04 maart 2004 @ 10:50:
[...]

Kaspersky doet volgens Schouw sinds kort z'n best om password-protected zips te checken, iig goed genoeg voor Bagle :)
En hoe willen ze dat doen dan? De zips gaan brute-forcen? Of hebben de password protected zips van bagle allemaal hetzelfde password? Dan moet je al signatures van de zip files gaan herkennen ipv van het virus zelf.

Overigens belabberde grammatica dat mailtje.

Bor de Wollef wijzigde dit bericht 04-03-2004 10:58 (18%)

Check! | Tweakers Moddereter Forum | Moderatie queue

offline Geplaatst op donderdag 04 maart 2004 10:57

Acties:

wildhagen
FP ProMod
Blablabla
Berichten: 54.368
Reg. datum: 12 juni 1999
quote:
Bor_de_Wollef schreef op 04 maart 2004 @ 10:55:
[...]


En hoe willen ze dat doen dan? De zips gaan brute-forcen? Of hebben de password protected zips van bagle allemaal hetzelfde password?
Het wachtwoord staat in de mail, dus dat kan een AV er mooi uitfilteren en gebruiken :)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

online Geplaatst op donderdag 04 maart 2004 10:59

Acties:

Sick Nick
Drop the top!
Berichten: 13.183
Reg. datum: 07 februari 2001
quote:
Dear user of "Chello.nl" mailing system,

We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.

For more information see the attached file.

Sincerely,
The Chello.nl team http://www.chello.nl
Deze kreeg ik nog op m'n oude chello email account, daar verstuur ik dus nooit mail mee :+
Overigens is de bijlage netjes door norton gepakt toen ie binnen kwam en verwijderd.
quote:
Norton AntiVirus heeft de bijlage: Readme.pif verwijderd.
De bijlage was geïnfecteerd met het virus W32.Beagle.A@mm.

SLK 230 Kompressor | VAIO Z2 1080p 512GB 2x256 SSD Raid0 | VAIO SA 256GB 4x64 SSD Raid0 | Sony Tablet S

offline Geplaatst op donderdag 04 maart 2004 11:00

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
Wel grappig want ik kan mij niet voorstellen dat een bedrijf al chello etc zijn klanten gaan mailen in het engels. Erg geloofwaardig is het dan al niet meer.

Check! | Tweakers Moddereter Forum | Moderatie queue

offline Geplaatst op donderdag 04 maart 2004 11:09

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
quote:
Bor_de_Wollef schreef op 04 maart 2004 @ 11:00:
Wel grappig want ik kan mij niet voorstellen dat een bedrijf al chello etc zijn klanten gaan mailen in het engels. Erg geloofwaardig is het dan al niet meer.
Ik denk ook niet dat de 10 miljoen Nederlandse internetters het belangrijkst beoogde slachtoffer zijn maar de 300 miljoen Engelstalige... ;)

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 11:12

Acties:

F_J_K
Moderator OFF
Front Verplichte Underscores
Berichten: 42.129
Reg. datum: 18 juni 2001
quote:
wildhagen schreef op 04 maart 2004 @ 10:57:
Het wachtwoord staat in de mail, dus dat kan een AV er mooi uitfilteren en gebruiken :)
Inderdaad, als er een paar honderd woorden en getallen staan is het heel veel, terwijl die in no-time allemaal zijn te proebren.

Overigens wordt dit misschien wel erg vervelend voor scanners op mailservers die vele vele van die berichten langs zien komen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind'

offline Geplaatst op donderdag 04 maart 2004 11:15

Acties:

curry684
left part of the evil twins
Berichten: 33.548
Reg. datum: 09 juni 2000
quote:
F_J_K schreef op 04 maart 2004 @ 11:12:
[...]

Inderdaad, als er een paar honderd woorden en getallen staan is het heel veel, terwijl die in no-time allemaal zijn te proebren.

Overigens wordt dit misschien wel erg vervelend voor scanners op mailservers die vele vele van die berichten langs zien komen.
Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor :)

Professionele website nodig? - Omines - ICGamers

offline Geplaatst op donderdag 04 maart 2004 11:17

Acties:

TRON
Berichten: 3.183
Reg. datum: 10 september 2001
quote:
curry684 schreef op 04 maart 2004 @ 11:15:
[...]

Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor :)
Aha, best slim :).

Je moet er niet vreemd van opkijken als er binnenkort dan ook mailtjes gestuurd worden waar het wachtwoord in een image staat. Dan wordt het practisch onmogelijk. Wat natuurlijk niet inhoudt dat het geen goed initiatief is van Kaspersky :)

www.Gratis-Poll.nl

offline Geplaatst op donderdag 04 maart 2004 11:19

Acties:

F_J_K
Moderator OFF
Front Verplichte Underscores
Berichten: 42.129
Reg. datum: 18 juni 2001
quote:
curry684 schreef op 04 maart 2004 @ 11:15:
Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor :)
Dat maakt het inderdaad weer nog makkelijker --> tot er kleine variaties gaan komen zoals 'type this code' of 'the password is given at the end of this message' of zoiets :P

Het wordt trouwens pas echt vervelend als ze slim worden en technieken gaan gebruiken die er zijn om bijvoorbeeld botjes niet te laten registreren op websites. Zoals omdat het (text-only moet zijn) optellen of zo. Al zal dat dan weer te ingewikkeld worden voor de doelgroep en wordt het slimme buurjochie van 11 er bij geroepen om het te openen :+

edit:
Grrrrr TRON

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind'

offline Geplaatst op donderdag 04 maart 2004 11:36

Acties:

Voutloos
Schoterbos (2)
Berichten: 13.728
Reg. datum: 30 januari 2002
De mail bevat al de woorde 'free' en 'large' en zal als er een plaatje inkomt voor het wachtwoord, ook html worden en zo waarschijnlijk wel genoeg opvallen in spamfilters.

aub niet zeggen dat dat plaatje attached kan worden, danwel een link naar kan zijn... O-)

Talkin.nl daily photoblog
Day 2204: Schoterbos (2)
Foto specs: Canon 50D, Sigma 8-16 HSM, 1/400s, f/6.3, ISO 100

offline Geplaatst op donderdag 04 maart 2004 11:59

Acties:

JSS
XFM -- highstream --
Berichten: 21.543
Reg. datum: 15 september 2001
quote:
Niels Klomp schreef op 04 maart 2004 @ 03:53:
Als die e-mail in het nederlands zou zijn, zou > 95% er in stinken namelijk. :/
Eigenlijk niet :P Demon stuurt altijd mails die beginnen met een Nederlandse mededeling waarna deze ook nog eens vertaald wordt naar het Engels. Ook op de website is dat zo, zo doen die lui het altijd :)

[Koffie] Kun je wel een beetje chrtistelijk pijpen :?

[Korakal] scherpstellen doe je met je sterretje

offline Geplaatst op donderdag 04 maart 2004 13:41

Acties:

Miki
Berichten: 4.366
Reg. datum: 03 november 2001
quote:
JSS schreef op 04 maart 2004 @ 11:59:
[...]

Eigenlijk niet :P Demon stuurt altijd mails die beginnen met een Nederlandse mededeling waarna deze ook nog eens vertaald wordt naar het Engels. Ook op de website is dat zo, zo doen die lui het altijd :)
Read the whole topic :+
quote:
Miki schreef op 04 maart 2004 @ 10:20:
Lijkt wel of dat engels al eerder is vertaald van een andere taal, bablefish hoXar :+

Daarnaast mailt Demon.nl altijd standaard in het Nederlands en een engelse vertaling in hetzelfde mailtje daaronder. Dus das een andere reden om het niet te vertrouwen. Vind het wel knap dat het steeds meer en meer op echte meldingen begint te lijken.
Dat van het nederlands was bedoelt van een zogenaamd mailtje dat van www.tweakers.net af kwam zie post van Curry 684 op pagina no. 1.

Miki wijzigde dit bericht 04-03-2004 13:43 (9%)

 

offline Geplaatst op donderdag 04 maart 2004 13:43

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
FYI: http://kaspersky.com/news.html?id=146100010

Zie het als spam, maar het blijft interessant. :P

Loudness overcomes reason

offline Geplaatst op donderdag 04 maart 2004 13:48

Acties:

Ed.
Berichten: 3.940
Reg. datum: 21 augustus 2001
Ik heb 'm hier ook binnen, vond 't wel grappig dat ze namens mij mijn mailadres wouden sluiten :)
 

offline Geplaatst op donderdag 04 maart 2004 13:50

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
quote:
Schouw schreef op 04 maart 2004 @ 13:43:
FYI: http://kaspersky.com/news.html?id=146100010

Zie het als spam, maar het blijft interessant. :P
Die hele aanpak is natuurlijk zo te omzeilen. Laat bv het virus het password van internet downloaden (of uit een ander mailtje halen). Tegen de tijd dat deze feature gereleased is is hij ook al weer verouderd. Ik krijg het gevoel dat de anti-virus firma's de "strijd" tegen de virussen steeds verder aan het verliezen zijn jammer genoeg. Maar dat is een hele andere discussie.

Check! | Tweakers Moddereter Forum | Moderatie queue

offline Geplaatst op donderdag 04 maart 2004 13:51

Acties:

Vaudtje
Berichten: 503
Reg. datum: 19 april 2002
Ik vind de inhoud van de virusmailtjes eigenlijk erg komisch, want er wordt helemaal niet gelogen (De vertalingen zijn van mijn hand, voor zover ik weet is er geen NL variant, geen paniek!):
quote:
Uw email wordt binnenkort afgesloten vanwege een virus"
Als je die exe opent is dat best waarschijnlijk :)
quote:
Vanwege beveiliging zit er een wachtwoord op de zip
Is absoluut waar, het wachtwoord is bedoeld om de beveiliging te omzeilen, maar toch :D

In deeze zin staan drie fauten
Wat is een neger achter een piano? - Een pianist

offline Geplaatst op donderdag 04 maart 2004 13:56

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
Bor_de_Wollef schreef op 04 maart 2004 @ 13:50:
[...]


Die hele aanpak is natuurlijk zo te omzeilen. Laat bv het virus het password van internet downloaden (of uit een ander mailtje halen). Tegen de tijd dat deze feature gereleased is is hij ook al weer verouderd.
Lees voor de gein even hele PR. :P
Feature is dus al released.

En als je pw wilt laten downen, daar valt ook wel wat op te verzinnen.

Loudness overcomes reason

offline Geplaatst op donderdag 04 maart 2004 13:59

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
quote:
Schouw schreef op 04 maart 2004 @ 13:56:
[...]

Lees voor de gein even hele PR. :P
Feature is dus al released.

En als je pw wilt laten downen, daar valt ook wel wat op te verzinnen.
Er valt inderdaad wel wat op te verzinnen maar er kan beter een generieke oplossing gevonden worden imho. Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig.

Check! | Tweakers Moddereter Forum | Moderatie queue

offline Geplaatst op donderdag 04 maart 2004 14:00

Acties:

mabit
Berichten: 2.520
Reg. datum: 04 november 2001
Kreeg vanochtend een w32/bagle.gen!pwdzip binnen terwijl de laatste dats van gisteravond 20.00 zijn. Echter met de 4332 dats zou dit bericht ook gevonden moeten worden... Ik heb er hier maar 1 van gehad. Maar rond diezelfde tijd kwamen er vanaf hetzelfde ip adres 6x Bagle.K berichten. Er zijn in de tussentijd geen extra.dats of nieuwe dats geplaatst...

Wat zou er aan de hand kunnen zijn? Ik heb dat 1ene bericht gesubmit naar Webimmune en daar wordt hij herkend als w32/bagle.gen!pwdzip.

Bugje in Mcafee of iets anders?

Ik gebruik de command line versie met de volgende parameters:
quote:
/ALL /SUB /NOMEM /NOBOOT /NOBEEP /UNZIP /MIME /ANALYZE /NOEXPIRE /REPORT "{reportfile}"
Deze instelling is de afgelopen 2 maanden niet gewijzigd en heeft tot op heden perfect gewerkt
 

offline Geplaatst op donderdag 04 maart 2004 14:03

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
Bor_de_Wollef schreef op 04 maart 2004 @ 13:59:
[...]


Er valt inderdaad wel wat op te verzinnen maar er kan beter een generieke oplossing gevonden worden imho. Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig.
Ehh, volgens mij is dit juist een generic methode.(in een zekere mate)
Pwp zips flaggen die aan bepaalde criteria voldoen is lame, hoewel we dat nu ook ondersteunen.

Alles is te omzeilen, als je zo gaat denken kun je net zo goed geen AV/AS gebruiken, want het is toch te omzeilen...

Loudness overcomes reason

offline Geplaatst op donderdag 04 maart 2004 14:09

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
mabit schreef op 04 maart 2004 @ 14:00:
Kreeg vanochtend een w32/bagle.gen!pwdzip binnen terwijl de laatste dats van gisteravond 20.00 zijn. Echter met de 4332 dats zou dit bericht ook gevonden moeten worden... Ik heb er hier maar 1 van gehad. Maar rond diezelfde tijd kwamen er vanaf hetzelfde ip adres 6x Bagle.K berichten. Er zijn in de tussentijd geen extra.dats of nieuwe dats geplaatst...

Wat zou er aan de hand kunnen zijn? Ik heb dat 1ene bericht gesubmit naar Webimmune en daar wordt hij herkend als w32/bagle.gen!pwdzip.

Bugje in Mcafee of iets anders?
Misschien dat ik nog niet helemaal wakker ben, maar ik snap de strekking van je verhaal eigenlijk niet. :X
Misschien dat dit heel duidelijk is voor andere NAI users, maar zelf zou ik wat meer info leuk vinden.

Gokje: NAI heeft pwdzip sig niet aangepast.
Daarnaast is die methode/sig ook niet echt secuur.

Loudness overcomes reason

offline Geplaatst op donderdag 04 maart 2004 14:25

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
quote:
Schouw schreef op 04 maart 2004 @ 14:03:
[...]

Ehh, volgens mij is dit juist een generic methode.(in een zekere mate)
Oke, ik bedoelde natuurlijk een generic methode die ook een beetje haalbaar is en niet voor een onacceptabele performance decrease zorgt.
quote:
Alles is te omzeilen, als je zo gaat denken kun je net zo goed geen AV/AS gebruiken, want het is toch te omzeilen...
Het gaat er mij niet om dat alles te omzeilen is of niet maar het simpelweg lezen van een mailje en bv alles achter "password" te filteren en te gebruiken als zip password is gewoon TE gemakkelijk te omzeilen.

Check! | Tweakers Moddereter Forum | Moderatie queue

offline Geplaatst op donderdag 04 maart 2004 14:28

Acties:

Schouw
AV researcher
Berichten: 7.108
Reg. datum: 09 mei 2002
quote:
Bor_de_Wollef schreef op 04 maart 2004 @ 14:25:
[...]


Oke, ik bedoelde natuurlijk een generic methode die ook een beetje haalbaar is en niet voor een onacceptabele performance decrease zorgt.
Waar lees jij het laatste? Vind dat een beetje uit de lucht gegrepen hoor.
Scannen van zulke mails gaat hier niet merkbaar langzamer dan van andere mails.

Loudness overcomes reason

offline Geplaatst op donderdag 04 maart 2004 14:30

Acties:

Bor de Wollef (jarig!)
FP ProMod
01000010 01101111 01110010
Berichten: 22.811
Reg. datum: 07 februari 2001
quote:
Schouw schreef op 04 maart 2004 @ 14:28:
[...]

Waar lees jij het laatste? Vind dat een beetje uit de lucht gegrepen hoor.
Scannen van zulke mails gaat hier niet merkbaar langzamer dan van andere mails.
Ik had het over "Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig."

Check! | Tweakers Moddereter Forum | Moderatie queue

Lees verder »

Pagina: 1 2 3 last

VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011