[VirusAlert] Bagle varianten lijken o.a. van ISP af te komen

Geplaatst op woensdag 07 april 2004 18:47

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Oeps, sorry, iets te snel op die knop gedrukt zonder lezen

Nu komt Netsky binnenkort zeker ook weer met nieuwe versies? Ze beginnen daar achter te lopen qua aantal t.o.v. Bagle

Voor mensen met een firewall is dit misschien ook wel nuttig:

quote:
Users should block HTTP access to the following domains:

* http://(remove this)bohema.amillo.net
* http://(remove this)abc517.net
* http://(remove this)www.abc986.net

wildhagen wijzigde dit bericht 07-04-2004 18:48 (45%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Miki

Bekijk de gallery van Miki

Berichten: 4.459
Reg. datum: 03 november 2001

Ik heb 5 minuten geleden handmatig Panda geupdate, toen is er 1 virus signature bij gekomen.

W32/Bagle.X.worm grootte 7824kb -> zelfde zoals NAI write-up. Panda is er gewoon lekker vroeg bij. Beetje meer vetrouwen Schouw!

Miki wijzigde dit bericht 07-04-2004 19:01 (15%)

Geplaatst op woensdag 07 april 2004 19:53

Acties:

Geplaatst op woensdag 07 april 2004 21:40

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Een mens mag toch sceptisch zijn?

FSAV write-up: http://www.f-secure.com/v-descs/mitgl_ai.shtml

Loudness overcomes reason

Acties:

Miki

Bekijk de gallery van Miki

Berichten: 4.459
Reg. datum: 03 november 2001

Goed inmiddels heeft Panda ook een write-up gemaakt: link

Kans is groot dat de link straks het niet meer doet. Reden hiervoor is dat deze link nog niet is opgenomen in de aankondigingspagina maar al wel in zoekfunctie van de database. De virus-signature update is al rond 18.30 vanavond uitgebracht.

Heel toevallig is alleen zweden het land waar de meeste infecties zijn op dit moment volgens Panda. In nederland is Netsky.P lijst aanvoeder met 3,59%

Miki wijzigde dit bericht 07-04-2004 21:44 (20%)

Geplaatst op woensdag 07 april 2004 21:58

Acties:

Geplaatst op woensdag 07 april 2004 22:16

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Geen idee of het verschil nog altijd zo groot is, maar vergelijk Panda eens met Trend's world map.
Toen ik die een tijd geleden bekeek, kreeg je echt compleet verschillende resultaten uit.
Maw: die maps zijn wel leuk en aardig, maar echt heel veel zegt het nou ook weer niet.

Dan zijn MessagaLabs' metingen misschien nog het betrouwbaarste denk ik zo.

Loudness overcomes reason

Acties:

Miki

Bekijk de gallery van Miki

Berichten: 4.459
Reg. datum: 03 november 2001

Die van trend en panda kan ik dus niet vergelijken en ik denk dat jij dat ook niet kon een tijd geleden

Panda geeft hun getallen in procenten weer, Trend doet dat in geinfecteerde computers of bestanden. Das dus appels met peren vergelijken, tenzij je één van de eenheden hebt lopen omrekenen, maar dat lijkt me stug

Maar ik begrijp je punt, de gegevens zijn per vendors anders en ook logisch.

Geplaatst op donderdag 08 april 2004 00:02

Acties:

Geplaatst op maandag 26 april 2004 20:32

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

I-Worm.Bagle.v renamed naar TrojanProxy.Win32.Mitglieder.ai
Het is van de ene kant ook maar raar dat ze het ding eerst Bagle genoemd hebben, dat werd ook niet gedaan met de TrojanProxies van eerdere versies gedaan.

Loudness overcomes reason

Acties:

Geplaatst op maandag 26 april 2004 20:43

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

En het is weer raak..

quote:
We received several reports about a new Bagle variant: Bagle.Y. This variant has some new features, it uses encryption for its entire file and adds random garbage to the end of its file as a decoy.

Hij gaat redelijk hard atm.
FSAV rate hem Level 2
McAfee rate hem Medium.

http://www.f-secure.com/v-descs/bagle_y.shtml
http://us.mcafee.com/viru...iption&virus_k=122415
http://securityresponse.s...data/w32.beagle.w@mm.html

Loudness overcomes reason

Acties:

Geplaatst op maandag 26 april 2004 21:18

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Verspreid deze zich ook als VBS-script? Ik zag namelijk in de EXTRA.DAT detectie voor twee items: de reguliere W32/Bagle.z@MM, maar ook W32/Bagle.z!vbs...

Heb hem op dit moment nog slechts één maal mogen ontvangen...

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op dinsdag 27 april 2004 11:59

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Van F-Secure write-up:

quote:
The worm spreads itself in e-mails. It composes several different types of e-mail messages. The worm can attach itself as an executable file with COM, EXE, SCR and CPL extension (see below), as a ZIP archive (password-protected) and also as an HTA and VBS files that contain a script dropper for the worm's binary file.

The HTA file that the worm sends in e-mails looks like windows update and is minimized and closed quickly. It creates the VBS file named QQ.VBS that drops the BBBS.EXE file - the worm's executable file. The VBS file that the worm sends just drops and runs the BBBS.EXE file.

Loudness overcomes reason

Acties:

Geplaatst op woensdag 28 april 2004 13:57

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Vendor's naming frenzy \o/ \o/

Mind you: Dit gaat allemaal over dezelfde variant

quote:
Bagle.Y
I-Worm.Bagle.y
I-Worm/Bagle.AA
W32.Beagle.W@mm
W32/Bagle-W
W32/Bagle.AA.worm
W32/Bagle.Y@mm
W32/Bagle.z@MM
Win32.Bagle.W
Win32/Bagle.X
WORM_BAGLE.X

Maar goed dat het niet verwarrend is.

Loudness overcomes reason

Acties:

Geplaatst op woensdag 28 april 2004 14:10

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Oké, en hier gaan we ook in de dubbele letters: Bagle.AA is gesignaleerd.

Enige write-up die ik tot nu toe kan vinden is die van NAI, en die is nog voorlopig ook: http://vil.nai.com/vil/content/v_124875.htm

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op woensdag 28 april 2004 14:13

Berichten: 22.057
Reg. datum: 06 januari 2001

trend komt met een .Z
http://nl.trendmicro-euro...ia.php?VName=WORM_BAGLE.Z

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op woensdag 28 april 2004 14:16

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Het is weer feest vandaag.

Deze gaat aardig hard..

Loudness overcomes reason

Acties:

0xDEADBEEF

Bekijk de gallery van 0xDEADBEEF

Berichten: 1.154
Reg. datum: 21 december 2003

F-Secure flagged m .Y

Bagle.Y attaches pictures too

quote:
Summary

Another new Bagle variant was found on April 26th, 2004. This variant differs from the ones that we've seen before. The worm sends itself in several different types of e-mails. Also the worm copies itself to shared folders with different names and opens a backdoor on an infected computer.

The worm's executable file icon looks like a cherry

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Geplaatst op woensdag 28 april 2004 14:20

Acties:

Geplaatst op woensdag 28 april 2004 14:20

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

quote:
0xDEADBEEF schreef op 28 april 2004 @ 14:16:
F-Secure flagged m .Y

Bagle.Y attaches pictures too

[...]

Nope, F-Secure flagt hem .Z

http://www.f-secure.com/weblog/

quote:
We have received many reports about a new variant of Bagle worm - Bagle.Z. This new variant is similar to the previous one, but it does not send pictures in e-mails.

Loudness overcomes reason

Acties:

Geplaatst op woensdag 28 april 2004 15:26

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

quote:
0xDEADBEEF schreef op 28 april 2004 @ 14:16:
F-Secure flagged m .Y

Bagle.Y attaches pictures too

[...]

Dat lijkt me eerder Bagle.Z (van andere vendors), van 2 dagen geleden, qua descriptie en het icoon. Bagle.AA heeft namelijk of geen icoon, of een andere, en is pas vandaag ontdekt, en niet al de 26e, zoals in jouw quote staat.

wildhagen wijzigde dit bericht 28-04-2004 14:20 (3%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op donderdag 29 april 2004 23:13

Berichten: 22.057
Reg. datum: 06 januari 2001

Trend heeft een pattern gereleased 875.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Eye2Eye

Bekijk de gallery van Eye2Eye

Berichten: 1.322
Reg. datum: 16 december 2000

Deze gaat erg hard.
McAfee biedt bescherming met def. 4354 van 28 april, maar wordt gekilled vóórdat de automatische update kan draaien.
Een voorlopige schatting: ongeveer 75% van onze klanten besmet (600 werkplekken)

We moeten ze handmatig de sdat laten uitvoeren en daarna McAfee zijn werk laten doen.

Komende maandag is het dus feest

Geplaatst op donderdag 29 april 2004 23:16

Acties:

Geplaatst op donderdag 29 april 2004 23:37

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Compeutje: kan je die sdat niet forceren in jullie loginscript?

Gewoon SDAT4354.EXE /F /SILENT uit laten voeren.

/F = Force, altijd installeren
/SILENT = installeren zonder het normale schermpje, hidden dus.

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Eye2Eye

Bekijk de gallery van Eye2Eye

Berichten: 1.322
Reg. datum: 16 december 2000

quote:
wildhagen schreef op 29 april 2004 @ 23:16:
Compeutje: kan je die sdat niet forceren in jullie loginscript?

Gewoon SDAT4354.EXE /F /SILENT uit laten voeren.

/F = Force, altijd installeren
/SILENT = installeren zonder het normale schermpje, hidden dus.

We hebben het er vanmiddag al even over gehad, maar ik begreep dat het voor wat problemen kon zorgen via KIX.

Ik heb in ieder geval even je info naar mijn collega doorgesluist, hij zou dit weekend proberen om vóór maandag, als onze klanten weer gaan inloggen, alles geregeld te hebben.

Dank voor je tip

Geplaatst op maandag 31 mei 2004 22:47

Acties:

heArtbeAt

Bekijk de gallery van heArtbeAt

Berichten: 361
Reg. datum: 07 september 2003

Ik krijg de hele tijd een mailtje op mijn hotmail account...

Delivery Agent - Translation failed

------------- failed message -------------
Z6#JEnßsV+d1>äK8g&D?kVHt:Fqvö18qaIxVTFD~GaH
PIm;N.utHs8!d3KkqL+vwB&Oi3üsC4)&ßB:i_aNlzWiD,bY
Pdö.NK<;YvjD!o54IFß7NI7A1NsOOFfQZvhHy7M7j2
!ASPGuFM;Jdh4HEIü3$'Fk<-_raq,2!h5

Received message has been attached.

met als attatchment: message.pif

en dit ongeveer 10 keer per dag

hoe los ik dit op (of ligt dit niet aan mij)
volgens mij wel namelijk

Geplaatst op woensdag 02 juni 2004 19:33

Acties:

heArtbeAt

Bekijk de gallery van heArtbeAt

Berichten: 361
Reg. datum: 07 september 2003

Weet niemand hoe dit te verhelpen is ??

krijg nu ook deze:
This Message was undeliverable due to the following reason:

The following destination addresses were unknown (please check
the addresses and re-mail the message):

SMTP <onacct07@terra.es>

Please reply to <postmaster@teleline.es>
if you feel this message to be in error.

From: <pieter_mensink@hotmail.com>
To: onacct07@terra.es
Subject: Re: Free porn
Sent: woensdag 2 juni 2004 18:22:11
Here is the website. ;-)

Geplaatst op woensdag 02 juni 2004 20:41

Acties:

0xDEADBEEF

Bekijk de gallery van 0xDEADBEEF

Berichten: 1.154
Reg. datum: 21 december 2003

heArtbeAt: kijk eens in je headers naar "X-Return-Path:" oid.

Dat is vrijwel altijd de afzender.

Geplaatst op maandag 05 juli 2004 12:09

Acties:

Geplaatst op maandag 05 juli 2004 20:14

Berichten: 22.057
Reg. datum: 06 januari 2001

http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AD

trend heeft net een yellow alert afgekondigd, dus ik verwacht snel een patternfile update.

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op vrijdag 16 juli 2004 01:01

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Ah, nee, da's een héle fijne... die stuurt zijn eigen sourcecode mee... kunnen we de komende dagen weer wat nieuwe OpenSource varianten van dit virus gaan verwachten

De eerste is al gesignaleerd: Bagle.AE

McAfee heeft inmiddels ook rated als Medium Risk en een Emergency DAT uitgebracht (versie 4373), write-up is op http://vil.nai.com/vil/content/v_126562.htm te vinden...

wildhagen wijzigde dit bericht 05-07-2004 20:14 (7%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op vrijdag 16 juli 2004 10:25

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Nieuwe Baglevariant is ITW..en flink.
Medium on watch: http://vil.nai.com/vil/content/v_126792.htm
Cat 3: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ab@mm.html
http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AF

Waren de eerste write-ups die ik zo snel kon vinden, nog geen detectie door hen gereleased echter..

Loudness overcomes reason

Acties:

masterwill

soms

Bekijk de gallery van masterwill

Berichten: 2.145
Reg. datum: 10 oktober 2000

Kreeg net een sms van www.waarschuwingsdienst.nl :

Waarschuwing voor gebruikers Microsoft. Nieuwe variant Bagle worm verspreidt zich zeer snel.

Where words fail, Music speaks

Geplaatst op zondag 18 juli 2004 13:09

Acties:

Geplaatst op maandag 19 juli 2004 23:02

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

En weer een kickje..

Gisteren later op de avond is I-Worm.Bagle.ag ontdekt, een paar uur daarna werd I-Worm.Bagle.ah alweer gevonden..
Beiden lijken nog niet echt heel hard te gaan.

Loudness overcomes reason

Acties:

Wat write-ups:
http://www.viruslist.com/eng/alert.html?id=1887620
http://www.f-secure.com/v-descs/bagle_ai.shtml
http://us.mcafee.com/viru...iption&virus_k=126798
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ag@mm.html

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

And again a kick...

De nieuwe baglevariant waar ik het in een ander topic over had, gaat erg hard..
Beestje is I-Worm.Bagle.ai gedoopt - ja, in de tussentijd was er nog een variant.

Summary:

quote:
The worm file is between 20 - 30 KB in size and is packed using PEX.

Bagle.ai spreads via the Internet as an attachment to infected mail messages. It also spreads via P2P networks. The file attached to infected messages can be an executable file, or a password protected archive.

Infected messages have the following subject:

Re:

When launched, the worm copies itself to the Windows system directory as winxp.exe. It then registers this file in the system registry to ensure that this file is launched each time the system is started.

Loudness overcomes reason

Geplaatst op maandag 09 augustus 2004 21:08

Acties:

Geplaatst op maandag 09 augustus 2004 21:13

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Weer een kick. Nieuwe variant: Bagle.AQ

Naar eigen ervaring kan ik melden dat hij redelijk hard lijkt te gaan, ik heb hem zelf al een paar keer gehad, en de mailservers van mijn werk hebben er al enkele tientallen afgevangen.

De enige write-up die ik momenteel kan vinden is die van NAI/McAfee: http://vil.nai.com/vil/content/v_127423.htm

Zij raten hem Medium Risk (in de link hierboven staat Low, maar in de Recently Updated Threats is hij Medium, dus dat is een foutje van hun). Ik vermoed dat binnen nu en een uur ofzo er wel een Emergency DAT gaat komen.

Symantec en Sophos meldden nog niets, maar dat zal denk ik niet lang duren...

Edit: voor de McAfee-users: het is me zojuist opgevallen dat SOMMIGE (maar niet ALLE!) van deze mails al worden afgevangen, als JS/Illwill (http://vil.nai.com/vil/content/v_99242.htm)

wildhagen wijzigde dit bericht 09-08-2004 21:12 (13%)

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op maandag 09 augustus 2004 21:14

Berichten: 22.057
Reg. datum: 06 januari 2001

Trend heeft net de .AC naar medium alert gegooid

http://nl.trendmicro-euro...1&VName=WORM_BAGLE.AC
nog geen pattern zie ik

D2k wijzigde dit bericht 09-08-2004 21:14 (58%)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op maandag 09 augustus 2004 21:20

Berichten: 22.057
Reg. datum: 06 januari 2001

Ik denk trouwens dat ik hem al gehad heb wildhagen, heb al wat aan schouw geforward een uur of 2 geleden.

..

D2k wijzigde dit bericht 09-08-2004 21:16 (4%)
Reden: forwarded wildhagen ;)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op maandag 09 augustus 2004 21:26

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Aha. Kunnen we meteen kijken of SP2 voor WinXP idd helpt tegen dit soort virus-verspreiding.

Hoewel het denk ik nog te vroeg is, niet veel mensen zullen al SP2 hebben geinstalleerd...

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op maandag 09 augustus 2004 21:39

Berichten: 22.057
Reg. datum: 06 januari 2001

quote:
D2k schreef op 09 augustus 2004 @ 21:14:
Ik denk trouwens dat ik hem al gehad heb wildhagen, heb al wat aan schouw geforward een uur of 2 geleden.

..

dat is dus het geval
heb um al gehad. (net ff de write-up gelezen)

pfoe, was er wel snel bij dan dit keer. Niet geopend. ik verwacht uiteraard geen "prices"

.edit:
net ff die exe geupload naar de jottiscan
code:

File:  price.exe  
AntiVir  No viruses found (5.39 seconds taken) 
BitDefender  No viruses found (11.91 seconds taken) 
ClamAV  Worm.Bagle.AI (25.33 seconds taken) 
Dr.Web  Win32.HLLM.Price.14848 (16.44 seconds taken) 
F-Prot Antivirus  dropper for W32/Mitglieder.W (0.81 seconds taken) 
F-Secure Anti-Virus  No viruses found (8.99 seconds taken) 
Kaspersky Anti-Virus  I-Worm.Bagle.al (8.41 seconds taken) 
Norman Virus Control  Sandbox: W32/Malware; [ General information ]

* Attemps to open C:\WINDOWS\SYSTEM\WINdirect.exe NULL.
* **Locates window "NULL [class Shell_TrayWnd]" on desktop.
* Creating several executable files on hard-drive.
* File length: 14848 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\WINdirect.exe.
* Creates file C:\WINDOWS\SYSTEM\_dll.exe.

[ Changes to registry ]
* Creates value "win_upd2.exe"="C:\WINDOWS\SYSTEM\WINdirect.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "win_upd2.exe"="C:\WINDOWS\SYSTEM\WINdirect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Modifies other process memory.
* Creates a remote thread. (10.26 seconds taken)

D2k wijzigde dit bericht 09-08-2004 21:30 (68%)

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op maandag 09 augustus 2004 21:43

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

quote:
D2k schreef op 09 augustus 2004 @ 21:14:
Ik denk trouwens dat ik hem al gehad heb wildhagen, heb al wat aan schouw geforward een uur of 2 geleden.

..

Ik heb niets gekregen van je

Iig:

quote:
price.html: Exploit.CodeBaseExec
price.exe: I-Worm.Bagle.al

Loudness overcomes reason

Acties:

Geplaatst op maandag 09 augustus 2004 22:02

Berichten: 22.057
Reg. datum: 06 januari 2001

schouw@tnet issie heen gegaan

Voor al uw Lotus Domino problemen
IBM Certified Advanced System Administrator for Lotus Notes & Domino 6 & 7 & 8
<Pelle> Chef koffie halen staat zo stom onderaan iedere e-mail :+

Acties:

Geplaatst op dinsdag 28 september 2004 21:26

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

De serverdudes zijn niet zo'n fan van executables etc.

Dus volgende keer aub op ander adres.

Maar genoeg off-topic lijkt me.

Loudness overcomes reason

Acties:

Geplaatst op dinsdag 28 september 2004 22:03

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Even een kick, want het gaat weer lekker. Nieuwe variant ontdekt: Bagle.AZ (McAfee) a.k.a. Bagle.AS (KAV).. heb hem nu in een halfuur tijd zo'n 10x mogen ontvangen (privé)...

McAfee rate hem meteen op Medium Risk, lekkere binnenkomer dus.

Write-up: http://vil.nai.com/vil/content/v_128582.htm

Bij mijn weten zijn McAfee en KAV op dit moment de enige (bekende) AV's die hem detecteren...

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Jordi

Berichten: 13.372
Reg. datum: 02 januari 2000

Was klein uurtje geleden nog niet zo, maar AntiVir en Dr. Web zien em nu ook.

Virus? Trojan? Scan hier!

Geplaatst op vrijdag 29 oktober 2004 11:40

Acties:

Geplaatst op vrijdag 29 oktober 2004 11:52

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

*kick*

I-Worm.Bagle.at is massaal gespammed, en flink...
I-Worm.Bagle.au ook al gespot.

Edit: http://www.viruslist.com/en/weblog
Medium @ http://vil.mcafeesecurity.com/vil/content/v_129509.htm

Schouw wijzigde dit bericht 29-10-2004 11:43 (37%)

Loudness overcomes reason

Acties:

Geplaatst op vrijdag 29 oktober 2004 12:57

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Kolere die gaat hard hier!

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

mrsar

waar een sar is,is een Baco

Bekijk de gallery van mrsar

Berichten: 5.327
Reg. datum: 02 september 2000

mja,kreeg inderdaad een warning voor deze

http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AT

ik weet niets hier te plaatsen :(

Geplaatst op vrijdag 29 oktober 2004 13:00

Acties:

Philip

Bekijk de gallery van Philip

Berichten: 1.998
Reg. datum: 13 augustus 2001

Officiele waarschuwing uitgegeven door ministerie van economische zaken:

http://www.waarschuwingsdienst.nl/render.html?it=1014

http://www.f-secure.com/v-descs/bagle_at.shtml
http://www3.ca.com/securi...sinfo/virus.aspx?id=40589
http://www.pandasoftware....?IdVirus=53891&sind=0
http://hq.mcafeeasap.com/dispVirus.asp?virus_k=129509
http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AT

Philip wijzigde dit bericht 29-10-2004 13:01 (58%)

Geplaatst op vrijdag 29 oktober 2004 14:08

Acties:

Geplaatst op vrijdag 29 oktober 2004 20:21

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

En nóg een variant - zoals al op F-Secure's weblog gemeld - kijkend naar Jotti's scanding kun je stellen dat 50% van de AVs deze variant detecteren als Bagle.at, de andere 50% detecteerde hem op het moment van eerste ontvangst niet.

Loudness overcomes reason

Acties:

Geplaatst op vrijdag 29 oktober 2004 20:30

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Nieuwe Bagle speciaal gericht op string based signature AVs/McAfee?

quote:
The interesting thing about the latest Bagle variants is that they modify themselves before spreading: they search for applications on a hard disk and "borrow" their icons. Then these icons are attached to Bagle's files together with some garbage data (used as a decoy) and then these files are mailed out. So you might see Bagle variants with quite interesting icons...

Dat vroeg ik me dus af nav. bovenstaande.

AV engines/analysten die hun signatures baseren op strings, gebruiken daarvoor de resource-section.
Die resource-section verandert zodra je een ander icon gebruikt, waarmee detectie vaak/altijd vervliegt.

Voornamelijk McAfee komt hierbij ter sprake, deze staat hierom het meest bekend, dus ik vraag me dan ook af of deze varianten op McAfee zijn 'gericht'.

Die garbage code hebben we al eerder gezien bij Baglevarianten.

Ik heb nog geen detectionrates van McAfee gezien, maar Norman detecteert nog geen 80% van alle Bagle.at samples...

Code-based signatures zullen normaal gesproken ook mogelijk moeten zijn(de engine zou het gewoon moeten kunnen slikken), maar deze zijn een stuk lastiger om te maken, zeker als het niet gebruikelijk is.

Loudness overcomes reason

Acties:

Geplaatst op vrijdag 29 oktober 2004 20:42

FP ProMod

Blablabla

Bekijk de gallery van wildhagen

Berichten: 55.272
Reg. datum: 12 juni 1999

Detectieratio's kan ik ook niet geven, maar McAfee Groupshield op onze mailservers staat roodgloeiend van de detectie-meldingen van W32/Bagle, W32/Bagle.dd@MM (verreweg de meesten) en W32/Bagle.bd@MM. En met roodgloeiend bedoel ik dus tientallen tot honderden meldingen per minuut (zonder overdrijven) die naar Epolicy worden gerapporteerd.

Dus het word wel degelijk detected.

Hoeveel er doorglipt weet ik niet, helaas...

Virussen? Scan ze hier! | Anti-spam? Stichting Spamvrij.nl Stop vuurwerkoverlast

Acties:

Geplaatst op maandag 01 november 2004 14:46

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Mja ik nam niet echt aan dat McAfee er (lang) problemen mee zou hebben, maar dat het problematisch is/was voor sommigen, blijkt wel uit de statistieken van Norman.

Loudness overcomes reason

Acties:

Geplaatst op maandag 08 november 2004 20:44

AV researcher

Berichten: 7.153
Reg. datum: 09 mei 2002

Zoals bekend proberen de nieuwe Baglevarianten files te downloaden van een aantal sites, deze sites waren inactief tot nu.

De file die gedownloadt wordt, is een TrojanDownloader.
Beestje is redelijk buggy - er worden twee files gedropt in %sysdir%, waarvan eentje er corrupt is.
Atm lijken de sites waar deze downloader wat moet downloaden allemaal down te zijn.

Verder was ik tussendoor nog even met Bagle.at aan het spelen en keek ook eens met HijackThis om te zien wat deze er van maakte...HT ziet wingo.exe(Bagle.at)niet als running process...

Niet echt de eerste keer dat ik dit zie bij HT, buggy code of niet, als er geen nieuwere versies meer komen, is dit wederom een bevestiging - voor mij iig - dat HT's tijd over is.

Loudness overcomes reason

Acties: