Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Virus] Nieuwe Sober variant, Sober.P *

Pagina: 1
Acties:
  • 257 views sinds 30-01-2008
  • Reageer

maandag 2 mei 2005 19:25

Acties:

Verwijderd

Topicstarter
Vandaag kreeg ik ineens enkele tientallen e-mailberichten met als bijlage de volgende bestanden:

account_info.zip
account_info-text.zip

BitDefender herkent geen virus in dit bestand. De online scanner van McAfee beweert dat het bestand geinfecteerd is met het W32/Sober.gen@MM virus. Ook de online scanner van Kaspersky vindt geen virus.

Erg vreemd.

Anderen met hetzelfde probleem?

maandag 2 mei 2005 19:28

Acties:
  • Xe0n
  • Registratie: April 2003
  • Laatst online: 29-11 16:17

Xe0n

^ Me

ik kreeg dit mailtje ook op me xs4all email adres en de virus scanner van mij en die van xs4all herkende hem ook niet

nieuw virus?

...

maandag 2 mei 2005 19:29

Acties:

Verwijderd

Topicstarter
Ik vertrouw dit bestand in ieder geval voor geen meter. Zeker niet als er in de voettekst van het mailtje staat:

HCCNet virusscanner (die ik niet heb) en dat soort ongein.

maandag 2 mei 2005 19:29

Acties:
  • theezeefje
  • Registratie: Maart 2000
  • Laatst online: 20-11 16:39

theezeefje

Poehee

[virus probably unknown NewHeur_PE virus] FwD: Registration Confirmation
gaf mijn NOD32 aan....

Vroeger, toen de kratten bier nog van hout waren, en je moest doorzuipen om de kachel warm te houden....

maandag 2 mei 2005 19:33

Acties:

Verwijderd

Verwijderd schreef op maandag 02 mei 2005 @ 19:25:
Ook de online scanner van Kaspersky vindt geen virus.
Update voor Email-Worm.Win32.Sober.p is ~1 uur geleden gereleased.

maandag 2 mei 2005 19:35

Acties:

Verwijderd

Topicstarter
Toch maar kaspersky kopen dan ;) .

We kunnen dus stellen dat er sprake is van een nieuwe variant.

Overigens blijkt nu de updateserver van BitDefender uit de lucht te zijn. Schiet lekker op. Was nog wel beste koop in PCM mei 2005 (kaspersky beste product overigens).

Edit: inmiddels is BitDefender ook wakker. Hij herkent hem als Win32.Sober.O@mm.

BitDefender detected an infected message addressed to you

From: [postmaster@hotmail.com]
Subject: [registration confirmation]
Virus Name [Win32.Sober.O@mm]
Virus Description: http://www.bitdefender.com/vfind/?q=Win32.Sober.O@mm
Action taken: delete

[ Voor 41% gewijzigd door Verwijderd op 02-05-2005 19:43 ]

maandag 2 mei 2005 19:37

Acties:
  • Jk_W
  • Registratie: Februari 2003
  • Niet online

Jk_W

I Think...

Deze mails kunnen de onwetende mensen wel makkelijk in de val lokken. Ik kreeg ze namelijk van afzenders als Vara.nl en MSN.nl

Ik weet wel dat dit niet de echte afzenders zijn, maar mensen kunnen al snel denken dat het dus wel te vertrouwen is.

<edit>Ik kreeg hem net ook al binnen als our_secret.zip</edit>

[ Voor 12% gewijzigd door Jk_W op 02-05-2005 19:39 ]

maandag 2 mei 2005 20:54

Acties:

Verwijderd

Ik krijg dit mailtje met dit attachment (account_info-text.zip) nou ook zo'n beetje elk kwartier. Ik blijf het gewoon weggooien. Ik krijg het trouwens op mijn hotmail, maar de hotmailscanner laat het gewoon door. Ook ik krijg ze van de meest 'rare' personen binnen...

Ah well, keeps on deleting... :Y)

maandag 2 mei 2005 21:10

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Wow... deze gaat hard. Eerste detectie was om 18:05, en heb hem op onze 13 Exchange-servers nu zo'n 500 keer gehad al... en dat dus dik buiten werktijd!

McAfee herkent hem overigens als Sober.gen met de huidige DAT-files (4481). Vanaf 4482 (morgenavond) word hij ook specifiek als Sober.P afgevangen. Write-up: http://vil.nai.com/vil/content/v_133409.htm

[ Voor 33% gewijzigd door wildhagen op 02-05-2005 21:12 ]

Virussen? Scan ze hier!

maandag 2 mei 2005 21:12

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Volgens mij staat ie hier ook beschreven: http://www.waarschuwingsdienst.nl/render.html?it=1184

[ Voor 3% gewijzigd door pven op 02-05-2005 21:12 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

maandag 2 mei 2005 21:18

Acties:
  • smvs
  • Registratie: September 2000
  • Niet online

smvs

Ben benieuwd of mijn clammail pop3 proxy morgen zijn werk doet. (Hij is iig in de clamav defs opgenomen)

Dit is ook lachen trouwens:
http://securityresponse.s.../data/w32.sober.o@mm.html

Detectie datum: 2 mei.
Laatste intelligent update: 1 mei.

Ofwel ze bekennen zelf dat ze hem nog niet in hun defs hebben zitten, of zie ik wat over het hoofd?

[ Voor 7% gewijzigd door smvs op 02-05-2005 21:20 ]

maandag 2 mei 2005 21:20

Acties:
  • DDX
  • Registratie: April 2001
  • Laatst online: 15:13

DDX

clamav had om 7 uur vanavond ook een update (update script op mailserver loopt hier ieder uur)
(http://lurker.clamav.net/...2.165441.ee6f0b41.en.html)

https://www.strava.com/athletes/2323035

maandag 2 mei 2005 21:27

Acties:
  • Klovan
  • Registratie: April 2000
  • Laatst online: 28-11 22:59

Klovan

Hij is weer fijn, geen virusscanner die 'm al ziet met de laatste uitgebrachte definities, maar een handmatige update via de FTP van symantec doet wonderen :P
Afbeeldingslocatie: http://www.tweakers.net/ext/f/57849/full.png

maandag 2 mei 2005 21:30

Acties:
  • smvs
  • Registratie: September 2000
  • Niet online

smvs

Klovan schreef op maandag 02 mei 2005 @ 21:27:
Hij is weer fijn, geen virusscanner die 'm al ziet met de laatste uitgebrachte definities, maar een handmatige update via de FTP van symantec doet wonderen :P
[afbeelding]
Grappig is dat nu op de Symantec site staat dat de Liveupdate op 2 mei voor het laatste geupdate is. Echter, mijn Corp 9 pakt hem niet op. (vindt geen nieuwere)

Edit: 1 min later wel.

Is het zo dat op de FTP van Symantec er nieuwere defs staan dan op de site?

[ Voor 13% gewijzigd door smvs op 02-05-2005 21:31 ]

maandag 2 mei 2005 21:37

Acties:

Verwijderd

hmz, deze wordt al herkent door norman vanaf:
als dit dezelfde is :?
Update 0419b: Total new entries: 1

Binary malware (viruses/trojans/commercials/worms/security risks):
------------------------------------------------------------------
Sober.N@mm (dropper)

[ Voor 82% gewijzigd door Verwijderd op 02-05-2005 21:43 ]

maandag 2 mei 2005 21:41

Acties:
  • Klovan
  • Registratie: April 2000
  • Laatst online: 28-11 22:59

Klovan

smvs schreef op maandag 02 mei 2005 @ 21:30:
[...]

Grappig is dat nu op de Symantec site staat dat de Liveupdate op 2 mei voor het laatste geupdate is. Echter, mijn Corp 9 pakt hem niet op. (vindt geen nieuwere)

Edit: 1 min later wel.

Is het zo dat op de FTP van Symantec er nieuwere defs staan dan op de site?
Kijk hier maar eens:
ftp://ftp.symantec.com/AV...ivirus_corp/rapidrelease/

Hier staat altijd de laatst uitgebrachte virusdefinities in exe-formaat: ftp://ftp.symantec.com/AV...ymrapidreleasedefsi32.exe

maandag 2 mei 2005 21:45

Acties:
  • smvs
  • Registratie: September 2000
  • Niet online

smvs

Klovan schreef op maandag 02 mei 2005 @ 21:41:
[...]


Kijk hier maar eens:
ftp://ftp.symantec.com/AV...ivirus_corp/rapidrelease/

Hier staat altijd de laatst uitgebrachte virusdefinities in exe-formaat: ftp://ftp.symantec.com/AV...ymrapidreleasedefsi32.exe
Niet gek.

maandag 2 mei 2005 21:49

Acties:
  • localhost
  • Registratie: November 1999
  • Niet online

localhost

Ook in geel, groen, paars, wit

Symantec LiveUpdate kent hem nu ook. Updaten maar!

maandag 2 mei 2005 21:52

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

Ik pas nog even de topictitel aan. :)

Signature

maandag 2 mei 2005 21:56

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 13-11 18:21

DJSmiley

Mijn mailserver detecteerd m iig. ik heb 'm nu 2x gehad, eerste om 19.45. ff kijken of ie eerder is langsgekomen ;)

edit: 19.23 eerste besmette mail gehad op mn server (mailbox van mn broertje), en toen werd ie iig al herkend. (MDaemon, gebruikt Kaspersky antivirus db)

Moet zeggen dat 't hier nog wel meevalt, heb ergere meegemaakt.

[ Voor 51% gewijzigd door DJSmiley op 02-05-2005 22:00 ]

maandag 2 mei 2005 22:40

Acties:
  • TheHolyCow
  • Registratie: Augustus 2003
  • Laatst online: 08-11 19:08

TheHolyCow

NOD32 pakt hem nu ook; als: Win32/Sober.O worm

maandag 2 mei 2005 22:43

Acties:
  • Jk_W
  • Registratie: Februari 2003
  • Niet online

Jk_W

I Think...

Ik krijg deze mail (of een variant ervan) om de 10 minuten in mijn hotmail mailbox. Ik heb er nu in totaal al ongeveer 20 gehad en ze blijven komen. Ik hoop dat dit snel afgelopen is :(

maandag 2 mei 2005 22:46

Acties:
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

ik kreeg deze mail net ook, hij was door planet doorgelaten (webmail) maar F-secure hield m direct tegen.(toen ik de zip bekeek)

maandag 2 mei 2005 22:51

Acties:
  • stappel_
  • Registratie: Augustus 2000
  • Laatst online: 30-11 19:32

stappel_

Het valt me op dat de meeste from velden gevult zijn met nederlandse domeinen. Toeval?

Ubero: #2, Euler: #1, GOT: #1, Des: #1, Zeta: #1, Eon: #3, OGR-24: #3, OGR-25: #7,
LM: #7, AP: #5, DF: #19, D2OL: #37, SOB: #50, TSC: #63, RC5: #96

maandag 2 mei 2005 23:08

Acties:

Verwijderd

Topicstarter
De meeste scanners pakken hem nu wel denk ik. Het is op zich wel leuk om nu te zien hoe snel de diverse partijen reageren.

Ik vond het wel frappant dat McAfee de variant zeer snel herkende. Kasperksy en BitDefender volgden zeer snel daarna.

maandag 2 mei 2005 23:38

Acties:
  • Kirpeknots
  • Registratie: Mei 2001
  • Laatst online: 22-11 17:44

Kirpeknots

Wazzup!

Mijn laptop is geinfecteerd met sober.p. Norton Systemworks 2005 had ik vanochtend geupdate omdat ik de mailtjes verdacht vond.... Na de update toch geopend en kreeg een popup met een winzip crc fout melding.

Vanavond om 23:00 uur begon mijn laptop spontaan te mailen.

Inmiddels is er een tussentijdse update.

Norton was er dus nog niet bij toen mijn bak geinfecteerd werd. Ik hoop dat systemworks+quickfix in staat is om het goedje er vanacht af te gooien. WLAN heb ik in ieder geval uitgeschakeld.

maandag 2 mei 2005 23:45

Acties:

Verwijderd

Een AV met goede geheugenscanner en/of removal tool is noodzaak om Sober te kunnen verwijderen.

Zelfs met SYSTEM rechten kun je de Sober-files niet op de hdd benaderen.
De memoryscanner van je AV zal Sober moeten detecteren en de processen moeten beëindigen.

maandag 2 mei 2005 23:53

Acties:
  • Kirpeknots
  • Registratie: Mei 2001
  • Laatst online: 22-11 17:44

Kirpeknots

Wazzup!

Ik zal morgen eerst handmatig controleren of de scan gelukt is voordat ik het WLAN weer inschakel op mijn laptop.

http://nl.mcafee.com/viru...escription&virus_k=133409
http://securityresponse.s.../data/w32.sober.o@mm.html

Ik heb zelf overigens een GMX account. Hierop kwam het aan het begin van de middag al binnen. Het lijkt alsof het van GMX af komt.

maandag 2 mei 2005 23:54

Acties:
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Ik krijg er hier nu ongeveer 50 per uur van binnen :|

En toevallig allemaal van Het Net hostnames

maandag 2 mei 2005 23:56

Acties:
  • Kirpeknots
  • Registratie: Mei 2001
  • Laatst online: 22-11 17:44

Kirpeknots

Wazzup!

Ik zit op xs4all. Dus ik ben het niet.

Hoop niet dat XS4all me afsluit. Vermoed dat er wel een paar doorgeslipt zijn voordat ik de boel uitschakelde...

dinsdag 3 mei 2005 00:07

Acties:

Verwijderd

Yep ook hier begon Norton Internet Security pas tegen 23.00 te knipperen met een uitroeptekentje. Gaf aan dat Sober.o zich snel verspreidde. De updateknop voor het beveiligen tegen snelle uitbraken weigerde echter de av definities op te halen, LiveUpdate deed echter zijn werk wel goed.

Als ik dit zo zie zijn eigenlijk alle grote namen er tegenwoordig snel bij, je moet niet denken wat er 5 jaar terug met ons was gebeurd. Had zeker de kranten gehaald.
Morgen maar een in de gaten houden ;)
Ow... NIS roept dat ik effe moet restarten... doeg! :D

dinsdag 3 mei 2005 08:48

Acties:
  • andreict
  • Registratie: April 2004
  • Laatst online: 05-08 21:14

andreict

Vandaag op het werk ook 60 mailtje van de virusscanner(mcafee) in mijn mailbox

het valt idd op dat het bijna allemaal nederlandse mail adressen zijn waar ik ze van krijg

Valt hier eigenlijk iets aan te doen aan dit soort "attacks"

kbedoel de virusscanner houd hem wel tegen maar hoe kun je het voorkomen?

dinsdag 3 mei 2005 10:13

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

andreict schreef op dinsdag 03 mei 2005 @ 08:48:

kbedoel de virusscanner houd hem wel tegen maar hoe kun je het voorkomen?
Door geen mail, internet of computer (al dan niet een combinatie) te gebruiken.

Virussen? Scan ze hier!

dinsdag 3 mei 2005 10:22

Acties:
  • Kirpeknots
  • Registratie: Mei 2001
  • Laatst online: 22-11 17:44

Kirpeknots

Wazzup!

Een ander effect van dit virus is dat na het afvoeren van de infectie de symantec liveupdate niet meer werkt. Gelukkig is die natuurlijk gewoon opnieuw te downloaden/installeren.

dinsdag 3 mei 2005 12:15

Acties:
  • alien8ed
  • Registratie: November 2001
  • Laatst online: 21-11-2023

alien8ed

ignorance is bliss

Kirpeknots schreef op maandag 02 mei 2005 @ 23:56:
Ik zit op xs4all. Dus ik ben het niet.

Hoop niet dat XS4all me afsluit. Vermoed dat er wel een paar doorgeslipt zijn voordat ik de boel uitschakelde...
Haha, ook sx4all is goed bezig:
Received: from umxpuxvck.nl (xxxxx.xs4all.nl [xxx.xxx.xxx.xxx]) by rly-xi03.mx.aol.com (v105.26) with ESMTP id MAILRELAYINXI32-4d04276d60138; Mon, 02 May 2005 21:38:15 -0400
From: xxxx@xxxxxdomain.nl
To: E-Post@cs.com
Date: Tue, 03 May 2005 01:10:xx UTC
Subject: Re:
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <xxxxxx>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="xxxxxxxxx"
Content-Transfer-Encoding: 7bit
Heb natuurlijk zelf de xxxx-en ingevuld ter bescherming van de betrokkenen.
Maar ik heb xs4all wel gewaarschuwd dat hun gebruikers spammen })
Dus misschien benjij je acount zo ook kwijt.

Kreeg de melding van het nieuwe virus ook van de waarschuwingsdienst
En het is inderdaad waarschijnlijk of nederlandse variant, of het virus is zo geschreven dat het zelf selecteerd naar welke domeinen (*.nl oid) hij zich verspreid, om zo meer vertrouwen te kweken.
(Nederlandse mail is toch nooit virus??? Openen die bijlage :X )

dinsdag 3 mei 2005 15:41

Acties:
  • itsoJ
  • Registratie: November 2000
  • Laatst online: 23-09 11:53

itsoJ

Misschien overbodig, maar even voor de duidelijkheid. Ik neem aan dat dit er ook een schoolvoorbeeld van is?
-----Oorspronkelijk bericht-----
Van: register@smtp16.xxx.nl [mailto:register@smtp16.xxx.nl]
Verzonden: dinsdag 3 mei 2005 10:16
Aan: private@xxx.nl
Onderwerp: Registration Confirmation

Account and Password Information are attached!

Visit: http://www.smtp16.xxx.nl


account_info.zip
1K Download
P.S. xxx = domein en voor de handigheid even in quote-modus...

[ Voor 14% gewijzigd door itsoJ op 03-05-2005 15:45 ]

dinsdag 3 mei 2005 23:11

Acties:
  • Kjev
  • Registratie: Juni 2001
  • Laatst online: 02-01-2024

Kjev

Heel vreemd... ik krijg tientallen van deze mailtjes, maar zonder bijlage (terwijl mijn virusscanner toch echt of hele berichten blokkeert, of een melding geeft dat er een attachment is verwijderd). In de headers ook geen tekenen te vinden dat er iets is verwijderd door een andere mailserver.
Er is niet toevallig een irritante maar onschadelijke versie in omloop, of ben ik gek aan het worden?

(pven: op een eigen mailserver, voor de duidelijkheid)

[ Voor 21% gewijzigd door Kjev op 04-05-2005 01:10 ]

dinsdag 3 mei 2005 23:11

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

Kjev schreef op dinsdag 03 mei 2005 @ 23:11:
Heel vreemd... ik krijg tientallen van deze mailtjes, maar zonder bijlage (terwijl mijn virusscanner toch echt of hele berichten blokkeert, of een melding geeft dat er een attachment is verwijderd).
Er is niet toevallig een irritante maar onschadelijke versie in omloop, of ben ik gek aan het worden?
Misschien dat je provider het voor je filtert? :?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

dinsdag 3 mei 2005 23:19

Acties:

Verwijderd

Kjev schreef op dinsdag 03 mei 2005 @ 23:11:
Heel vreemd... ik krijg tientallen van deze mailtjes, maar zonder bijlage (terwijl mijn virusscanner toch echt of hele berichten blokkeert, of een melding geeft dat er een attachment is verwijderd). In de headers ook geen tekenen te vinden dat er iets is verwijderd door een andere mailserver.
Er is niet toevallig een irritante maar onschadelijke versie in omloop, of ben ik gek aan het worden?
Sobervarianten hebben nogal eens de neiging corrupte samples te sturen, dat zou dit kunnen verklaren.

woensdag 4 mei 2005 22:08

Acties:
  • Mach
  • Registratie: December 2002
  • Laatst online: 30-11 17:42

Mach

[END]Avengers

Ik krijg op dit moment aan de lopende band sober-mailtjes op de mailaccounts van de website die ik beheer. Ik delete ze allemaal ongelezen zodat ze geen schade kunnen aanrichten, maar vervelend is het wel.

Kan ik nog wat doen om die stroom mails tot stoppen te brengen, of moet ik gewoon ff afwachten totdat de storm overwaait ?

DUGG

dinsdag 10 mei 2005 11:52

Acties:
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 14:13

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik krijg ze ook opeens binnen op me Hotmail :/. Wel is de downloadfunctie geblokkeerd, maar sinds jaaaaren krijg ik dus weer virussen binnen op Hotmail :/.
Nou ja, die virussen komen toch binnen in me Ongewenste Post >:)

[ Voor 19% gewijzigd door AW_Bos op 10-05-2005 11:53 ]

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

dinsdag 10 mei 2005 13:54

Acties:

Verwijderd

Ik had dit topic nog niet gezien, maar ik had er ook eentje van de week. Heel lastig omdat hij leek te komen van nrc en dat is toevallig wel een krant waar wij een abonnement op hebben en met in de mail ook die opmerking van de hccnet virusscanner. Alwaar wij dus een account hebben
Toch maar niet vertrouwd en weggegooid :)

dinsdag 10 mei 2005 16:48

Acties:

Verwijderd

FYI: http://www.viruslist.com/en/weblog?weblogid=163590373

De verspreiding is dus (zga) gestopt nu.

dinsdag 10 mei 2005 18:15

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Aaah... het viel me al op dat er idd vanaf een uur of 9 vanochtend niet één meer is afgevangen... is dat iig ook weer verklaar :)

Dit is wel de meest verspreide virus ooit binnen onze organisatie geweest (circa 41.000 afgevangen mails), en heeft hiermee Sober.L (ca 35000) en Sober.G (29000) hiermee van de plaats verdrongen :P

Teringzooi al die virussen.

Virussen? Scan ze hier!

zondag 15 mei 2005 21:00

Acties:
  • markvt
  • Registratie: Maart 2001
  • Laatst online: 30-11 09:27

markvt

Peppi Cola

Ik word overspoelt met die dresden mailtjes en andere duitse junk :(

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

zondag 15 mei 2005 21:07

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

nieuws: Nederland bedolven onder Duitstalige spam - Update

Variant H was vroeger verantwoordelijk voor die Duitse spam, maar ik heb sinds zeer recent ook weer, lijkt samen te hangen met de nieuwe uitbraak van .P?

[ Voor 5% gewijzigd door Motrax op 15-05-2005 21:11 ]

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

zondag 15 mei 2005 21:13

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Motrax schreef op zondag 15 mei 2005 @ 21:07:
nieuws: Nederland bedolven onder Duitstalige spam - Update

Variant H was vroeger verantwoordelijk voor die Duitse spam, maar ik heb sinds zeer recent ook weer, lijkt samen te hangen met de nieuwe uitbraak van .P?
Volgens nieuws: Verspreiding worm Sober.P plotseling stilgelegd - Update is het de .Q-variant die verantwoordelijk is voor die nazi-mailtjes. Gelukkig heb ik er zelf nog maar één gehad, maar mijn ouders al vier, die schrokken zich best wel rot :/

Virussen? Scan ze hier!

zondag 15 mei 2005 21:22

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

wildhagen schreef op zondag 15 mei 2005 @ 21:13:
[...]


Volgens nieuws: Verspreiding worm Sober.P plotseling stilgelegd - Update is het de .Q-variant die verantwoordelijk is voor die nazi-mailtjes. Gelukkig heb ik er zelf nog maar één gehad, maar mijn ouders al vier, die schrokken zich best wel rot :/
Dus ik heb de klok wel horen luiden, maar de klepel niet gehoord... had dat nieuwsbericht wel gelezen, wel onthouden dat de 'oude' versie een 'nieuwe' versie binnenhaalde, maar had de link niet gelegd naar de Duitse spam en de Sober-worm... |:(

Gelukkig is mijn Duits zo slechts dat ik ze sneller wegmik dan dat ik ze kan lezen :Y)

De vraag is alleen of ze nu al mensen te pakken hebben die hier vroeger voor verantwoordelijk waren en mogelijk ook nu...

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

zondag 15 mei 2005 21:27

Acties:
  • FDMK
  • Registratie: Augustus 2004
  • Laatst online: 15:10

FDMK

het zit dus nu ook al in bit torrent packages :S

Any job you can do in your pajamas is not the hardest job in the world.

maandag 16 mei 2005 00:00

Acties:

Verwijderd

Meer info over Sober.q hier: http://www.viruslist.com/en/weblog
spyros schreef op zondag 15 mei 2005 @ 21:27:
het zit dus nu ook al in bit torrent packages :S
Wat zit er in bittorent packages :? Sober? Sober's spam?
Lijkt me trouwens niet echt waarschijnlijk.

maandag 16 mei 2005 10:32

Acties:
  • paella
  • Registratie: Juni 2001
  • Laatst online: 29-11 18:03

paella

Gelukkig zit er overeenkomst tussen de duitse mailtjes en is het scannen op woorden dus bruikbaar:

"Lese selbst:" is een effectieve en de subjects natuurlijk. Heb gisteren al snel op mijn werk de filters aangepast en natuurlijk... vanmorgen al DUIZENDEN mails stonden in de queues... select all, delete :)

[ Voor 4% gewijzigd door paella op 16-05-2005 10:32 ]

No production networks were harmed during this posting

maandag 16 mei 2005 11:42

Acties:
  • doctorH
  • Registratie: Juni 2001
  • Laatst online: 05-11-2023

doctorH

Hmm...ook al zo'n 50 mails in de afgelopen 24 uur in mijn mailbox. Allemaal met verwijzingen naar artikelen in (grote) Duitse kranten. Virus zelf zit er niet (meer) bij.
Denk dus iedere keer weer mail van vrienden te krijgen, maar helaas :-)
En tsja...standaard filteren op duitse woorden vind ik nu ook gelijk weer zo wat.

Asus A7N8X Deluxe v1.06 | AMD XP-M 2600+ @ 2.4GHz | 2x512MB Geil PC3200 2-3-3-6 | Sapphire Radeon 9500PRO->9700PRO(bios) @ 338/286 | Hitachi Deskstar T7K250 2x160GB SATA RAID 0

maandag 16 mei 2005 12:41

Acties:
  • tvdleur
  • Registratie: Juni 2001
  • Laatst online: 03-12-2024

tvdleur

ehh...okay?

Ah... dus dat is die Duitse meuk. Gisteren begonnen en vandaag loopt het langzamerhand nog op hier :(

maandag 16 mei 2005 13:26

Acties:
  • ephymerous
  • Registratie: Mei 2002
  • Laatst online: 13:33

ephymerous

Same here, ook bij mn pa, word er stront en strontziek van.... :|

Heb maar even wat regels ingesteld in Outlook, dan krijg ik ze iig niet in mn inbox...

[ Voor 42% gewijzigd door ephymerous op 16-05-2005 13:30 ]

XXXVI

maandag 16 mei 2005 15:53

Acties:
  • 2Dutch
  • Registratie: Juni 2001
  • Niet online

2Dutch

No worries eeh!

Zag voor een eerst een spammailtje op mijn xs4all account, meteen blacklisten en de hele meuk met Mailwasher :) Blijkbaar zijn er nog steeds mensen die zich vervelen/zich niet beveiligen.

| The bitterness of poor quality remains long after the sweetness of low price is forgotten |

maandag 16 mei 2005 17:42

Acties:
  • pven
  • Registratie: Oktober 1999
  • Niet online

pven

2Dutch schreef op maandag 16 mei 2005 @ 15:53:
Zag voor een eerst een spammailtje op mijn xs4all account, meteen blacklisten en de hele meuk met Mailwasher :) Blijkbaar zijn er nog steeds mensen die zich vervelen/zich niet beveiligen.
Beveiligen is wat anders dan spam weren ... (8>

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

maandag 16 mei 2005 20:21

Acties:
  • yohan
  • Registratie: April 2002
  • Laatst online: 31-10 17:10

yohan

Volgens nu.nl worden 'Australische computergebruikers' lastiggevallen met extreem-rechtse spam. Leuk dat deze Nederlandse nieuwssite meteen ook ff meldt dat wij er ook door platgebombardeerd worden. Wat is die zooi irritant zeg.

Wat ik er trouwens raar aan vindt is dat het van adressen afkomstig is (gespoofd natuurlijk) die ik veelal ken, of zelf regelmatig mail van ontvang/naar verstuur.

"I'm not a cynic. I get up every morning hoping to find an honest man." - [Jack McCoy, Law & Order]

maandag 16 mei 2005 20:32

Acties:
  • YouKnow
  • Registratie: Maart 2002
  • Niet online

YouKnow

markvt schreef op zondag 15 mei 2005 @ 21:00:
Ik word overspoelt met die dresden mailtjes en andere duitse junk :(
Oh jij ook al! Ik word er zo moe van:

"Lese selbst: *link*"

Irritante zut!

maandag 16 mei 2005 21:06

Acties:
  • Holgster
  • Registratie: Januari 2002
  • Laatst online: 22-09 11:33

Holgster

Werk mail adres wordt op dit moment ook overspoeld met duitse spam.

Enige voordeel is dat die npd site totaal overbelast wordt :)

Br(36) Ba(56)

dinsdag 17 mei 2005 12:26

Acties:
  • jorisdekloris
  • Registratie: Juni 2002
  • Laatst online: 26-11 14:16

jorisdekloris

Wij hebben er ook last van de virus defs die wij hebben draaien is 4490 die zou het sober.q virus ook tegen moeten houden. Wij zijn nu alles aan het updaten naar 4492, die is vancohtend uitgekomen.

Het vreemde is dat wij geen att aan de mails hebben hangen die wijkrijgen, alleen maar SPAM dus.

Tierelier

dinsdag 17 mei 2005 12:29

Acties:
  • yohan
  • Registratie: April 2002
  • Laatst online: 31-10 17:10

yohan

JorisdeKloris schreef op dinsdag 17 mei 2005 @ 12:26:
Wij hebben er ook last van de virus defs die wij hebben draaien is 4490 die zou het sober.q virus ook tegen moeten houden. Wij zijn nu alles aan het updaten naar 4492, die is vancohtend uitgekomen.

Het vreemde is dat wij geen att aan de mails hebben hangen die wijkrijgen, alleen maar SPAM dus.
Klopt, zitten er ook niet aan.

"I'm not a cynic. I get up every morning hoping to find an honest man." - [Jack McCoy, Law & Order]

dinsdag 17 mei 2005 12:33

Acties:
  • jorisdekloris
  • Registratie: Juni 2002
  • Laatst online: 26-11 14:16

jorisdekloris

Hoe is infectie dan te zien?

Tierelier

dinsdag 17 mei 2005 13:42

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

JorisdeKloris schreef op dinsdag 17 mei 2005 @ 12:33:
Hoe is infectie dan te zien?
Gezien de terminologie denk ik dat je McAfee gebruikt? Zo ja: http://vil.nai.com/vil/content/v_133684.htm

Virussen? Scan ze hier!

dinsdag 17 mei 2005 13:52

Acties:
  • jorisdekloris
  • Registratie: Juni 2002
  • Laatst online: 26-11 14:16

jorisdekloris

Dat is hem inderdaad. Wat ik niet begrijp is:
When the worm is executed it creates the following folder:
Dit zou toch betekenen dat de worm in het mailtje moet zitten of niet?

Alle PC's die de mailtjes krijgen hebben de volgende dir ook niet: %Windir%\Help\Help

Tierelier

dinsdag 17 mei 2005 16:24

Acties:
  • biobak
  • Registratie: Augustus 1999
  • Laatst online: 06:16

biobak

Indien je voor jezelf of voor je bedrijf een spamfilter beheert, dan kun je op http://mailscanner.prolocation.net/german.cf een lijst vinden met alle subject-lines die door Sober.Q gebruikt worden.

dinsdag 17 mei 2005 17:47

Acties:

Verwijderd

En als je zelf een mailserver draait, hebben ik en wat ander mensen van nim (newsgroup nl.internet.misbruik) een z.g. dnsbl opgezet.

d'r staan op dit moment over de 3000 infected ip adressen in

info: http://bas.dds.nl/rechtse-spam/

dinsdag 17 mei 2005 19:20

Acties:

Verwijderd

Topicstarter
Bij HCCNet kan ik alleen maar instellen of het spamfilter op laag, middel, hoog of uit moet staan. Ik kan dus verder niet zien wat er wel en niet geblocked wordt. Ik vind dat nogal gevaarlijk, aangezien ik op een aantal nieuwsbrieven geabonneerd ben. Die zouden dus weleens tegengehouden kunnen worden.

Iemand een tip voor een grote gratis spamfilter (geen mailwasher).

dinsdag 17 mei 2005 20:49

Acties:
  • pinojo123
  • Registratie: Juli 2004
  • Laatst online: 30-11 10:36

pinojo123

Ik word ook al een paar dagen bestookt met duitse spam.
Wat me opvalt is dat tussen de verzenders emailadressen uit het adresboek van een kennis van me zit.
Waar ik me zorgen om maak is dat ik zelf ook voorkom als afzender, ik heb als het ware een duitse spam naar me zelf gestuurd.
Toch ben ik er zeer zeker van dat ik virusvrij ben.
Mijn vraag is kan iemand anders mijn email adres grbruiken om spam te versturen?

dinsdag 17 mei 2005 21:26

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

Ja tuurlijk ;). Die techniek heet 'spoofen'. Het houdt in dat er een e-mail adres wordt gefaked. Dus er wordt niet van jouw adres af verzonden, er wordt gedaan alsof het van jouw adres vandaan komt. In prinipe hoef je je geen zorgen te maken. Ik kan het niet technisch uitleggen aangezien ik op dat vlak volledig noob ben, maar het Jip & Janneke taaltje ken ik wel :P

Voor de zekerheid kan je nog even nalopen of je het virus hebt of niet.
Zie hier eerder in het topic:
wildhagen schreef op dinsdag 17 mei 2005 @ 13:42:
[...]

Gezien de terminologie denk ik dat je McAfee gebruikt? Zo ja: http://vil.nai.com/vil/content/v_133684.htm

[ Voor 14% gewijzigd door Motrax op 17-05-2005 21:52 ]

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

donderdag 19 mei 2005 15:48

Acties:
  • Masch
  • Registratie: Augustus 2002
  • Laatst online: 29-11 16:59

Masch

Is het zeker dat Sober.O gebruikt maakt van spoofing?

Ik heb hier geen informatie over kunnen vinden.

(\__/) Ik wist totaal niet wat hier neer te zetten....
(='.'=) Dus het werd....
("")("") Een konijn!!

zondag 22 mei 2005 13:28

Acties:
  • Icekool
  • Registratie: April 2000
  • Laatst online: 30-11 23:36

Icekool

Ik heb in de Sober mailtjes een terugkomend IP-adres weten te traceren. Nu wil ik dit IP-adres weer opzoeken in de headers van alle mailtjes uit mijn mail archief zodat ik de zender een mailtje kan sturen, dat hij/zij een virus op zijn/haar computer heeft staan.

Is hier een tooltje voor of moet ik die handmatig doen??
Of zegt dat IP-adres dat ook in de lijst van Bas staat verder niks>

zondag 22 mei 2005 17:45

Acties:
  • hessel
  • Registratie: Januari 2000
  • Laatst online: 05-11-2024

hessel

Doe een een "tracert ip-adress" en/of vul het ip eens in je webbrouser in.
Bij tracert krijg nl vaak de naam van provider terug. Dit scheelt je zoeken door je mail argief, je hoeft nu alleen alle mailtjes na te gaan van personen die bij de genoemde provider horen.
Ik zeg bewust personen en niet email adressen. Want iemand die met hotmail mailt, Kan een gebruiker van bv Chello zijn en besmet. Zijn ip zul je dan ook terug vinden in zijn hotmail mailtje

Grutte Pier fansels

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq