Grote (?) Nederlandstalige phishingpoging ABN Amro? - Privacy en beveiliging

donderdag 22 maart 2007 09:48

Acties:

0 Henk 'm!

CMD+Z

Topicstarter

Normaal lach ik er een beetje om, maar dit is wel wat serieuzer. Ik kreeg het volgende bericht:

Geachte gebruiker!

Onze bank houdt regelmatig toezicht over de laatste vorderingen ter tegenstrijding van netpiraten en treft steeds preventiemaatregelen om zijn klanten tegen opscheppers te beschermen. Een groep vakmensen op het gebied van computerveiligheid is te weten gekomen van een grove fout in het protocol SSL, die door een hacker kan worden gebruikt om toegang te krijgen tot uw bankrekening.

Vanaf morgen wordt er in het toegangsysteem tot klantenrekeningen een nieuw protocol SSL3 in gebruik genomen, dat op het huidige moment als het meest veilig wordt beschouwd. De klanten die gebruik maken van Internet-browsers zonder SSL3 kunnen dus geen toegang krijgen tot hun bankrekeningen via het Intenet.

U dient uw browser te vernieuwen. Onze vakmensen hebben de vernieuwingen voor alle browsertype�s uitgewerkt. De vernieuwing is aan deze brief bijgelegd. U hoeft de programma-module gewoon te starten en de vernieuwing wordt automatisch opgeslagen.

De programmamodule ms_ssl3_upd.exe is bijgelegd.

Bedankt voor uw ondersteuning en wij hopen verder met u samen te werken.

Aangezien ik ABN Amro klant ben (toevallig waarschijnlijk) begon ik het dus te lezen, en op zich vond ik het nog niet eens zo'n vreemd bericht, opmaak klopte ook wel redelijk van het bericht. Tot dat ik zag dat er een .exe was bijgevoegd, dat doet een bank natuurlijk niet. Ik ben eens in de headers gaan kijken, en het kwam inderdaad van een of andere gehackte server af.

Ik weet verder niet wat die .exe doet en of het inderdaad phishing is of gewoon andere rotzooi, maar ik weet wel dat hier waarschijnlijk veel mensen in gaan trappen.

iOS developer

donderdag 22 maart 2007 09:49

Acties:

0 Henk 'm!

CLB

Dan zou ik ABN maar eens contacten, wat zij erover weten en dat zij erachteraan moeten gaan!

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

donderdag 22 maart 2007 09:50

Acties:

0 Henk 'm!

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Heb jij ook een email gestuurd naar ABN Amro wat dit betreft? Dat lijkt me wel heeeeeeel handig.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

donderdag 22 maart 2007 09:50

Acties:

0 Henk 'm!

SkyStreaker

Move on up!

Dit is gewoon phishing. Iets dergelijks wordt gewoon per brief gestuurd en het is technisch mogelijk je de complete toegang te ontzeggen totdat je, als het echt is, de boel geregeld hebt.

De opmaak van de brief? Allerminst zakelijk. D'r wordt teveel geprobeerd zakelijk en formeel over te komen en daar gaan ze fout in.

donderdag 22 maart 2007 09:51

Acties:

0 Henk 'm!

BikkelZ

CMD+Z

Topicstarter

Dit hadden ze al op de site staan:

http://www.abnamro.nl/nl/...l?pos=lb_20070321_nepsite

Zou er een databaseje met E-Mailadressen gekraakt zijn?

Ik ga ze even bellen, ik kom zo terug.

iOS developer

donderdag 22 maart 2007 09:53

Acties:

0 Henk 'm!

IntToStr

Dit is inderdaad een erg goede poging!

Zal zo maar eens wat familie en zo mailen dat ze hier niet op in moeten gaan, want dit zie ik idd als iets waar heel veel mensen in kunnen gaan trappen.

SkyStreaker schreef op donderdag 22 maart 2007 @ 09:50:
Dit is gewoon phishing. Iets dergelijks wordt gewoon per brief gestuurd en het is technisch mogelijk je de complete toegang te ontzeggen totdat je, als het echt is, de boel geregeld hebt.

De opmaak van de brief? Allerminst zakelijk. D'r wordt teveel geprobeerd zakelijk en formeel over te komen en daar gaan ze fout in.

Voor ons ja, maar voor de normale mens die niet een tweaker in het gezin heeft om op zoiets te hameren zou dit wel eens bij 10%? tot resultaat kunnen leiden. Dat zou toch heel veel zijn, al is het maar 5%..

[ Voor 62% gewijzigd door IntToStr op 22-03-2007 09:55 ]

donderdag 22 maart 2007 09:54

Acties:

0 Henk 'm!

Martijn

Ik heb de mail net in 3-voud ook gehad, ik ben geen klant van de ABN...

donderdag 22 maart 2007 10:14

Acties:

0 Henk 'm!

MrAngry

Ik heb hem ook net gehad. Als ik zoveel moeite zou doen, zou ik er wel voor zorgen dat de bijgevoegde .exe dezelfde naam heeft als degene die in de mail wordt genoemd. Dan heb je pas echt veel leute die erin trappen.

edit: Ben geen klant van ABN, dus mailtje gaat "random"rond

[ Voor 12% gewijzigd door MrAngry op 22-03-2007 10:53 ]

Er is maar één goed systeem en dat is een geluidsysteem - Sef

donderdag 22 maart 2007 10:27

Acties:

0 Henk 'm!

FrankGuthrie

I Wanna Be Kate

Gister was phising bij ABN al in het nieuws: http://www.nu.nl/news/101...o_onderzoekt_nepmail.html

Russian Blue Neji
Kate Bush
Blue Horizon(a website about Star Trek & Babylon 5)

donderdag 22 maart 2007 10:44

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

BikkelZ schreef op donderdag 22 maart 2007 @ 10:02:
- Onbekend wat het precies is
- Wis de historie en tijdelijke bestanden
- Typ het adres in en gebruik geen bookmarks.

Als je de exe al gedraaid hebt werkt dit niet meer zeker voor 100%, Voor normaal gebuik zijn dit goede richtlijnen, voor een gehackte pc niet meer voldoende.

Als je de exe gedraaid hebt kun je beter vanaf die pc niet meer je abn-amro zaken regelen totdat je weet wat het exe filetje doet.

[ Voor 9% gewijzigd door leuk_he op 22-03-2007 10:44 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 22 maart 2007 10:45

Acties:

0 Henk 'm!

Murcielago

Wel een aparte mail, vooral als je op een Apple werkt. Hoe moet ik nu een .exe-bestand installeren op Safari? Gek genoeg heb ik geen mail van ze ontvangen.
Je zou de phishers bijna een mailtje terugsturen.

PSN: djmurcielago

donderdag 22 maart 2007 10:48

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Wat ik me alleen afvraag, hoe komt de 'maker' aan de emailadressen van de klanten van de ABN?

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 22 maart 2007 10:52

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

SinergyX schreef op donderdag 22 maart 2007 @ 10:48:
Wat ik me alleen afvraag, hoe komt de 'maker' aan de emailadressen van de klanten van de ABN?

Dat vroeg ik mij ook af, alleen denk ik dat dit een hagelschot is welke ook niet-abnamro klanten zullen krijgen.
Het gebruikte email adres is niet degene die ik met abnamro zelf gebruik in correspondentie.

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

donderdag 22 maart 2007 10:53

Acties:

0 Henk 'm!

ralpje

Deugpopje

SinergyX schreef op donderdag 22 maart 2007 @ 10:48:
Wat ik me alleen afvraag, hoe komt de 'maker' aan de emailadressen van de klanten van de ABN?

Niet, ook niet abn-klanten zijn gemaild. Stuur een mail naar een paar-duizend mailadressen, statistisch gezien is dan x-procent altijd klant bij ABN.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 22 maart 2007 10:54

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Er zijn 2 verschillende mailtjes in inloop, de phising versie en de virus-SSL3-update versie.

Die SSL3 zie ik wel overal komen, maar vooralsnog alleen bij ABN klanten die phising versie gezien.
Laatste zal wel toeval zijn

[ Voor 7% gewijzigd door SinergyX op 22-03-2007 10:55 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 22 maart 2007 11:00

Acties:

0 Henk 'm!

InZane

Opmaak klopte wel redelijk???? Nou vond ik dus absoluut niet! Beetje krom Nederlands en totaal ongeloofwaardig.
Komt nog eens bij dat een bank je nooit dit soort meuk zal mailen.

Het was trouwens allang in het nieuws

donderdag 22 maart 2007 11:04

Acties:

0 Henk 'm!

Marco

Ik krijg 'em net binnen via mijn Multikabel-adres, maar hij wordt al gemarkeerd als spam.
MK is dus keurig op de hoogte.

donderdag 22 maart 2007 11:05

Acties:

0 Henk 'm!

Wouter!

Hier ook ontvangen op twee e-mailadressen, de SSL3-versie. De adressen waar ik dit op heb ontvangen hebben geen mailbox en worden geforward naar m'n persoonlijke mail. Op één van die adressen ontvang ik zo'n 100 spammails per dag en de ander is een catch-all-box dus ik neem 't bij voorbaat al niet serieus. Bij beide mails zit een verschillende bijlage, de 235.exe en 589.exe.

Ik ben wel klant bij de ABN Amro maar heb daar een rekening die ik al zeker 5 jaar niet gebruik, ik heb deze mailadressen daar in elk geval nooit op gegeven. Ik vraag me überhaupt af of ik daar ooit een mailadres heb opgegeven maar mocht dat zo zijn dan bestaat die in elk geval al niet meer.

D'r wordt ook een erg vreemd taalgebruik in die mail gebruikt. Alsof sommige zaken uit een andere taal letterlijk zijn vertaald ...

[ Voor 9% gewijzigd door Wouter! op 22-03-2007 11:08 ]

donderdag 22 maart 2007 11:06

Acties:

0 Henk 'm!

dawuss

gadgeteer

Voor geïnteresseerden nog even wat headers:

From winagqdmw@algorithmics.com  Thu Mar 22 09:58:06 2007
Return-Path: <winagqdmw@algorithmics.com>
X-Original-To: me@mydomain.com
Delivered-To: me@mydomain.com
Received: from schuimpje.snt.utwente.nl (schuimpje.snt.utwente.nl [130.89.175.3])
	by melon.student.utwente.nl (Postfix) with ESMTP id 1464D2CC2E
	for <me@mydomain.com>; Thu, 22 Mar 2007 09:58:06 +0100 (CET)
Received: from mx1.utsp.utwente.nl ([130.89.2.12] helo=mx.utwente.nl)
	by schuimpje.snt.utwente.nl with esmtp (Exim 4.63)
	(envelope-from <winagqdmw@algorithmics.com>)
	id 1HUJ6z-0006lg-0B
	for me@mydomain.com; Thu, 22 Mar 2007 09:57:35 +0100
Received: from denhaag.ewi.utwente.nl (denhaag.ewi.utwente.nl [130.89.10.11])
          by mx.utwente.nl (8.12.10/SuSE Linux 0.7) with ESMTP id l2M8vTCv005803
          for <me@mydomain.com>; Thu, 22 Mar 2007 09:57:29 +0100
Received: from mx.utwente.nl (mx3.utsp.utwente.nl [130.89.2.14])
	by denhaag.ewi.utwente.nl (8.13.6/8.13.6) with ESMTP id l2M8vQSK027357;
	Thu, 22 Mar 2007 09:57:26 +0100 (MET)
Received: from acer-1424f82190 (77-97-255-47.cable.ubr08.edin.blueyonder.co.uk [77.97.255.47])
          by mx.utwente.nl (8.12.10/SuSE Linux 0.7) with ESMTP id l2M8uVus022701
          for <me@mydomain.com>; Thu, 22 Mar 2007 09:56:54 +0100
Received: from 204.92.92.1 (HELO mail2.algorithmics.com)
     by inter-actief.utwente.nl with esmtp (,59?,YCU>N (21K)
     id 7F/<J6-P-6(::-.B
     for me@mydomain.com; Thu, 22 Mar 2007 08:56:37 +0000
Message-ID: <01c76c5f$fffecc90$6c822ecf@winagqdmw>
From: "support@abnamro.nl" <support@abnamro.nl>
To: <me@mydomain.com>
Subject: {Filename?} Vernieuw uw Internet-browser met SSL3 zo spoedig mogelijk.
Date: Thu, 22 Mar 2007 08:56:37 +0000
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="----=_NextPart_000_000F_01C76C5F.FFFECC90"; type="multipart/alternative"

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

donderdag 22 maart 2007 11:08

Acties:

0 Henk 'm!

InZane

BikkelZ schreef op donderdag 22 maart 2007 @ 11:01:
[...]

Heel toevallig is er ook een andere mail gestuurd waarin zoiets als 'Lieve klant' ofzo stond. Misschien dat je daar op doelt? Deze is niet in het nieuws.

Nee die bedoelde ik niet. Heb dezelfde als jij ontvangen vanochtend, alleen werd ie direct in de prullenbak gegooid omdat ie gemarkeerd was als spam

X-Spam-Level: ********************
X-Spam-Status: Yes, score=20.2 required=5.0 tests=BAYES_00,DATE_IN_PAST_06_12,
EXTRA_MPART_TYPE,FORGED_RCVD_HELO,HELO_DYNAMIC_DHCP,HELO_DYNAMIC_HCC,
HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_IMAGE_ONLY_28,HTML_MESSAGE,
RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E4_51_100,RAZOR2_CHECK,
RCVD_FORGED_WROTE,RCVD_IN_SORBS_DUL autolearn=no version=3.1.7
X-Spam-Report:
* 3.1 HELO_DYNAMIC_DHCP Relay HELO'd using suspicious hostname (DHCP)
* 4.1 HELO_DYNAMIC_HCC Relay HELO'd using suspicious hostname (HCC)
* 1.1 EXTRA_MPART_TYPE Header has extraneous Content-type:...type= entry
* 4.2 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr
* 1)
* 2.8 RCVD_FORGED_WROTE Forged 'Received' header found ('wrote:' spam)
* 0.1 FORGED_RCVD_HELO Received: contains a forged HELO
* 0.8 DATE_IN_PAST_06_12 Date: is 6 to 12 hours before Received: date
* 0.1 HTML_50_60 BODY: Message is 50% to 60% HTML
* -2.6 BAYES_00 BODY: Bayesian spam probability is 0 to 1%
* [score: 0.0000]
* 1.9 HTML_IMAGE_ONLY_28 BODY: HTML: images with 2400-2800 bytes of words
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
* above 50%
* [cf: 56]
* 0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
* 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
* [cf: 56]
* 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
* [71.149.142.169 listed in dnsbl.sorbs.net]
Received: from adsl-71-149-142-169.dsl.stlsmo.sbcglobal.net

[ Voor 0% gewijzigd door InZane op 22-03-2007 11:09 . Reden: Damn dawuss :( ;) ]

donderdag 22 maart 2007 11:18

Acties:

0 Henk 'm!

dawuss

gadgeteer

Hier had 'ie inderdaad ook een behoorlijke spam rating

micheljansen.org
Fulltime Verslaafde Commandline Fetisjist ©

donderdag 22 maart 2007 11:21

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

dawuss schreef op donderdag 22 maart 2007 @ 11:06:
Voor geïnteresseerden nog even wat headers:

Bij mij stond in windows mail (vista) een hele rij:


X: wiped
X: wiped
X: wiped
X: wiped
X: wiped
X: wiped
X: wiped
enz etc.

En verder afkomstig van duidelijk verzonnen domein, die was er ook niet toen ik deze natrok via een domeinnaam claim site.

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

donderdag 22 maart 2007 11:22

Acties:

0 Henk 'm!

Zyppora

155/50 Warlock

InZane schreef op donderdag 22 maart 2007 @ 11:00:Komt nog eens bij dat een bank je nooit dit soort meuk zal mailen.

Juist. Als een bank wil dat je je browser update, zullen ze dat via een officieel persbericht op hun website vermelden, of in de massamedia. Daarnaast krijg je bericht via briefpapier, en niet via de email. En ten derde gaat een bank je echt geen .exe bestanden toesturen. Als het al nodig is zoiets te installeren, dan zullen ze dat ten alle tijden verspreiden via de officiele website en ernaar verwijzen in de brief/email.

Volgens mij is een virus/trojan/ad/malware verspreiden via een .exe in een email zo'n beetje de oudste truuk die hackers/phishers kunnen gebruiken. Als je spamfilter die al doorlaat ...

Phenom II X4 945 \\ 8GB DDR3 \\ Crosshair IV Formula \\ R9 290

donderdag 22 maart 2007 11:23

Acties:

0 Henk 'm!

argro

InZane schreef op donderdag 22 maart 2007 @ 11:00:
Opmaak klopte wel redelijk???? Nou vond ik dus absoluut niet! Beetje krom Nederlands en totaal ongeloofwaardig.
Komt nog eens bij dat een bank je nooit dit soort meuk zal mailen.

Het was trouwens allang in het nieuws

De mail die in de OP staat is verre van redelijk inderdaad. Stel dat de bank (stel) echt een email over een beveiligingslek zou sturen dan mag ik toch hopen dat die mail iets fatsoenlijker is.

Ik snap niet dat een hacker zo veel moeite doet om een mooi *.exe bestandje te maken en dan zo'n begeleidende mail maakt. Met iets meer moeite was zijn hele actie een stuk geloofwaardiger geweest. Zonde van zijn tijd.

[ Voor 17% gewijzigd door argro op 22-03-2007 11:25 ]

so·wie·so (bw.) 1 hoe dan ook => überhaupt

donderdag 22 maart 2007 11:26

Acties:

0 Henk 'm!

CyBeR

💩

dawuss schreef op donderdag 22 maart 2007 @ 11:06:
Voor geïnteresseerden nog even wat headers:
<knip>

offtopic:
Hrm, vrij uitgebreide mail routing daar bij de utwente..

Anyway dat dit niet echt is had je al aan het taalgebruik kunnen zien.

Ten eerste eindigt een normale groet nooit met een uitroepteken maar met een komma. Ten tweede: 'dat als het meest veilig wordt beschouwd' zou nooit zo verwoord worden (want dit laat wat onzekerheid over.) Onze vakmensen? Altijd we. Bijgelegd? Nooit van gehoord in deze context.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 22 maart 2007 11:28

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Zyppora schreef op donderdag 22 maart 2007 @ 11:22:
[...]

Juist. Als een bank wil dat je je browser update, zullen ze dat via een officieel persbericht op hun website vermelden, of in de massamedia. Daarnaast krijg je bericht via briefpapier, en niet via de email. En ten derde gaat een bank je echt geen .exe bestanden toesturen.

Dat weet jij, ik en vele hier, maar die mailtjes richting zich toch op de (nofi) 'domme' gebruiker, we zitten hier toch met een aantal miljoen internetters, dus ongetwijfeld zit daar nog een best grote groep tussen

Daarbij zitten er wat images in, hebben ze toch je IP weer te pakken

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 22 maart 2007 11:30

Acties:

0 Henk 'm!

Hertog

Aut bibat, aut abeat

Uitgebreider nieuwsbericht: http://www.nu.nl/news/101...leert_Trojaans_paard.html

Overigens zag ik vanochtend ook al een waarschuwing op internet bankieren staan. Zelf geen mail gehad, of al met de rest van de spam de virtuele vergetelheid in gesmeten.

"Pray, v. To ask that the laws of the universe be annulled in behalf of a single petitioner, confessedly unworthy." --Ambrose Bierce, The Devil's Dictionary

donderdag 22 maart 2007 11:33

Acties:

0 Henk 'm!

Devil

King of morons

Sorrie maar die mail klopt van geen kanten. Is duidelijk geschreven door iemand die ontzettend formeel probeert te schrijven, maar dat gewoonweg niet kan. Een beetje zoals het Engels van de Nigerianen.

After all, we are nothing more or less than what we choose to reveal.

donderdag 22 maart 2007 11:33

Acties:

0 Henk 'm!

InZane

SinergyX schreef op donderdag 22 maart 2007 @ 11:28:
[...]
Daarbij zitten er wat images in, hebben ze toch je IP weer te pakken

Een beetje hedendaagse mailclient haalt geen externe data op

donderdag 22 maart 2007 11:38

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

SinergyX schreef op donderdag 22 maart 2007 @ 11:28:
[...]
Daarbij zitten er wat images in, hebben ze toch je IP weer te pakken

Inder fokking daad !
Normaal zijn die ehhh zeg maar grayed out, een kruisje in een leeg vak, nu had ik die waarschuwing of optie niet.
Echter, waren die plaatjes wel extern dan, dat weet je zeker? Want ín de mail plaatjes´ toont vista standaard mail wel.

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

donderdag 22 maart 2007 11:39

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Zie mijn eerdere zin, zijn er nog genoeg die met zwaar onbeveiligde mailcients werken.
Textbased webmail ftw!

@hierboven: weet ik niet 100% zeker, heb emailtje al verwijderd. Maar menig spam/virus/whatever email werkt met externe plaatjes.

[ Voor 37% gewijzigd door SinergyX op 22-03-2007 11:41 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 22 maart 2007 11:43

Acties:

0 Henk 'm!

InZane

notsonewbie schreef op donderdag 22 maart 2007 @ 11:38:
[...]

Inder fokking daad !
Normaal zijn die ehhh zeg maar grayed out, een kruisje in een leeg vak, nu had ik die waarschuwing of optie niet.
Echter, waren die plaatjes wel extern dan, dat weet je zeker? Want ín de mail plaatjes´ toont vista standaard mail wel.

code:

------=_NextPart_000_000F_01C76C2C.AD8C6A90
Content-Type: image/gif;
    name="805797943759742692410403588335@931773"
Content-Transfer-Encoding: base64
Content-ID: <805797943759742692410403588335@931773>

------=_NextPart_000_000F_01C76C2C.AD8C6A90
Content-Type: image/gif;
    name="669510635677755862900710358750@931773"
Content-Transfer-Encoding: base64
Content-ID: <669510635677755862900710358750@931773

Afbeeldingen zijn gewoon meegestuurd

donderdag 22 maart 2007 11:43

Acties:

0 Henk 'm!

WHiZZi

Museumdirecteurtje

Ik heb één van die files eens tegen de Jotti Virusscan gejaagd, alleen ClamAV gaf resultaat:

ClamAV
Found Trojan.Spy-2819

Dit was 931.exe

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

donderdag 22 maart 2007 11:46

Acties:

0 Henk 'm!

ralpje

Deugpopje

WHiZZi schreef op donderdag 22 maart 2007 @ 11:43:
Ik heb één van die files eens tegen de Jotti Virusscan gejaagd, alleen ClamAV gaf resultaat:

[...]

Dit was 931.exe

De 952.exe die ik hier had gaf op alle scan's op Jotti een negative.
Ik weet niet of de files ook echt verschillen, of dat ClamAV in de tussentijd geupdate is

edit:

Hé, nu ziet 'ie hem wel inderdaad, maar alleen bij ClamAV

[ Voor 8% gewijzigd door ralpje op 22-03-2007 12:16 . Reden: updeet ]

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 22 maart 2007 14:25

Acties:

0 Henk 'm!

BikkelZ

CMD+Z

Topicstarter

Ik heb nog niks gehoord van onze vrinden van ABN Amro. Maar in principe zijn dit soort banksystemen alleen te kraken door de gebruiker zo gek te krijgen twee keer een challenge-response aan te gaan met een systeem wat tussen de gebruiker en de banksite in zit. Dat zou behelzen dat je een fake website hebt die zelf weer inlogt alsof het een browser is op de ABN Amro bank.

Een aardige investering, maar als 0.1% van de ontvangers doet wat je vraagt......

Maar als het een 'standaard trojan' is vermoed ik dat het gewoon een poging is om mensen rotzooi te laten installeren en het niet om phishing gaat.

[ Voor 14% gewijzigd door BikkelZ op 22-03-2007 14:25 ]

iOS developer

donderdag 22 maart 2007 14:28

Acties:

0 Henk 'm!

Rukapul

Dit is wel een leuke voor ons security forum

Stuffis Generalis -> Beveiliging & Virussen

donderdag 22 maart 2007 14:32

Acties:

0 Henk 'm!

Verwijderd

Ik zou haast in een Vmware-bak dit virus installeren en kijken met proces-monitors met welke server het virus werkelijk contact maakt.

donderdag 22 maart 2007 14:34

Acties:

0 Henk 'm!

absrnd

ik vindt het wel hel toevallig, ik heb nog nooit een bank phishing mail gehad,
nu zit mijn vriendin sinds 3 maanden op internet te bankieren bij de ABN
en dan wel een mail op haar exacte ABN contact mail adres ???!!!

volgens mij is de ABN site lang niet zo veilig !!
ergens een vette lek

donderdag 22 maart 2007 14:36

Acties:

0 Henk 'm!

Verwijderd

absrnd schreef op donderdag 22 maart 2007 @ 14:34:
ik vindt het wel hel toevallig, ik heb nog nooit een bank phishing mail gehad,
nu zit mijn vriendin sinds 3 maanden op internet te bankieren bij de ABN
en dan wel een mail op haar exacte ABN contact mail adres ???!!!

volgens mij is de ABN site lang niet zo veilig !!
ergens een vette lek

Beetje teveel speculatie. Aangezien ook niet-abn klanten emails hebben ontvangen, en wel-abn klanten geen mail hebben, is het gewoon toeval.

donderdag 22 maart 2007 14:51

Acties:

0 Henk 'm!

lier

MikroTik nerd

Zoals ook op nu.nl te lezen is, gaat het niet om phising (dit keer) maar om een trojan.
Bron

Eerst het probleem, dan de oplossing

donderdag 22 maart 2007 14:54

Acties:

0 Henk 'm!

absrnd

Verwijderd schreef op donderdag 22 maart 2007 @ 14:36:
[...]

Beetje teveel speculatie. Aangezien ook niet-abn klanten emails hebben ontvangen, en wel-abn klanten geen mail hebben, is het gewoon toeval.

vindt ik niet, ik heb speciaal voor haar dit e-mail adres aangemaakt (ik kan alles voor de @ zetten ), en op dit exacte adres is de phishing mail binnen gekomen, dit mail adres wordt nooit in normaal a-mail verkeer gebruikt !!!

donderdag 22 maart 2007 15:21

Acties:

0 Henk 'm!

MrAngry

absrnd schreef op donderdag 22 maart 2007 @ 14:54:
[...]

vindt ik niet, ik heb speciaal voor haar dit e-mail adres aangemaakt (ik kan alles voor de @ zetten ), en op dit exacte adres is de phishing mail binnen gekomen, dit mail adres wordt nooit in normaal a-mail verkeer gebruikt !!!

Och je hebt helemaal gelijk met je statistisch solide steekproef van 1.
Onverklaarbaar genoeg zit ik hier als niet klant van de ABN met een weinig gebruikt email adres met ook exact op dat ene adres het mailtje!

offtopic:
het is "ik vind" en niet "ik vindt"

Er is maar één goed systeem en dat is een geluidsysteem - Sef

donderdag 22 maart 2007 15:38

Acties:

0 Henk 'm!

Plofkotje

absrnd schreef op donderdag 22 maart 2007 @ 14:54:
[...]

vindt ik niet, ik heb speciaal voor haar dit e-mail adres aangemaakt (ik kan alles voor de @ zetten ), en op dit exacte adres is de phishing mail binnen gekomen, dit mail adres wordt nooit in normaal a-mail verkeer gebruikt !!!

E-mailtje word gewoon verstuurd naar een kilo adressen die random generated zijn (teminste, dat is zo met de meeste spam/phishing/meuk). Grote kans dat daar de combinatie tussenzit die jij gebruikt hebt in dat email adres.

donderdag 22 maart 2007 16:07

Acties:

0 Henk 'm!

Bart1983

Hier nog wat info:

http://www.security.nl/ar..._aanval_%2Aupdate%2A.html

donderdag 22 maart 2007 16:19

Acties:

0 Henk 'm!

absrnd

Plofkotje schreef op donderdag 22 maart 2007 @ 15:38:
[...]

E-mailtje word gewoon verstuurd naar een kilo adressen die random generated zijn (teminste, dat is zo met de meeste spam/phishing/meuk). Grote kans dat daar de combinatie tussenzit die jij gebruikt hebt in dat email adres.

vertel mij dan hoe een random generated adres over een komt met een word van 5 letters en 4 getallen die geen naam of datum zijn en niet met de ABN te maken hebben ????
en ook niet in mijn adres boek staat !!

donderdag 22 maart 2007 16:53

Acties:

0 Henk 'm!

Wimo.

Shake and Bake!

Goed, ik heb hier dus een besmette pc. Het ding was voorzien van MCafee virusscan enterprise en helaas was die te laat met detecteren

Het ding start gewoon op maar alles icoontjes en programma's die je probeert te starten worden geblokkeerd. Er wordt een extra tnos.exe file o.i.d. opgestart die ook het e.e.a. doet. Housecall.nl detecteerd het virus maar verwijderen lukt niet (in veilige modus) Iemand nog tips ? Virusscanner moet wel freeware zijn aangezien er al is betaald voor MCafee.

donderdag 22 maart 2007 16:53

Acties:

0 Henk 'm!

EnigmA-X

Als je dit 100% zeker weet, waarom neem je dan geen contact op met de ABN?

Zou best slim zijn om als employee de leeggetrokken database van je werk aan te vullen met een zooi garbage, zodat het minder verdacht is...

donderdag 22 maart 2007 17:14

Acties:

0 Henk 'm!

Rafe

Wimo. schreef op donderdag 22 maart 2007 @ 16:53:
Goed, ik heb hier dus een besmette pc. Het ding was voorzien van MCafee virusscan enterprise en helaas was die te laat met detecteren Iemand nog tips ? Virusscanner moet wel freeware zijn aangezien er al is betaald voor MCafee.

Zo mogelijk zou ik dat ding herinstalleren. Zeker weten dat dat ding echt weg is.

donderdag 22 maart 2007 17:22

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op donderdag 22 maart 2007 @ 14:36:
[...]

Beetje teveel speculatie. Aangezien ook niet-abn klanten emails hebben ontvangen, en wel-abn klanten geen mail hebben, is het gewoon toeval.

Let wel op het verschil van de 2 mailtjes. De virus versie is puur spam, maar phising hoor ik niemand over behalve de ABN klanten. Toeval? Wordt steeds kleiner.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 22 maart 2007 17:24

Acties:

0 Henk 'm!

Wimo.

Shake and Bake!

Rafe schreef op donderdag 22 maart 2007 @ 17:14:
[...]

Zo mogelijk zou ik dat ding herinstalleren. Zeker weten dat dat ding echt weg is.

Als laatste redmiddel zou dit misschien moeten. Maar ik hoop toch stilletjes dat die 500+ euro/jaar die we aan virusscan meuk betalen het achteraf kan oplossen.

donderdag 22 maart 2007 17:30

Acties:

0 Henk 'm!

LuCarD

Certified BUFH

EnigmA-X schreef op donderdag 22 maart 2007 @ 16:53:
Als je dit 100% zeker weet, waarom neem je dan geen contact op met de ABN?

Zou best slim zijn om als employee de leeggetrokken database van je werk aan te vullen met een zooi garbage, zodat het minder verdacht is...

Ik ben klant bij ABN, maar ik heb hem helemaal niet gehad... Dus ik denk dat het onwaarschijnlijk is dat het een actie is van een oud-employee.....

Programmer - an organism that turns coffee into software.

donderdag 22 maart 2007 17:33

Acties:

0 Henk 'm!

Murcielago

Gewoon een virusmail dus. Ik vraag me echt af wat er te phishen valt als je klant bij ABN bent. Bij de Postbank snap ik dat nog wel, een gebruikersnaam en een wachtwoord is daar dacht ik al voldoende. Maar bij de ABN ben je zonder e-Dentifier nergens. Dus valt er in elk geval geen geld te jatten.

PSN: djmurcielago

donderdag 22 maart 2007 17:45

Acties:

0 Henk 'm!

DataGhost

iPL dev

Murcielago schreef op donderdag 22 maart 2007 @ 17:33:
Gewoon een virusmail dus. Ik vraag me echt af wat er te phishen valt als je klant bij ABN bent. Bij de Postbank snap ik dat nog wel, een gebruikersnaam en een wachtwoord is daar dacht ik al voldoende. Maar bij de ABN ben je zonder e-Dentifier nergens. Dus valt er in elk geval geen geld te jatten.

Mja, opzich kan je met een proxy en een knap gecode stukje software best het een en ander voor elkaar krijgen...Je logt in, krijgt netjes je gegevens te zien, doet een betaling... die betaling wordt vervolgens op de proxy opgeslagenn en steeds als je hem opvraagt wordt deze aan jou getoond, ondertussen wordt er een andere betaling aangemaakt

En uiteindelijk wil je je betalingen verzenden, dat wordt ook weer geproxied en vervolgens heb je een andere betaling gedaan dan die je wilde doen.

Voor degenen met conspiracy-theorieen, ik ben klant bij ABN Amro en ik heb enkel de SSL3-mail gehad (overigens zonder .exe attachments, ik heb geen virusscanner dus Opera trasht .exe kennelijk standaard

), niet de phishingmail.

donderdag 22 maart 2007 18:09

Acties:

0 Henk 'm!

Verwijderd

Murcielago schreef op donderdag 22 maart 2007 @ 17:33:
Gewoon een virusmail dus. Ik vraag me echt af wat er te phishen valt als je klant bij ABN bent. Bij de Postbank snap ik dat nog wel, een gebruikersnaam en een wachtwoord is daar dacht ik al voldoende. Maar bij de ABN ben je zonder e-Dentifier nergens. Dus valt er in elk geval geen geld te jatten.

Je hebt bij mijnpostbank een speciale random code nodig om iets te doen

Anyways, dat virus redirect je dus gewoon naar de hacked server als je bv het adres van randstad intypt?

donderdag 22 maart 2007 22:00

Acties:

0 Henk 'm!

pinockio

Vanmorgen kreeg ik die mail met .exe attachment ook. Toen werd de trojan door géén van de scanners van Jotti's malware scan gevonden. Vanavond:

Scan taken on 22 Mar 2007 20:54:48 (GMT)
AntiVir Found TR/Spy.Banker.cmb
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Spy-2819
Dr.Web Found nothing
F-Prot Antivirus Found W32/Banker.AEMT
F-Secure Anti-Virus Found Trojan-Spy:W32/Agent.QY, Trojan-Spy.Win32.Banker.cmb
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.cmb
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found Trj/Wsnpoem.L
VirusBuster Found nothing
VBA32 Found nothing

Opvallend dat Avast (waar ik 'm gesubmit heb) hem niet herkent. Overigens krijg je bij Avast altijd een waarschuwing te zien bij .exe bestanden in attachments.
Een minder goede beurt vind ik ook dat NOD32 'm niet vindt. De laatste tijd scoorde die erg goed qua detectie, maar Kaspersky is deze keer eerder.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 22 maart 2007 22:09

Acties:

0 Henk 'm!

jelly

Arch Linux

Ik wou vandaag even naar mijn postbank kijken natuurlijk wel andere bank maar toen stond er dat ik een nieuw wachtwoord op moest geven omdat de oude verouderd is maar ik heb geen mail van postbank gekregen dus ik ga dit toch ff checken

Keep it simple stupid

donderdag 22 maart 2007 22:11

Acties:

0 Henk 'm!

pven

BikkelZ schreef op donderdag 22 maart 2007 @ 09:51:
Zou er een databaseje met E-Mailadressen gekraakt zijn?

Ik ga ze even bellen, ik kom zo terug.

Nee. Ik heb de betreffende mail inmiddels een keer of tien ontvangen en ik ben toch echt geen klant van de ABN Amro (ook niet geweest).

jelly schreef op donderdag 22 maart 2007 @ 22:09:
Ik wou vandaag even naar mijn postbank kijken natuurlijk wel andere bank maar toen stond er dat ik een nieuw wachtwoord op moest geven omdat de oude verouderd is maar ik heb geen mail van postbank gekregen dus ik ga dit toch ff checken

Lees je bericht eens na en vraag je af waarom ik je bericht niet snap.

Bij de Postbank is het gebruikelijk dat je (ik geloof) elke 90 dagen je wachtwoord moet wijzigen.

[ Voor 43% gewijzigd door pven op 22-03-2007 22:13 ]

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

donderdag 22 maart 2007 23:09

Acties:

0 Henk 'm!

CyBeR

💩

pven schreef op donderdag 22 maart 2007 @ 22:11:
[...]

Bij de Postbank is het gebruikelijk dat je (ik geloof) elke 90 dagen je wachtwoord moet wijzigen.

Nee hoor. Tenminste, ik kan me niet herinneren dat gedaan te hebben.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 23 maart 2007 08:14

Acties:

0 Henk 'm!

lier

MikroTik nerd

CyBeR schreef op donderdag 22 maart 2007 @ 23:09:Nee hoor. Tenminste, ik kan me niet herinneren dat gedaan te hebben.

Ik moet ook op regelmatige basis mijn wachtwoord wijzigen.

Tenzij hackers de DNS servers kunnen kraken of de mijnpostbank.nl server hacken en bij Verisign (of ander) de certificaten kunnen wijzigen, anders mag je er redelijk zeker van zijn dat dat soort verzoeken niet vreemd zijn.

Eerst het probleem, dan de oplossing

vrijdag 23 maart 2007 08:19

Acties:

0 Henk 'm!

Voutloos

Bij postbank moet je dus elk jaar een ander wachtwoord nemen. Dat geldt al een tijdje (meer dan een jaar

) en staat ook ergens op de site. Niets engs dus, mits natuurlijk de rest van de site er niet verdacht uitziet.

{signature}

vrijdag 23 maart 2007 08:19

Acties:

0 Henk 'm!

ralpje

Deugpopje

pinockio schreef op donderdag 22 maart 2007 @ 22:00:
code:
1
Norman Virus Control  Found nothing
Opvallend dat Avast (waar ik 'm gesubmit heb) hem niet herkent. Overigens krijg je bij Avast altijd een waarschuwing te zien bij .exe bestanden in attachments.
Een minder goede beurt vind ik ook dat NOD32 'm niet vindt. De laatste tijd scoorde die erg goed qua detectie, maar Kaspersky is deze keer eerder.

Kanttekening: Norman herkende hem sinds een uur vier 's middags. Rond die tijd kreeg ik ook netjes een antwoord op m'n submit, en na een update van m'n scanner werd 'ie er inderdaad netjes uitgepikt. Jotti herkende hem 's avonds blijkbaar nog niet, dus waarschijnlijk was die scanner nog niet geupdate. Dat kan dus net zo goed voor (bijvoorbeeld) NOD32 gelden.
Norman update maar 1 maal per dag automatisch, Kaspersky doet dat bijvoorbeeld op meer tijden als je dat instelt, zoals om het (half) uur. Het lijkt me niet dat meneer Jotti 4x per dag automatisch de updates ff aanzet, dus dat zal waarschijnlijk de oorzaak zijn

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 23 maart 2007 09:08

Acties:

0 Henk 'm!

pinockio

ralpje schreef op vrijdag 23 maart 2007 @ 08:19:
[...]

Kanttekening: Norman herkende hem sinds een uur vier 's middags. Rond die tijd kreeg ik ook netjes een antwoord op m'n submit, en na een update van m'n scanner werd 'ie er inderdaad netjes uitgepikt. Jotti herkende hem 's avonds blijkbaar nog niet, dus waarschijnlijk was die scanner nog niet geupdate. Dat kan dus net zo goed voor (bijvoorbeeld) NOD32 gelden.
Norman update maar 1 maal per dag automatisch, Kaspersky doet dat bijvoorbeeld op meer tijden als je dat instelt, zoals om het (half) uur. Het lijkt me niet dat meneer Jotti 4x per dag automatisch de updates ff aanzet, dus dat zal waarschijnlijk de oorzaak zijn

Sja.... Misschien zijn er meerdere versies van de .exe. Ik heb een bestand 616.exe binnengekregen. Heb het wel hernoemd naar 616.vir, misschien scheelt dat, maar op dit moment herkent de online scanner van Norman bij Jotti 'm nog steeds niet.

Scan taken on 23 Mar 2007 08:02:33 (GMT)
AntiVir Found TR/Spy.Banker.cmb
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Spy-2819
Dr.Web Found nothing
F-Prot Antivirus Found W32/Banker.AEMT
F-Secure Anti-Virus Found Trojan-Spy:W32/Agent.QY, Trojan-Spy.Win32.Banker.cmb
Fortinet Found Spy/BanSpy
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.cmb
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found Trj/Wsnpoem.L
VirusBuster Found nothing
VBA32 Found nothing

Van de site: "Virus definitions are updated every hour."

Voor mij is zo'n uitbraak een soort lakmoesproef voor virusscanners. Je kunt in alle tests 100% detectie scoren, als je in een echte uitbraak niets detecteert heb je gefaald. In dit geval hebben alle virusscanners gefaald (behalve degene die .exe bestanden altijd als verdacht aanmerken), simpelweg vanwege de timing en schaal van deze aanval.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 09:16

Acties:

0 Henk 'm!

CyBeR

💩

pinockio schreef op vrijdag 23 maart 2007 @ 09:08:
[...]

Voor mij is zo'n uitbraak een soort lakmoesproef voor virusscanners. Je kunt in alle tests 100% detectie scoren, als je in een echte uitbraak niets detecteert heb je gefaald. In dit geval hebben alle virusscanners gefaald (behalve degene die .exe bestanden altijd als verdacht aanmerken), simpelweg vanwege de timing en schaal van deze aanval.

Hoezo? ClamAV pakte 'm volgens mij vrij snel op?

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 23 maart 2007 09:19

Acties:

0 Henk 'm!

pinockio

Om 9 uur 's ochtends werd het virus door geen enkele scanner herkend. Er zijn nogal wat mensen die dan hun e-mail ophalen. En wat bedoel je met "vrij snel"?

[ Voor 12% gewijzigd door pinockio op 23-03-2007 09:19 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 09:24

Acties:

0 Henk 'm!

ralpje

Deugpopje

pinockio schreef op vrijdag 23 maart 2007 @ 09:19:
En wat bedoel je met "vrij snel"?

Net iets te laat

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 23 maart 2007 09:26

Acties:

0 Henk 'm!

CyBeR

💩

pinockio schreef op vrijdag 23 maart 2007 @ 09:19:
Om 9 uur 's ochtends werd het virus door geen enkele scanner herkend. Er zijn nogal wat mensen die dan hun e-mail ophalen. En wat bedoel je met "vrij snel"?

Ja, niet om 't een of 't ander maar alle virussen moeten toch ook eerst bij iemand binnen komen die weet wat een virusdefinitie is en hoe 'ie er een maakt. Ik bedoel, dat is gewoon niet te voorkomen.

Of denk je dat alle makers van virussen eerst netjes een sample naar alle antivirusbedrijven sturen zodat ze alvast definities kunnen maken voor de dag dat 'ie in het wild gezet wordt?

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 23 maart 2007 09:32

Acties:

0 Henk 'm!

pinockio

CyBeR schreef op vrijdag 23 maart 2007 @ 09:26:
[...]

(...) Ik bedoel, dat is gewoon niet te voorkomen.(...)

Juist. Afgezien van het blokkeren van .exe bestanden en (misschien heb je er wel eens van gehoord) "heuristic" virus engines. Ook virusscanners met volgens zeggen goede "heuristic" detectie (bijv. NOD32) vinden 'm niet.

Maar dat bedoel ik dus met falen: niet voldoen aan vereisten, d.i. beschermen tegen virussen en trojans. De meeste falen, doordat ze eerst een sample moeten hebben. Vanwege dat principe zullen virusscanners altijd blijven falen.

Overigens zullen de meeste virusscanners falen in een dergelijk geval, dat is niets vreemds. Teleurstellend is het wel.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 09:42

Acties:

0 Henk 'm!

CyBeR

💩

pinockio schreef op vrijdag 23 maart 2007 @ 09:32:
[...]

Juist. Afgezien van het blokkeren van .exe bestanden en (misschien heb je er wel eens van gehoord) "heuristic" virus engines. Ook virusscanners met volgens zeggen goede "heuristic" detectie (bijv. NOD32) vinden 'm niet.

Mja, heuristic scanners werken ook alleen maar als een virus aan bepaalde voorwaarden voldoet qua wat 'ie uitvoert. Ik weet niet wat dit specifieke exemplaar doet, maar blijkbaar vindt de heuristics engine 'm niet erg bijzonder.

Heuristic scanners zijn verre van perfect, en ook dat is niet te voorkomen zonder dat je willekeurige legitieme apps ook als virus gaat zien. In ieder geval met de huidige technologie niet.

De enige redelijk waterdichte manier is een virusdefinitie zoals we ze al hebben, en dat kost nu eenmaal even tijd om te maken. En voor wat ik uit dit topic af kan leiden was ClamAV daar de snelste mee. En da's mooi, want laat dat nou de virusscanner zijn die in de meeste mail servers gebruikt wordt.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 23 maart 2007 09:47

Acties:

0 Henk 'm!

pinockio

Er zijn nog genoeg gebruikers die geen virusscan op de e-mailserver hebben en het van hun eigen virusscanner moeten hebben. En Clamav scoort in andere tests juist weer matig...

[ Voor 10% gewijzigd door pinockio op 23-03-2007 09:47 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 09:49

Acties:

0 Henk 'm!

CyBeR

💩

ClamAV is dan ook vooral bedoeld als server-side scanner.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 23 maart 2007 09:51

Acties:

0 Henk 'm!

pinockio

Toegegeven: als ze in dit geval de snelste detectie hebben gehad (we weten op basis van Jotti niet hoe bijv. Symantec en McAfee scoorden omdat die er niet in zitten): pluim voor ClamAV. Verder blijf ik bij mijn statement dat de meeste virusscanners falen, en altijd zullen blijven falen als heuristic detectie niet beter wordt.

[ Voor 28% gewijzigd door pinockio op 23-03-2007 10:04 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 10:06

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

CyBeR schreef op vrijdag 23 maart 2007 @ 09:42:
[...]

En voor wat ik uit dit topic af kan leiden was ClamAV daar de snelste mee. En da's mooi, want laat dat nou de virusscanner zijn die in de meeste mail servers gebruikt wordt.

Denk jij dat of heb je een bron die dit bevestigd (puur interesse)?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 23 maart 2007 10:36

Acties:

0 Henk 'm!

pinockio

WHiZZi schreef op donderdag 22 maart 2007 @ 11:43:
Ik heb één van die files eens tegen de Jotti Virusscan gejaagd, alleen ClamAV gaf resultaat:

[...]

Dit was 931.exe

Hier dus. 11:43 ClamAV als enige. Zoals ik zei, McAfee en Symantec zijn niet vertegenwoordigd.

[ Voor 14% gewijzigd door pinockio op 23-03-2007 15:54 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 14:29

Acties:

0 Henk 'm!

Verwijderd

CyBeR schreef op vrijdag 23 maart 2007 @ 09:42:
[...]

Mja, heuristic scanners werken ook alleen maar als een virus aan bepaalde voorwaarden voldoet qua wat 'ie uitvoert. Ik weet niet wat dit specifieke exemplaar doet, maar blijkbaar vindt de heuristics engine 'm niet erg bijzonder.

Heuristics zijn over het algemeen alleen goed in het stoppen van nieuwe malware geschreven door onervaren virusschrijvers. De profis van nu hebben helaas een enorme kennis van anti-virus engines.

On-access heuristics zijn een stuk lastiger te testen en vaak ook te misleiden.
[spam]KAV/KIS6 was in staat zonder updates mbv. Proactive Defense Module de malware als Trojan.Generic te herkennen.[/spam]

Een gedetailleerde beschrijving van de malware komt weldra online in het Engels en ik ben eigenlijk te lui om te vertalen.

In short: Beestje is niet in staat two-factor te verslaan, hoewel er al genoeg trojans zijn die dat wel kunnen. Het lijkt ze voornamelijk om de wachtwoorden in PStore te gaan + alles wat gesubmit wordt in forms mbv HTTP POST.(Zie ook T.net)

vrijdag 23 maart 2007 16:01

Acties:

0 Henk 'm!

pinockio

Interessant. Wat bedoel je met two-factor?
In Protected Storage kan heel wat staan, o.a. wachtwoorden voor e-mailaccounts en websites, erg gevaarlijk dus.

Ik vind dit wel een interessante testcase/steekproef voor de alertheid van Antivirus-makers:

Scan taken on 23 Mar 2007 14:56:57 (GMT)
AntiVir Found TR/Spy.Banker.cmb
ArcaVir Found Trojan.Spy.Banker.Cmb
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Spy.Banker.AFG
ClamAV Found Trojan.Spy-2819
Dr.Web Found nothing
F-Prot Antivirus Found W32/Banker.AEMT
F-Secure Anti-Virus Found Trojan-Spy:W32/Agent.QY, Trojan-Spy.Win32.Banker.cmb
Fortinet Found Spy/BanSpy
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.cmb
NOD32 Found Win32/Spy.Agent.PZ
Norman Virus Control Found W32/Banker.BKXU
Panda Antivirus Found Trj/Wsnpoem.L
VirusBuster Found TrojanSpy.Banker.ITV!Pac
VBA32 Found nothing

Inmiddels vinden de meeste wel wat, maar Avast, AVG, Dr. Web en VBA32 lopen nog achter. Na zo'n 36 uur geen beste beurt.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 23 maart 2007 18:18

Acties:

0 Henk 'm!

Verwijderd

pinockio schreef op vrijdag 23 maart 2007 @ 16:01:
Interessant. Wat bedoel je met two-factor?

Dat er sprake is van een challenge-response systeem om in te loggen cq transacties goed te keuren.(dmv een smartcard)

Ik vind dit wel een interessante testcase/steekproef voor de alertheid van Antivirus-makers:

De 'performance' van een anti-virus vendor varieert normaliter per regio.

Edit: http://www.viruslist.com/...clopedia?virusid=21778127

[ Voor 7% gewijzigd door Verwijderd op 23-03-2007 18:30 ]

vrijdag 23 maart 2007 23:37

Acties:

0 Henk 'm!

pinockio

Verwijderd schreef op vrijdag 23 maart 2007 @ 18:18:
(...)

De 'performance' van een anti-virus vendor varieert normaliter per regio.

Edit: http://www.viruslist.com/...clopedia?virusid=21778127

Van een virusscanner die een Nederlandse versie heeft en in Nederland verkocht wordt, verwacht ik dat ook in Nederland circulerende virussen binnen enkele uren worden toegevoegd aan de updates, zeker als andere virusscanners ze al wel herkennen. En helemaal nadat ze door mij gesubmit zijn

(Ik zal niet zeggen bij welk bedrijf maar het zit in een Oost-Europees land.)

Scan taken on 23 Mar 2007 22:39:56 (GMT)
AntiVir Found TR/Spy.Banker.cmb
ArcaVir Found Trojan.Spy.Banker.Cmb
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Spy.Banker.AFG
ClamAV Found Trojan.Spy-2819
Dr.Web Found nothing
F-Prot Antivirus Found W32/Banker.AEMT
F-Secure Anti-Virus Found Trojan-Spy:W32/Agent.QY, Trojan-Spy.Win32.Banker.cmb
Fortinet Found Spy/BanSpy
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.cmb
NOD32 Found Win32/Spy.Agent.PZ
Norman Virus Control Found W32/Banker.BKXU
Panda Antivirus Found Trj/Wsnpoem.L
VirusBuster Found TrojanSpy.Banker.ITV!Pac
VBA32 Found Trojan-Spy.Win32.Banker.cmb

Avast, AVG en Dr. Web laten het nog steeds afweten. Ik vind het een schande. Komt het virus alleen in NL voor? Niet belangrijk genoeg zeker!

Ik ga de komende tijd virussen die ik via e-mail binnen krijg altijd hier testen. De slechtste producten zal ik voortaan iedereen ontraden. (Edit: Blijkbaar heeft de Microsoft scanner zijn gevestigde (niet al te beste) reputatie wederom bevestigd.)

VirusTotal heeeft ook een online scanner met nog meer producten:

STATUS: FINISHEDComplete scanning result of "616.vir", received in VirusTotal at 03.24.2007, 00:04:34 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.24.0 03.23.2007 no virus found
AntiVir 7.3.1.44 03.23.2007 TR/Spy.Banker.cmb
Authentium 4.93.8 03.23.2007 W32/Banker.AEMT
Avast 4.7.936.0 03.23.2007 no virus found
AVG 7.5.0.447 03.23.2007 no virus found
BitDefender 7.2 03.23.2007 Trojan.Spy.Banker.AFG
CAT-QuickHeal 9.00 03.23.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 03.23.2007 Trojan.Spy-2819
DrWeb 4.33 03.23.2007 no virus found
eSafe 7.0.14.0 03.22.2007 Suspicious Trojan/Worm
eTrust-Vet 30.6.3506 03.23.2007 no virus found
Ewido 4.0 03.23.2007 Logger.Banker.cmb
FileAdvisor 1 03.24.2007 no virus found
Fortinet 2.85.0.0 03.23.2007 Spy/BanSpy
F-Prot 4.3.1.45 03.23.2007 W32/Banker.AEMT
F-Secure 6.70.13030.0 03.23.2007 Trojan-Spy.Win32.Banker.cmb
Ikarus T3.1.1.3 03.23.2007 Win32.Outbreak
Kaspersky 4.0.2.24 03.23.2007 Trojan-Spy.Win32.Banker.cmb
McAfee 4991 03.23.2007 Spy-Agent.bw
Microsoft 1.2306 03.23.2007 no virus found
NOD32v2 2140 03.23.2007 Win32/Spy.Agent.PZ
Norman 5.80.02 03.23.2007 W32/Banker.BKXU
Panda 9.0.0.4 03.23.2007 Trj/Wsnpoem.L
Prevx1 V2 03.24.2007 no virus found
Sophos 4.15.0 03.23.2007 Troj/BanSpy-C
Sunbelt 2.2.907.0 03.22.2007 VIPRE.Suspicious
Symantec 10 03.23.2007 Trojan Horse
TheHacker 6.1.6.080 03.23.2007 Trojan/Spy.Banker.cmb
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.23.2007 Trojan-Spy.Win32.Banker.cmb
VirusBuster 4.3.7:9 03.23.2007 TrojanSpy.Banker.ITV!Pac
Webwasher-Gateway 6.0.1 03.23.2007 Trojan.Spy.Banker.cmb

[ Voor 84% gewijzigd door pinockio op 24-03-2007 09:50 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

zondag 25 maart 2007 14:35

Acties:

0 Henk 'm!

Sassie

Vanmiddag ook in de 'spambox'* bij mijn ouders gehad. Spamhilator markeerde hem als spam en AVG herkende de attachment inmiddels (dan) ook (lokale AVG bij mijn ouders, met de defs van vanochtend).

*) Een al 'besmet' e-mail adres wbt spam ed. Het is een oud mailadres die 1x per week wordt gechecked (oftewel alle spam wordt door Spamhilator gehaald).

maandag 26 maart 2007 10:29

Acties:

0 Henk 'm!

pinockio

Scan taken on 26 Mar 2007 08:26:53 (GMT)
AntiVir Found TR/Spy.Banker.cmb
ArcaVir Found Trojan.Spy.Banker.Cmb
Avast Found nothing
AVG Antivirus Found PSW.Banker3.GBB
BitDefender Found Trojan.Spy.Banker.AFG
ClamAV Found Trojan.Spy-2819
Dr.Web Found nothing
F-Prot Antivirus Found W32/Banker.AEMT
F-Secure Anti-Virus Found Trojan-Spy:W32/Agent.QY, Trojan-Spy.Win32.Banker.cmb
Fortinet Found Spy/BanSpy
Kaspersky Anti-Virus Found Trojan-Spy.Win32.Banker.cmb
NOD32 Found Win32/Spy.Agent.PZ
Norman Virus Control Found W32/Banker.BKXU
Panda Antivirus Found Trj/Wsnpoem.L
VirusBuster Found TrojanSpy.Banker.ITV!Pac
VBA32 Found Trojan-Spy.Win32.Banker.cmb

Ik gebruik nu Avast, maar ik begin mijn twijfels te krijgen.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

dinsdag 27 maart 2007 20:43

Acties:

0 Henk 'm!

RedHead

Weet iemand al wat het nu precies doet?
Wat wordt er geinfecteerd cq. wat zijn de handmatige acties welke nodig zijn om het trojan-spy\virus te verwijderen?

Ik kan dit op het internet niet veel info vinden: ABN-AMRO verwijst naar de waarschuwingsdienst en de waarschuwingsdienst verwijst naar de ABN-AMRO. Dus dat schiet niet op.

www.viruslist.com heeft de volgende info

[quote]
http://www.viruslist.com/en/weblog?calendar=2007-03
This Banker variant has two main payloads: it accesses PStore to harvest passwords, and captures all information submitted via web forms.
[\quote]

Maar nog geen gedetaileerde info: http://www.viruslist.com/...cyclopedia?virusid=154559

Zijn er ondertussen wel online-virusscanners die hem herkennen?

dinsdag 27 maart 2007 21:38

Acties:

0 Henk 'm!

Verwijderd

RedHead schreef op dinsdag 27 maart 2007 @ 20:43:
Maar nog geen gedetaileerde info:

Ik zie het al. Ik ben met m'n brakke kop het beestje Banker.cmp gaan noemen.

http://www.viruslist.com/...clopedia?virusid=21778127
Wordt morgen gefixt.

Zijn er ondertussen wel online-virusscanners die hem herkennen?

Ik neem aan de meeste. Heb me laten vertellen dat die van Kaspersky Lab het beestje detecteert. Verwijdert hem alleen niet.

dinsdag 27 maart 2007 23:12

Acties:

0 Henk 'm!

Wimo.

Shake and Bake!

RedHead schreef op dinsdag 27 maart 2007 @ 20:43:
Weet iemand al wat het nu precies doet?
Wat wordt er geinfecteerd cq. wat zijn de handmatige acties welke nodig zijn om het trojan-spy\virus te verwijderen?

Ik kan dit op het internet niet veel info vinden: ABN-AMRO verwijst naar de waarschuwingsdienst en de waarschuwingsdienst verwijst naar de ABN-AMRO. Dus dat schiet niet op.

www.viruslist.com heeft de volgende info

[quote]
http://www.viruslist.com/en/weblog?calendar=2007-03
This Banker variant has two main payloads: it accesses PStore to harvest passwords, and captures all information submitted via web forms.
[\quote]

Maar nog geen gedetaileerde info: http://www.viruslist.com/...cyclopedia?virusid=154559

Zijn er ondertussen wel online-virusscanners die hem herkennen?

Ik heb hier een paar dagen geleden een systeem gehad dat geinfecteerd was. Er wordt een ntos.exe file in de system32 geplaatst welke bij iedere opstart actie loopt. Verwijderen lukt niet omdat ie in gebruik is. Alles wordt enorm vertraagd, het opstarten van word oid werkt niet en het duurt serieus 10min voordat explorer start.

Verwijderen lukt simpelweg niet! Virusscanners detecteren de file maar verwijderen lukt niet. Ntos.exe verwijderen in safemode restulteert in een inlogscherm waarna je niet meer kan inloggen

Ik heb uiteindelijk gewoon een repair gedaan met een XP cd waarna alle systemfiles zijn gerestored. Geen enkele anti-virusfabrikant heeft een werkende oplossing.

woensdag 28 maart 2007 00:30

Acties:

0 Henk 'm!

Verwijderd

Wimo. schreef op dinsdag 27 maart 2007 @ 23:12:
[...]

Verwijderen lukt simpelweg niet! Virusscanners detecteren de file maar verwijderen lukt niet.

Probleem is dat je regkeys kan verwijderen, maar de malware fijn controleert/restored bij het afsluiten.

Ntos.exe verwijderen in safemode restulteert in een inlogscherm waarna je niet meer kan inloggen

Komt omdat ntos.exe zich ook registreert als userinit.
Zie http://www.viruslist.com/...clopedia?virusid=21778127

Geen enkele anti-virusfabrikant heeft een werkende oplossing.

Met het risico om van spammen te worden beticht, het blijkt dat KAV het automagisch goed aanpakt. Verscheidene geïnfecteerde gebruikers die succes rapporteerden.
(Naast dat het ook op de ABN-AMRO website staat dat KAV de enige is die kan detecteren én verwijderen.)

woensdag 28 maart 2007 13:29

Acties:

0 Henk 'm!

pinockio

Verwijderd schreef op woensdag 28 maart 2007 @ 00:30:
[...]

Probleem is dat je regkeys kan verwijderen, maar de malware fijn controleert/restored bij het afsluiten.

[...]

Komt omdat ntos.exe zich ook registreert als userinit.
Zie http://www.viruslist.com/...clopedia?virusid=21778127

[...]

Met het risico om van spammen te worden beticht, het blijkt dat KAV het automagisch goed aanpakt. Verscheidene geïnfecteerde gebruikers die succes rapporteerden.
(Naast dat het ook op de ABN-AMRO website staat dat KAV de enige is die kan detecteren én verwijderen.)

Als ik die link volg:
Virus Encyclopedia
Can't find virus record

Het is weliswaar spam, maar omdat je hier zo actief bent zien "we" het door de vingers

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

zaterdag 31 maart 2007 16:16

Acties:

0 Henk 'm!

pinockio

nieuws: ABN Amro verhoogt beveiliging online bankieren
Vier mensen gedupeerd (maar schadeloos gesteld). Blijkbaar veranderde de trojan het rekeningnummer van spoedtransacties.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 6 april 2007 16:54

Acties:

0 Henk 'm!

Verwijderd

pinockio schreef op woensdag 28 maart 2007 @ 13:29:
[...]

Als ik die link volg:
Virus Encyclopedia
Can't find virus record

Dat komt omdat het gefixt is en dus de oude link, die eerst niet werkte, nu wel werkt.

Het is weliswaar spam, maar omdat je hier zo actief bent zien "we" het door de vingers

Dat vind ik erg schappelijk.

pinockio schreef op zaterdag 31 maart 2007 @ 16:16:
nieuws: ABN Amro verhoogt beveiliging online bankieren
Vier mensen gedupeerd (maar schadeloos gesteld). Blijkbaar veranderde de trojan het rekeningnummer van spoedtransacties.

Een geupdate instructieset stelde de trojan in staat om dit te bewerkstelligen.
So much for the value of write-ups...

Hierop volgend: nieuws: 'Nederlandse markt lijkt lucratief voor internetfraudeurs'