Pas op voor: 8v8.biz en 9gg.biz

Paniekzaaierij is erger dan welk virus ook.

Simpeler:

Pas op voor *.biz.

Vincent7 schreef op zondag 06 januari 2008 @ 00:09:
Zelf vermoedt hij dat het virus ook in de bootsector van de HD is gaan zitten.

Nou ? FDISK /MBR of een full 00 write met een tooltje van de fabrikant, klaar

Virus Alert
If you receive an email entitled "Badtimes," delete it immediately. Do not open it. Apparently this one is pretty nasty. It will not only erase everything on your hard drive, but it will also delete anything on disks within 20 feet of your computer.
It demagnetizes the stripes on ALL of your credit cards. It reprograms your ATM access code, screws up the tracking on your VCR and uses subspace field harmonics to scratch any CD's you attempt to play. It will re-calibrate your refrigerator's coolness settings so all your ice cream melts and your milk curdles. It will program your phone autodial to call only your ex-spouses' number. This virus will mix antifreeze into your fish tank. It will drink all your beer. It will leave dirty socks on the coffee table when you are expecting company. Its radioactive emissions will cause your bellybutton fuzz (be honest, you have some) to migrate behind your ears. It will replace your shampoo with Nair and your Nair with Rogaine, all while dating your current boy/girlfriend behind your back and billing their hotel rendezvous to your Visa card. It will cause you to run with scissors and throw things in a way that is only fun until someone loses an eye. It will give you Dutch Elm Disease and Psitticosis. It will rewrite yo
ur backup files, changing all your active verbs to passive tense and incorporating undetectable misspellings which grossly change the interpretations of key sentences. It will leave the toilet seat up and leave your hair dryer plugged in dangerously close to a full bathtub. It will not only remove the forbidden tags from your mattresses and pillows, but it will also refill your skim milk with whole milk. It will replace all your luncheon meat with Spam. It will molecularly rearrange your cologne or perfume, causing it to smell like dill pickles. It is insidious and subtle. It is dangerous and terrifying to behold. It is also a rather interesting shade of mauve. These are just a few signs of infection.
PLEASE FORWARD THIS MESSAGE TO EVERYONE YOU KNOW!!! (everyone deserves a good laugh)

Op mij komt niet niet beter over dan de gemiddelde mail waarin wordt opgeroepen om vooral bestand X of mail Y niet te openen. Helaas vaak nog goedbedoeld ook. Maar 99 van de 100 keer is het vals alarm, en die 100e keer is er allang ruchtbaarheid aan gegeven via de geijkte kanalen.

Het is niet negatief bedoeld.. maar de kans dat jij een community gevuld met ICT'ers als 1e op de hoogte stelt van een werkelijk bestaand probleem is miniem. Ik ken je vriend niet en ik kan dus ook helemaal geen waarde hechten, goed of slecht, aan zijn woorden. Evenmin aan die van jou. Wat voor de een een expert is, is voor de ander een beginner. En wat de een gevaarlijk noemt, noemt de ander amper de moeite om voor in het keyboard te klimmen.

Ik redeneer zo: mocht er echt wat loos zijn, en het is nog noemenswaardig ook, dan hadden we dat echt wel gehoord. Mocht je werkelijk de 1e zijn van velen die dit probleem constateren, dan slik ik met plezier mijn woorden weer in. Vooralsnog heb jij het ook maar van horen zeggen

Helemaal eensch@Hlp. Dit soort mailtjes zijn zwaar onzinnig. Tweakers en andere mensen met enige verstand van zaken en/of een IQ van meer dan een dode kanarie zorgen er toch al voor dat ze de boel voldoende ¹ beveiligen. En de mensen die er geen verstand van hebben zijn al lang doodgegooid met dat soort mails, die inderdaad bijna altijd hoaxes zijn. En als dat te vaak gebeurd ga je die ene serieuze (hints: datum in de mail, links naar specifieke pagina's op serieuze antivirus-sites, etc) negeren omdat die is ondergesneeuwd tussen alle "boys who cried wolf".

Zoals ook deze keer. [Google=Badtimes] geeft alleen maar hits over dat het een hoax is.

Vincent7: het is tegenwoordig niet meer genoeg om niet bewust naar 'foute' sites te gaan. Als je er erg bang voor bent, gebruik dan bijv. Firefox + NoScript (en zet alleen vertrouwde sites zoals Tnet in de whitelist). Maar wegens een vage onzinmail een enkel domein blokkeren heeft geen zin. Dan gaat men wel over naar het volgende domein. En inderdaad, blokkeer dan heel *.biz

¹

Van Dale:
vol·doen·de (onbepaald voornaamwoord)
1 een toereikende hoeveelheid
2 een toereikend aantal
3 van toereikende kwaliteit
4 OS uptodate, applicaties uptodate, goede virusscanner uptodate (=om de paar uur geupdatet), niet te veel rechten (dus geen admin), juiste instellingen in applicaties, etc.

Wat voor malware/virus het ook precies is, het is iig een nasty piece of work. Als ik het goed begrijp gebruikt het ARP spoofing/poisoning om zo'n 8v8.biz iframe in http responses te injecteren.

Ik kreeg bijvoorbeeld opeens een alert van AVG dat er een exploit gevonden was in een IE cache bestand. Terwijl ik helemaal geen IE gebruik. Dat was dus waarschijnlijk MSN die een banner laadde. Nasty.

Ik had dit virus ook op mijn computer en het is idd een erg lastig virus. Bijna geen internetverbinding meer over en mijn computer was ook merkbaar trager.

Anyway update van AntiVir (wat verrekte lastig is als je downloadspeed van 10mbit naar 28kbit oid is gereduceerd) samen met een installatie van Spyware Doctor en het probleem lijkt op dit moment verholpen.

Hoe kom je op zo'n site terecht?
http://ca.answers.yahoo.c...qid=20071231042106AA6kv0S

Verwijderd schreef op maandag 07 januari 2008 @ 14:40:
Ik had dit virus ook op mijn computer en het is idd een erg lastig virus. Bijna geen internetverbinding meer over en mijn computer was ook merkbaar trager.

Anyway update van AntiVir (wat verrekte lastig is als je downloadspeed van 10mbit naar 28kbit oid is gereduceerd) samen met een installatie van Spyware Doctor en het probleem lijkt op dit moment verholpen.

Het heeft niet geholpen.. Een paar uur later en mijn browsers worden weer aangestuurd naar die verrekte 8v8.biz ed.

Dus AntiVir en Spyware Doctor zijn ook niet afdoende, om de trojan of wat het ook is die dit veroorzaakt tegen te houden.

Heb CCleaner gerund en het hele registry + bestandenzooi opgeschoond. Nogmaals een volledige scan gedaan met AntiVir en Spyware Doctor; wederom een aantal dingen verwijderd zoals:
HTML/Infected.webpage.gen
JS/Agent.ES
en nog een trojan.

Hier is een log van hijackthis: (begrijp er zelf niet heel veel van, maar misschien dat iemand mij een hint kan geven? )

[ Voor 206% gewijzigd door Verwijderd op 08-01-2008 23:33 ]

Oh how I love linux...

Verwijderd schreef op dinsdag 08 januari 2008 @ 02:47:
[...]

LOG FILE

Gooi hem door http://www.hijackthis.de/ heen Dan zie je zo een hele lijst van foutmeldingen en waarschuwingen

jealma schreef op dinsdag 08 januari 2008 @ 03:24:
Oh how I love linux...

Ach met linux kan je ook genoeg verknallen En als je gewoon een beetje op normale sites komt dan heb je nooit last van een virus, evanuijtert heeft een of ander "partypoker" geinstalleerd en in 9 van de 10 gevallen is crap

Verwijderd schreef op dinsdag 08 januari 2008 @ 07:36:
Ach met linux kan je ook genoeg verknallen En als je gewoon een beetje op normale sites komt dan heb je nooit last van een virus, evanuijtert heeft een of ander "partypoker" geinstalleerd en in 9 van de 10 gevallen is crap

Ja tuurlijk kan je met linux vanalles verknallen, maar meestal is de gebruiker dan de oorzaak. Enfin, het is wel irritant als je met zo'n virus opgescheept zit lijkt me.

jealma schreef op dinsdag 08 januari 2008 @ 09:10:
[...]


Ja tuurlijk kan je met linux vanalles verknallen, maar meestal is de gebruiker dan de oorzaak. Enfin, het is wel irritant als je met zo'n virus opgescheept zit lijkt me.

Jouw Linux voorkeur heeft niets met dit topic te maken. Het helpt de ts niet.

Verwijderd schreef op dinsdag 08 januari 2008 @ 07:36:
[...]

Gooi hem door http://www.hijackthis.de/ heen Dan zie je zo een hele lijst van foutmeldingen en waarschuwingen


[...]

Ach met linux kan je ook genoeg verknallen En als je gewoon een beetje op normale sites komt dan heb je nooit last van een virus, evanuijtert heeft een of ander "partypoker" geinstalleerd en in 9 van de 10 gevallen is crap

Precies, partypoker is echter t probleem niet hoor ik let doorgaans ook heel goed op waar ik heenga, maar er zijn gewoon ook sites waar je dagelijks komt en die dan ineens gehacked worden bv.

@Denniswerf: bedankt voor de link, zeer handig; heb hem meteen gebookmarked

[ Voor 6% gewijzigd door Verwijderd op 08-01-2008 12:13 ]

jealma schreef op dinsdag 08 januari 2008 @ 09:10:
Ja tuurlijk kan je met linux vanalles verknallen, maar meestal is de gebruiker dan de oorzaak. Enfin, het is wel irritant als je met zo'n virus opgescheept zit lijkt me.

En onder Windows kan je de boel ook vooral verknallen door het niet goed in te richten. Maar dit is totaal offtopic dus laten we hier maar over ophouden

--

Heel B&V staat vol met tips over opschonen, dus daar zal ik niets over toevoegen. Al wil je wel duidelijker zijn over wat 'nog een trojan' precies voor een beestje is.

Als dat virus inderdaad werkt door met ARP spoofing en dergelijke pakketjes te verbouwen, dan zou ik ook eens kijken of er niet juist een andere PC in je netwerk staat die besmet is. Want dat internet sites op jouw PC er niet zo uitzien als je verwacht, of dat je op andere pagina's terecht komt hoeft dan helemaal niet meer per se zijn oorzaak op je eigen pc te hebben.

Als er ge-ARP-spooft wordt op je netwerk moet dat trouwens wel te zien zijn met een netwerk sniffer.

masq schreef op zondag 06 januari 2008 @ 17:19:
Wat voor malware/virus het ook precies is, het is iig een nasty piece of work. Als ik het goed begrijp gebruikt het ARP spoofing/poisoning om zo'n 8v8.biz iframe in http responses te injecteren.

Ik kreeg bijvoorbeeld opeens een alert van AVG dat er een exploit gevonden was in een IE cache bestand. Terwijl ik helemaal geen IE gebruik. Dat was dus waarschijnlijk MSN die een banner laadde. Nasty.

Heb je daar trouwens een bron van ofzo?

[ Voor 47% gewijzigd door Orion84 op 08-01-2008 12:28 ]

Tyrian schreef op zondag 06 januari 2008 @ 00:21:
Virus Alert
If you receive an email entitled "Badtimes," delete it immediately. Do not open it. Apparently this one is pretty nasty. It will not only erase everything on your hard drive, but it will also delete anything on disks within 20 feet of your computer.
It demagnetizes the stripes on ALL of your credit cards. It reprograms your ATM access code, screws up the tracking on your VCR and uses subspace field harmonics to scratch any CD's you attempt to play. It will re-calibrate your refrigerator's coolness settings so all your ice cream melts and your milk curdles. It will program your phone autodial to call only your ex-spouses' number. This virus will mix antifreeze into your fish tank. It will drink all your beer. It will leave dirty socks on the coffee table when you are expecting company. Its radioactive emissions will cause your bellybutton fuzz (be honest, you have some) to migrate behind your ears. It will replace your shampoo with Nair and your Nair with Rogaine, all while dating your current boy/girlfriend behind your back and billing their hotel rendezvous to your Visa card. It will cause you to run with scissors and throw things in a way that is only fun until someone loses an eye. It will give you Dutch Elm Disease and Psitticosis. It will rewrite yo
ur backup files, changing all your active verbs to passive tense and incorporating undetectable misspellings which grossly change the interpretations of key sentences. It will leave the toilet seat up and leave your hair dryer plugged in dangerously close to a full bathtub. It will not only remove the forbidden tags from your mattresses and pillows, but it will also refill your skim milk with whole milk. It will replace all your luncheon meat with Spam. It will molecularly rearrange your cologne or perfume, causing it to smell like dill pickles. It is insidious and subtle. It is dangerous and terrifying to behold. It is also a rather interesting shade of mauve. These are just a few signs of infection.
PLEASE FORWARD THIS MESSAGE TO EVERYONE YOU KNOW!!! (everyone deserves a good laugh)

http://youtube.com/watch?v=k-GaRKDsz-Y

Orion84 schreef op dinsdag 08 januari 2008 @ 12:23:
[...]


Heb je daar trouwens een bron van ofzo?

Nee dit was mijn eigen conclusie nadat ik Wireshark een tijdje heb laten draaien. Er kwam erg veel ARP verkeer langs a la:

x.y.z.1 is at ab:cd:ef:gh

en dat dan individueel geadreseerd aan een hele hoop hosts. En ab:cd:ef:gh is dus niet de cisco router waar x.y.z.1 naar zou moeten verwijzen. Daarnaast kwamen die met iframe geinjecteerde http responses ook niet van de goede host af.

Hier @ work (en dus achter grote corporate proxy) kan ik niet bij de genoemde sites (geen ping, geen http).
Klinkt verder overigens gewoon als standaard malicious domein met trojan.
Geen hoax waarschijnlijk, maar ook geen wereldnieuws.

masq schreef op dinsdag 08 januari 2008 @ 13:22:
[...]


Nee dit was mijn eigen conclusie nadat ik Wireshark een tijdje heb laten draaien. Er kwam erg veel ARP verkeer langs a la:

x.y.z.1 is at ab:cd:ef:gh

en dat dan individueel geadreseerd aan een hele hoop hosts. En ab:cd:ef:gh is dus niet de cisco router waar x.y.z.1 naar zou moeten verwijzen. Daarnaast kwamen die met iframe geinjecteerde http responses ook niet van de goede host af.

Ja, dat lijkt me inderdaad vrij duidelijk dan ja. Dat is precies wat je te zien krijgt bij ARP spoofing.

Behoorlijk vervelend dus. Aangezien de PC waar de symptomen zich voordoen niet echt besmet is en de PC die besmet is waarschijnlijk weinig (voor de leek) zichtbare symptomen vertoont.

oplossing lijkt me dus om alle PC's in het netwerk grondig op te schonen, of, als je daar verstand van hebt met sniffers en dergelijke aan de gang te gaan om de bron van de verbouwde pakketjes te vinden.

[ Voor 39% gewijzigd door Orion84 op 08-01-2008 13:31 ]

edit: nvm

[ Voor 98% gewijzigd door Verwijderd op 08-01-2008 23:32 ]