[Mail -Virus] Hallmark mail met .zip

dinsdag 22 juli 2008 23:37

Unf!

Topicstarter

McAfee heeft een extra DAT uitgebracht die het virus cleaned
naam: my.doom.gen.w32

| Specs! | IRC is just multiplayer notepad | }:O |

Acties:

Verwijderd

Laat de header eens zien? Het is niet van hallmark, lijkt me. Ze gebruiken alleen Hallmarks afzender zodat het enigzins echt lijkt. En je moet natuurlijk ook geen zipjes in emails openen met exe'jes...

woensdag 23 juli 2008 00:09

Acties:

woensdag 23 juli 2008 09:33

Unf!

Topicstarter

Verwijderd schreef op dinsdag 22 juli 2008 @ 23:37:
En je moet natuurlijk ook geen zipjes in emails openen met exe'jes...

Gaat om een bedrijf met 6000+ seats, die lui openen alles

| Specs! | IRC is just multiplayer notepad | }:O |

Acties:

Verwijderd

Verwijderd schreef op dinsdag 22 juli 2008 @ 23:37:
En je moet natuurlijk ook geen zipjes in emails openen met exe'jes...

maar ja niet iedereen is zo slim om dat NIET te doen
en zo komen de meeste virussen binnen

woensdag 23 juli 2008 09:40

Acties:

Mar2zz

Hallmark is een vrouwenmagneet. Ik zal mijn vrouw eens waarschuwen dat er zoiets in omloop is en dat dat niet geopend moet worden.

woensdag 23 juli 2008 09:47

Acties:

woensdag 23 juli 2008 10:06

Cozm0 schreef op woensdag 23 juli 2008 @ 00:09:
[...]

Gaat om een bedrijf met 6000+ seats, die lui openen alles

Moet je toch maar eens gaan kijken voor een Goede Mail antivirus

Acties:

woensdag 23 juli 2008 10:17

Unf!

Topicstarter

NAAM: W32/Mydoom (ED) W32/Mydoom.gen@MM (ED)

| Specs! | IRC is just multiplayer notepad | }:O |

Acties:

woensdag 23 juli 2008 12:26

Je moet ook geen exe's door je mailserver toleren, maar goed, dat is een algemen discussie en niet eigenljik voor in dit topic.

[ Voor 43% gewijzigd door paella op 23-07-2008 10:33 ]

No production networks were harmed during this posting

Acties:

woensdag 23 juli 2008 12:27

Unf!

Topicstarter

LuckyY schreef op woensdag 23 juli 2008 @ 09:47:
[...]

Moet je toch maar eens gaan kijken voor een Goede Mail antivirus

Was een nieuw en dus onbekend virus die door geen enkele AV boer gedecteerd werd.

| Specs! | IRC is just multiplayer notepad | }:O |

Acties:

Verwijderd

Kom nou eens met de volledige headers dan. (van de e-mail)

[ Voor 16% gewijzigd door Verwijderd op 23-07-2008 12:28 ]

woensdag 23 juli 2008 14:55

Acties:

Frostbite

🤦🏻‍♂️

Mijn collega zal hem ook niet in de (geblokkeerde) mail staan.

Vreemde is dat McAfee met de laatste updates hem niet herkend ??
V8.5i P6 met de dats van 22 juli?

-verknipte header-

Received: from hallmark.com (234.5-245-81.adsl-static.isp.belgacom.be [81.245.5.234])
by xxx with ESMTP id 87EF718407B
for xxx; Tue, 22 Jul 2008 12:42:28 +0200 (CEST)
From: postcards@hallmark.com
To: xxx
Subject: You've received A Hallmark E-Card!
Date: Tue, 22 Jul 2008 12:42:28 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_E29AFA3D.29D97794"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20080722104228.87EF718407B@xx>

[ Voor 61% gewijzigd door Frostbite op 23-07-2008 15:16 ]

woensdag 23 juli 2008 15:43

Acties:

donderdag 24 juli 2008 08:41

Unf!

Topicstarter

Ik hoor via via dat het virus bij nog een paar grote bedrijven is uitgebroken

[ Voor 13% gewijzigd door Cozm0 op 23-07-2008 16:12 ]

| Specs! | IRC is just multiplayer notepad | }:O |

Acties:

donderdag 24 juli 2008 10:27

Gewoon je $user's op de hoogte stellen dat je momenteel geen .zip files mag openen zonder deze te scannen en van onbetrouwbare bron en al helemaal geen hallmark kaart.

Wijs je ze op het feit van gevaar voor netwerk en dat heen geen prive pc's zijn.
Schrikt aardig af...
En natuurlijk je mailscanner hoger instellen en mischien zelf hallmark blokkeren want dat heeft niets te zoeken op het bedrijfsnetwerk...

Acties:

Verwijderd

Cozm0 schreef op woensdag 23 juli 2008 @ 15:43:
Ik hoor via via dat het virus bij nog een paar grote bedrijven is uitgebroken

hehe zit het ook op het netwerk
erg leuk

ik had gisteren iets van 50 mailtjes van Hallmark

donderdag 24 juli 2008 10:30

Acties:

Rixard

Inderdaad, hier zit het ook op het netwerk. Er waren meerdere afdelingen onbereikbaar door dit virus. Ik had er 4 in mijn mailbox

[ Voor 15% gewijzigd door Rixard op 29-07-2008 17:20 ]

donderdag 24 juli 2008 10:36

Acties:

donderdag 24 juli 2008 10:42

Ben toch benieuwd hoe de IT afdelingen van zulke bedrijven functioneren. Is dat zo star dat er niet snel gehandeld kan worden om dit het hoofd te bieden?

No production networks were harmed during this posting

Acties:

leuk_he

1. Controleer de kabel!

paella schreef op donderdag 24 juli 2008 @ 10:36:
Ben toch benieuwd hoe de IT afdelingen van zulke bedrijven functioneren. Is dat zo star dat er niet snel gehandeld kan worden om dit het hoofd te bieden?

Tuurlijk kan het afgehandeld worden.

Of je hebt zo'n bedrijf als mij, war je niet eens een zip met wachtwoord of een exe mag versturen. (wat weer andere uitdagingen oplevert om maatwerk op te leveren), of je hebt een probleem als bij dae klant (ook multinational) waar je 5 minuten in de wacht bij de helpdesk staat omdat IT/helpdesk niet berekend is op zulke pieken van gebruikers die het niet meer weten.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 24 juli 2008 10:54

Acties:

rimpeldinky

nani?

mailserver hier blockt executables en zips met executables, geeft zowel zender als ontvanger een heads up dat het is geblokkeerd en dat als ze actie willen ondernemen dat ze dan kunnen bellen met de helpdesk

even in de server gekeken of deze al langs is gekomen, sofar nog niet

edit; overheen gekeken:

code:

Received: from YYY.YYY.nl (Not Verified[62.100.53.188]) by XXXXXXX with MailMarshal (v6,4,1,5038)
        id <B488732b30000>; Wed, 23 Jul 2008 15:31:31 +0200
Received: from hallmark.com (a82-93-98-45.adsl.xs4all.nl[82.93.98.45]) by mail.YYY.nl with MailMarshal (v6,4,5,5695)
        id <B488733f50000>; Wed, 23 Jul 2008 15:36:55 +0200
From: postcards@hallmark.com
To: iXXXXXXXXXXX
Subject: You've received A Hallmark E-Card!
Date: Wed, 23 Jul 2008 15:38:05 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="----=_NextPart_000_0011_C17543CA.DC71CE72"
X-Priority: 3
X-MSMail-Priority: Normal

[ Voor 69% gewijzigd door rimpeldinky op 24-07-2008 11:15 ]

*burp*

donderdag 24 juli 2008 11:15

Acties:

Crusader

Arc Nature

paella schreef op donderdag 24 juli 2008 @ 10:36:
Ben toch benieuwd hoe de IT afdelingen van zulke bedrijven functioneren. Is dat zo star dat er niet snel gehandeld kan worden om dit het hoofd te bieden?

Ik kan je verzekeren dat er gezweet wordt om zo'n probleem aan te pakken. Je krijgt nou eenmaal nooit 100% garantie dat er geen virus doorheen glipt.

If it ain't broken, play with it till it breaks.

donderdag 24 juli 2008 11:42

Acties:

sh4d0wman

Attack | Exploit | Pwn

Is er al ergens een alert online? Ik kan namelijk niks vinden, met google kom ik alleen op dit topic uit

Heb liever ook iets ter referentie voor de users.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 24 juli 2008 11:46

Acties:

donderdag 24 juli 2008 12:04

Crusader schreef op donderdag 24 juli 2008 @ 11:15:
[...]

Ik kan je verzekeren dat er gezweet wordt om zo'n probleem aan te pakken. Je krijgt nou eenmaal nooit 100% garantie dat er geen virus doorheen glipt.

Klopt, maar het is een MyDoom variant. Je zou zeggen dat heuristics van je mailscanners dat zouden moeten oppakken.

No production networks were harmed during this posting

Acties:

Frostbite

🤦🏻‍♂️

sh4d0wman schreef op donderdag 24 juli 2008 @ 11:42:
Is er al ergens een alert online? Ik kan namelijk niks vinden, met google kom ik alleen op dit topic uit Heb liever ook iets ter referentie voor de users.

http://www.threatexpert.c...3d-494f-9272-dde3b7d8252a

donderdag 24 juli 2008 12:17

Acties:

sh4d0wman

Attack | Exploit | Pwn

Bedankt

Werkt dit alleen onder admin credentials of ook bij een standaard user?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 24 juli 2008 13:07

Acties:

Crusader

Arc Nature

paella schreef op donderdag 24 juli 2008 @ 11:46:
[...]

Klopt, maar het is een MyDoom variant. Je zou zeggen dat heuristics van je mailscanners dat zouden moeten oppakken.

Ook dát is nog geen 100% garantie

If it ain't broken, play with it till it breaks.

donderdag 24 juli 2008 13:13

Acties:

LennyLL

Werknemers bij KPN hebben hem ook ontvangen. Tenminste wij kregen bericht dat als er Hallmark email ontvangen was die meteen verwijderd moest worden.

donderdag 24 juli 2008 13:22

Acties:

asing

Mijn mailserver thuis heeft hem nog niet gezien... Laatste virus was van 2 dagen geleden en was een paypal phishing mailtje.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

donderdag 24 juli 2008 13:27

Acties:

Verwijderd

Mail opgevangen! In Hotmail

Wat ben ik blij dat ik Linux gebruik

Een goede virusscanner bijvoorbeeld is NOD32, helaas hebben
ze die niet voor linux!

Anyway, succes met het verwijderen van het virus van een M$S systeem

Jarenlang heb ik windows gedraaid!

dus ik weet hoe het voelt

[ Voor 2% gewijzigd door pasta op 24-07-2008 15:07 . Reden: Microsoft spel je niet met een $, dus kort je het ook niet zo af. ;) ]

donderdag 24 juli 2008 14:27

Acties:

Verwijderd

Verwijderd schreef op donderdag 24 juli 2008 @ 13:27:
Een goede virusscanner bijvoorbeeld is NOD32, helaas hebben
ze die niet voor linux!

offtopic:
NOD32 is er wel voor Linux; http://www.eset.com/products/linux.php

Zo, jij bent wel emoticon-geil he?

[ Voor 31% gewijzigd door Verwijderd op 24-07-2008 14:28 ]

donderdag 24 juli 2008 14:48

Acties:

donderdag 24 juli 2008 14:50

Verwijderd schreef op donderdag 24 juli 2008 @ 13:27:
Mail opgevangen! In Hotmail

Wat ben ik blij dat ik Linux gebruik
Een goede virusscanner bijvoorbeeld is NOD32, helaas hebben
ze die niet voor linux!

Anyway, succes met het verwijderen van het virus van een M$S systeem
Jarenlang heb ik windows gedraaid! dus ik weet hoe het voelt

Waarom een Microsoft flame.
Er zijn genoeg rootkits en andere ongein voor linux pc's/servers

Het probleem is gewoon $user en slecht ingerichte mailservers.

En dan maakt het niet uit of je mailserver op een linux of een windows draait.
als $protectie/Antivirus/Antispam niet goed is.
Je moet gewoon vermijden dat die zooi bij je eindgebruikers komt

[ Voor 14% gewijzigd door pasta op 24-07-2008 15:08 ]

Acties:

Crusader

Arc Nature

LennyLL schreef op donderdag 24 juli 2008 @ 13:13:
Werknemers bij KPN hebben hem ook ontvangen. Tenminste wij kregen bericht dat als er Hallmark email ontvangen was die meteen verwijderd moest worden.

Puur preventief

If it ain't broken, play with it till it breaks.

donderdag 24 juli 2008 15:17

Acties:

asing

Hier werkt het simpel en eenvoudig. De mailscanner kan in zipjes kijken en het is niet toegestaan exe's te mailen. Dat wordt er meteen uitgefilterd.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

donderdag 24 juli 2008 15:23

Acties:

vrijdag 30 oktober 2009 15:50

Precies, en zo moet het ook.

No production networks were harmed during this posting

Acties:

huub8

Ik weet dat het al een wat ouder topic is, maar ook ik ontvang op het moment nog regelmatig deze mailtjes, echter ben ik particulier dus zal ik wel ergens in een mailinglist genoteerd staan (ik heb er nu al bijna 10 ontvangen).

Het bericht ziet er bij mij zo uit:

Hello!

You have recieved a Hallmark E-Card from your friend.

To see it, check the attachment.

There's something special about that E-Card feeling. We invite you to make a friend's day and send one.

Hope to see you soon,
Your friends at Hallmark

Your privacy is our priority. Click the "Privacy and Security" link at the bottom of this E-mail to view our policy.

In de bijlage is een .zip bestand te vinden met de naam: postcard.zip

maandag 2 november 2009 17:20

Acties: