Algemeen virus naslagwerk

Ik kreeg een meeltje met het attachment IEOBNBIE.EXE
Nog niet tegen gekomen?? Is het bekend hiero? Was geen afzender of datum bij....meteen dood gemaakt

Lijkt mij Magistr32 ... die goooit er bestandjes bij met gekke namen, zoals YHVBEZF.EXE, AQUTFA.EXE en ga zo maar door...

Yo mede virus gedupeerde.

Ik had gisteren CodeRed II (Win32.CodeRed.C trojan)

Geen prettig virus dus.
beschijving -->


korte uitleg.
plaatst een hidden file op je hd (c:\explorer.exe) en als je dan boot, zoekt windows naar explorer.exe, en die in c:\ komt ie als eerste tegen, dus start hij het virus op.
dan krijg je zo'n stomme melding dat je windows opnieuw moet installeren, en sluit ie zelf af.

Ik heb zelf ZoneAlarm en InoculateIT met de nieuwste update er op die het virus dus ook kent. (dat was ook te zien, want na de boot kreeg ik ook een melding dan c:\explorer.exe het virus was.)

als je simpelweg wilt voorkomen dat je het virus krijgt, voeg dan deze regels aan je autoexec.bat toe:

dan verwijder je het virus dus al voor het actief word!
(beter te verkomen dan te genezen )

Nog eentje over Code Red: heel veel mensen blijken IIS te hebben draaien op een Win2k bak zonder dat zelf in de gaten te hebben! De default setup van Win2k installeert de index service, terwijl de default setup van Frontpage 2000 PWS (Personal Web Server) installeert (of wellicht IIS als de setup in de gaten heeft dat het om een Win2k versie gaat). Als je die combinatie hebt draaien is het waarschijnlijk dat de default webpagina van PWS inmiddels is vervangen door zo'n 'hacked by chinese' achtige pagina. Zie deze link voor meer details:

http://www.thechaos.net/

Ik geef toe: dit ziet eruit als een hoax, maar volgens mij is het een goed idee om deze info toch serieus te nemen, want op usenet vond ik soortgelijke berichten.

Kan iemand mij vertellen wat dit log regeltje betekent:

osp.chungbuk.ac.kr Sinterklaas - [12/Aug/2001:15:44:26 +0200] "GET x HTTP/1.0" 400 892 "" ""
No URL in request

Ik draai win98se met omnihttpd server op poort 80.

Oke komt die, ik kreeg dit virus (W32/Funlove.gen) van iemand op msn (nee, ik heb het niet geopend), maar een andere gast die ik ken, heb ik het heengestuurt en erbij gezegd niet openen, onder meerdere redenen een "pic12" bestand met een .exe extensie, en bij details van het bestand is het een gateway, dus ik wist al dat het een virus was, maar die gast heeft het dus toch geopend, maar is het nou een gevaarlijk virus , hier heb je er info over http://vil.mcafee.com/dispVirus.asp?virus_k=10419&
alvast bedankt

Ik heb dus een virus verwijderd dat temp$01.exe heette. Ik ben on-line gaan zoeken wat het was en het bleek een trojan. Allemaal overkomelijk, hij is nu verwijderd. De echte naam blijkt Trojan.Amena te zijn. Alleen schijnt hij volgens http://www.sarc.com/avcenter/venc/dyn/11022.html ook een regel in mijn registry te zetten, dus ikke regedit geopend en ik kan niets vinden. Het moet er wel staan want bij opstarten krijg ik deze foutmelding: . Hier ben ik liever vanaf natuurlijk. De vraag is dus hoe ik dat aan ga pakken. De virusmeneertjes vertellen het mijn niet en ik heb geen ervaring met registry veranderen. Heb al de zoekfunctie in registry gebruikt en die vond dus nix met de naam TEMP$01.exe of Winprotect... Alvast bedankt voor het meedenken... Suggesties graag naar gifkikker@hotmail.com als je daar tijd voor hebt

Op zondag 12 augustus 2001 16:01 schreef sinterklaasrulez het volgende:
Kan iemand mij vertellen wat dit log regeltje betekent:

osp.chungbuk.ac.kr Sinterklaas - [12/Aug/2001:15:44:26 +0200] "GET x HTTP/1.0" 400 892 "" ""
No URL in request

Ik draai win98se met omnihttpd server op poort 80.

Blijkbaar wordt er een GET request gedaan naar je server (is gewoon pagina ophalen).
Het protocol is HTTP/1.0 ofwel ouderwets.
En blijkbaar staat in de header niet de gevraagde pagina, ofwel er staat geen url/pagina in.
Je server geeft zo te zien de index-pagina terug (code 400 = ok).

Het is niet gevaarlijk, maar is natuurlijk niet leuk dat op je scherm te hebben als je baas net binnen komt. Het kan bij sommige bedrijven ook als sexuele intimidatie gelden, dus beter niet opsturen.
En anders met deze link erbij zodat ze weten hoe het weer te verwijderen.

http://vil.nai.com/vil/virusSummary.asp?virus_k=98749

Nah het is een tweeman's bedrijfje en hij heeft geen Baas ja zijn vrouw die is de baas Hij doet toch helemaal niks net als ik, ja mij bestoken met allerlei mail met virussen dus hij kan dan ook wel is wat terug verwachten.

Op maandag 13 augustus 2001 01:10 schreef VageGast het volgende:
Ik heb dus een virus verwijderd dat temp$01.exe heette. Ik ben on-line gaan zoeken wat het was en het bleek een trojan. Allemaal overkomelijk, hij is nu verwijderd. De echte naam blijkt Trojan.Amena te zijn. Alleen schijnt hij volgens http://www.sarc.com/avcenter/venc/dyn/11022.html ook een regel in mijn registry te zetten, dus ikke regedit geopend en ik kan niets vinden. Het moet er wel staan want bij opstarten krijg ik deze foutmelding: [afbeelding] . Hier ben ik liever vanaf natuurlijk. De vraag is dus hoe ik dat aan ga pakken. De virusmeneertjes vertellen het mijn niet en ik heb geen ervaring met registry veranderen. Heb al de zoekfunctie in registry gebruikt en die vond dus nix met de naam TEMP$01.exe of Winprotect... Alvast bedankt voor het meedenken... Suggesties graag naar gifkikker@hotmail.com als je daar tijd voor hebt

Door otaku-san - zondag 22 juli 2001 12:04

--------------------------------------------------------------------------------
Wat er gebeurd is dat bij iedere executable je comp temp$01.exe wil starten en aangezien die weg is lukt dat niet.
Je kan je regedit.exe copieren naar regedit.com en dan kun je die wel starten.
HKEY_CLASSES_ROOT\exefile\shell\open\command was geworden
C:\temp$01.exe"%1" %*"

Dus gewoon de search gebruiken in regedit en "%1%*" laten staan.

Op maandag 13 augustus 2001 00:48 schreef triple--6 het volgende:
Oke komt die, ik kreeg dit virus (W32/Funlove.gen) van iemand op msn (nee, ik heb het niet geopend), maar een andere gast die ik ken, heb ik het heengestuurt en erbij gezegd niet openen, onder meerdere redenen een "pic12" bestand met een .exe extensie, en bij details van het bestand is het een gateway, dus ik wist al dat het een virus was, maar die gast heeft het dus toch geopend, maar is het nou een gevaarlijk virus , hier heb je er info over http://vil.mcafee.com/dispVirus.asp?virus_k=10419&
alvast bedankt

Hey dork je bedoel mij maar ik heb geen virus heb 2 keer gescand en 1 keer met speciaaal iets alleen voor dat virus dus stel geen ruk voor

Op maandag 13 augustus 2001 01:10 schreef VageGast het volgende:
Ik heb dus een virus verwijderd dat temp$01.exe heette. Ik ben on-line gaan zoeken wat het was en het bleek een trojan. Allemaal overkomelijk, hij is nu verwijderd. De echte naam blijkt Trojan.Amena te zijn. Alleen schijnt hij volgens http://www.sarc.com/avcenter/venc/dyn/11022.html ook een regel in mijn registry te zetten, dus ikke regedit geopend en ik kan niets vinden. Het moet er wel staan want bij opstarten krijg ik deze foutmelding: [afbeelding] . Hier ben ik liever vanaf natuurlijk. De vraag is dus hoe ik dat aan ga pakken. De virusmeneertjes vertellen het mijn niet en ik heb geen ervaring met registry veranderen. Heb al de zoekfunctie in registry gebruikt en die vond dus nix met de naam TEMP$01.exe of Winprotect... Alvast bedankt voor het meedenken... Suggesties graag naar gifkikker@hotmail.com als je daar tijd voor hebt

gewoon ff naar start run gaan een ff msconfig intypen. startup en hier moet je ff dat progje uitklikken. windows probeert hem namelijk op te starten zodat hij actief is maar omdat jij hem weg hebt gegooid kan dat niet, dus hier moet je hem verwijderen.

Dat was een leuke tip van sinterklaas. Ik ben dus eens gaan kijken en vond m niet in startup maar in system.ini (zie screenshot)
<br>
Ervoor staat dus explorer en daarna wordt 7 keer verwezen naar TEMP$01.EXE. Is het voldoende diet TEMP$01.exe te verwijderen end at explorer te laten staan? Dis allemaal nieuw terrein voor mij, in system.ini dingen veranderen

ik heb niks door gelezen nog maar ik moet weg eigenlijk dus hier komt mijn virusvraag:

ik kreeg net een emailvirus binnen.. ik zag het al meteen dat (aan wie hij gezonden was stonden vagen namen)
ik gebruik zelf office XP (outlook dus) en die stuurt ook meteen nieuwe email weg..

maar mijn pa helemaal gek -> iedereen opbellen.. volgens hem wordt het achter outlook om gestuurt (het is een auto-forward virus) ik denk dus van niet.. omdat hij wel outlook gebruikt om het te versturen..

Dus mijn pa vind mij dus nu zeer dom (hihi), en noemt mij eigenwijs BOEIE hehe hij moet zichzelf eens horen

Op dinsdag 12 juni 2001 08:51 schreef 5chaap2k het volgende:
mijn zusje heeft deze geopend
[afbeelding]

Ik heb de laatste nieuwe norton maar die vindt nix.

is de hotmail Desinfectie betrouwbaar !?

Vriendelijke groeten,

Johan Schaap

]

Met de nieuwste virus signatures vind Norton AV 2001 dit virus wel

Op maandag 13 augustus 2001 21:12 schreef RaMMSTeiN het volgende:
ik heb niks door gelezen nog maar ik moet weg eigenlijk dus hier komt mijn virusvraag:

ik kreeg net een emailvirus binnen.. ik zag het al meteen dat (aan wie hij gezonden was stonden vagen namen)
ik gebruik zelf office XP (outlook dus) en die stuurt ook meteen nieuwe email weg..

maar mijn pa helemaal gek -> iedereen opbellen.. volgens hem wordt het achter outlook om gestuurt (het is een auto-forward virus) ik denk dus van niet.. omdat hij wel outlook gebruikt om het te versturen..

Dus mijn pa vind mij dus nu zeer dom (hihi), en noemt mij eigenwijs BOEIE hehe hij moet zichzelf eens horen

Heb je attachment geopend ? zonee dan lijkt me het erg sterk want er moet toch echt een progje draaien oid dat de boel doorstuurd.

Sinterklaas had gelijk, heb eens op een andere PC gekeken en daar stond ook explorer dus heb ik alleen de temp regels weggehaald. Werkt nu gewoon weer goed. McAfee was sinds ik het virus had ook goed aan het flippen dus die heb ik er af gegooid. Nu dus nog een nieuwe scanner zoeken die minder traag is. Daarvoor volg ik het andere draadje wel even Thanx anyway!

Op maandag 13 augustus 2001 21:21 schreef sinterklaasrulez het volgende:

[..]

Heb je attachment geopend ? zonee dan lijkt me het erg sterk want er moet toch echt een progje draaien oid dat de boel doorstuurd.

dat dacht ik dus ook al, maar vertel mijn pa dat maar eens

Iemand ook al een virus gehad via United Devices (net zoiets als SETI maar dan voor kankeronderzoek) ?

De "datapakketten" die overgezonden worden bij dit systeem zijn .EXE bestanden... En die waren dus besmet! Vreemd dat ik hier nog niet over in het nieuws gezien heb?

BTW de remedie is uninstallen van UD, en vervolgens nog een keer handmatig de directory van UD weggooien.

<OEPS>
Al gevonden. Het blijkt een loos alarm te zijn...
</OEPS>

Message originally posted by Gwydi.
IT'S OFFICIAL - IT'S A FALSE POSITIVE

Here's the reply from Vet:

Thank you for your email. Unfortunatly, in this case this is a false
positive. We have fixed this in update 1407+. Whilst this update has not
been fully tested, and subsequently is not a full release yet, you can
download it in beta form by visiting:
http://www.vet.com.au/beta

Alternativly the full release will be available at some stage tomorrow.

Please don't hesitate in contacting me if you have any other queries
regarding this issue.
Regards,

Fergus McAlpin
support@vet.com.au
Systems Engineer - Vet Technical Support http://www.vet.com.au
Computer Associates International http://www.ca.com

Hoi,
Mijn vader zit met een probleeem, dat wat hij ook typt en waar hij het ook typt.
(word/IE/Mail) dat er de hele tijd komt te staan :
Ik ben een sukkel

Beetje lullig, want hij kan nu niets met zijn computer.

Kent iemand dit?

Op dinsdag 14 augustus 2001 23:14 schreef funnie het volgende:
Hoi,
Mijn vader zit met een probleeem, dat wat hij ook typt en waar hij het ook typt.
(word/IE/Mail) dat er de hele tijd komt te staan :
Ik ben een sukkel

Beetje lullig, want hij kan nu niets met zijn computer.

Kent iemand dit?

Sorry, weet het niet. Maar hou het wel in de gaten, want dit virusje wil ik ook hebben

Op dinsdag 14 augustus 2001 23:14 schreef funnie het volgende:
Hoi,
Mijn vader zit met een probleeem, dat wat hij ook typt en waar hij het ook typt.
(word/IE/Mail) dat er de hele tijd komt te staan :
Ik ben een sukkel

Beetje lullig, want hij kan nu niets met zijn computer.

Kent iemand dit?

Wat het ook is, het geeft wel de juiste boodschap. Het is het triomfantelijke geblaat van de schrijver van dat stukje malware omdat hij erin geslaagd is iemand te infecteren. Komt vaker voor. Waar ik me over verbaas is dat je ook IE noemt, bij de andere zou ik aan een macro virus denken, maar niet bij IE. Kan hij alleen de url ik ben een sukkel intikken? Dan zou je toch denken dat dat ook geld voor notepad, de start uitvoeren etc. In dat geval is het memory resident progje dat een hook heeft naar het keyboard of de keyboard buffer.

Dan is het het beste het te zoeken en te verwijderen onder pure dos met f-prot.
DL van http://www.complex.is, wel eerste de nieuwste definities ophalen.

Kreeg een codered aanval vanaf tweakers???
194.59.183.223, Maar ik dacht dat alleen IIS er last van had?

Ik heb nu al meer dan 3 keer een mailtje ontvangen van ene M.Boels (May Boels). Ik ken d'r niet.
Het mailtje gaat over aangevraagde faxen (in het Engels), en hier zit een virus in. (naam ben ik ff kwijt.
De volgende gegevens heb ik via haar mail kunnen achterhalen:

Received: from cmailENV3.svr.pol.co.uk ([213.218.77.55]) by hetnet.nl with Microsoft SMTPSVC(5.5.1877.757.75);
Wed, 15 Aug 2001 20:06:50 +0200
Received: from [62.21.130.112] (helo=vectra)
by cmailENV3.svr.pol.co.uk with smtp (Exim 3.22 #1)
id 15X56b-00015r-00
for Sandra198@hetnet.nl; Wed, 15 Aug 2001 18:09:26 +0000
From: "May Boels"<m.boels@freeler.nl>
To: Sandra198@hetnet.nl
Subject: Lijst ingekomen faxen
date: Wed, 15 Aug 2001 20:09:12 +0200
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed; boundary="----2C169F08_Outlook_Express_message_boundary"
Content-Disposition: Multipart message
Message-Id: <E15X56b-00015r-00.2001-08-15-18-09-26@cmailENV3.svr.pol.co.uk>
Return-Path: m.boels@freeler.nl

Wat nu? Ik verwijder het direct na binnenkomst, ook uit de map verwijderd. (ik gebruik trouwens W98SE en MS Outlook 2000)
Ik heb het 1x geopend (stom maar zonder na te denken), maar McAfee greep direct in en mijn systeem is gelukkig gered!

Op woensdag 15 augustus 2001 21:44 schreef Sandra198 het volgende:
Ik heb nu al meer dan 3 keer een mailtje ontvangen van ene M.Boels (May Boels). Ik ken d'r niet.

Wat nu?

Terugmailen dat ze een virus heeft misschien? Als zij er dan iets aan doet krijg jij die meeltjes ook niet meer....

Op woensdag 15 augustus 2001 16:10 schreef otaku-san het volgende:

[..]

goed verhaal
[/edit]

Hartstikke bedankt.. Ik ga morgen naar hem toe. En ff uitproberen

Nou we hebben vanalles geprobeerd bij mijn vader..

Veilige modus / opstart leeggehaald/andere hd ingehangen
om daar een C: schijf van te maken.

Op die nieuwe schijf die we erin deden stond al windows we hebben hem kunnen oopstarten in veilige modus en tauscan kunnen draaien en zo zijn we er achter gekomen dat mijn broertje van 15 met sub7 heeft zitten spelen.

Daarna wilden we weer de pc opnieuw opstarten met die schijf van ons. Wil die niet meer opstarten.
Geformateerd maar we krijgen windows niet eens geinstalleerd.

Want we wilden met die nieuwe C schijf een virusscanner up daten.. (hij is net verhuist en pc is 2 maand uit geweest daardoor) Maar het is nu niet alles maar ik ben een sukkel de pc wil gewoon steeds minder en geeft steeds meer fouten zelfs in veilige modus komt die zin ik ben een sukkel...

We hebben de pc meegenomen hierheen en hangen die hd van hun hier wel in de pc. Ik hou jullie wel op de hoogte wat het nu dan precies was.

Kzal me mond maar houden over die sub7 LOL

oke een Update...
schrik niet.. er stond op
3 maal een subseven...
1x subscriber (?)
1x Keypanic (en toch werkte dat stop niet )
1x SirCam virus..

hmm geen wonder dat ie steeds vreemder deed..lol.. zal hem morgen het goede bericht doorgeven...

Als je geformatteerd hebt is er natuurlijk niets meer te vinden. Alle evidence is dan weg.

Om problemen met viri en varia op ons netwerk te voorkomen filteren wij op bepaalde extenties. De volgende worden automatisch doorgestuurd naar iemand van systeembeheer:
.exe
.zip
.bat
.vbs
.com
.scr
.pif

De volgende gaan gewoon door vanwege gebruiksgemak:
.doc
.xls
.ppt
.pdf

Welke ben ik vergeten?

Vergeten extenties :
.shs
.vbe
.hta
.lnk
.html
.htm

Zoek eens op google op filter en "alt.comp.virus"
Dit onderwerp komt daar regelmatig voor en danwordt er een hele waslijst genoemd.
Tenzij jullie zelf macros gebruiken,of klanten hebben die dat doen, ga over op rtf.

Ik zou ook enigszins voorzichtig zijn bij geen extensie of extensies als:

.001 (Wat overigens ook een RAR-archief kan zijn)
.$$$

Of zoiets onduidelijks.

Misschien een idee om deze 'risico-extensies' op te nemen in de virus faq?

Op dinsdag 21 augustus 2001 00:13 schreef Joost E. Boere het volgende:
Even een samenvatting met van de "gevaarlijke" extenties met beschrijving van de standaard associatie. Misschien leuk voor de faq?

Hier wil ik deze aan toevoegen:

RAR : Als ZIP
ACE : Als ZIP
ZL9 : Geen idee wat het precies is, maar het is uitvoerbaar en bevat vaak virussen als Magister

Keb een CodeRed vraagje (ben een newbie op dat gebied), in deze thread heb ik alle posts van augustus gelezen en het antwoord nog niet gezien.

Ik draai W2K Prof zonder IIS. Mijn virusscanner geeft zo nu en dan een alarm op c:\explorer.exe en het virus CodeRed.c.... Verder is er nix aan de hand, althans zo lijkt het. Iemand bekend hiermee? Hoe ik het verwijder weet ik wel, maar ik vin het vreemd dat ik dit zonder IIS toch om mun systeem gekregen heb. Hoe ken dat?

Een aangevulde samenvatting met van de "gevaarlijke" extenties met beschrijving van de standaard associatie. Inmiddels gesorteerd op alfabet. Misschien leuk voor de faq?
.ace als .zip, maar dan met ace gecomprimeerd
.arj Als .zip, maar dan met arj gecomprimeerd
.bat Een batchfile, een uitvoerbaar script dat meerdere programma's kan opstarten
.com Zeer vergelijkbaar met een .exe bestand, een zelfstandig opstartbaar programma
.doc Een Word-document
.exe Een executable bestand, oftwel een programma dat zelfstandig opstartbaar is
.hta ?
.htm Als .html, maar dan de verkorte naam
.html Een html-bestand, dit zijn de bouwstenen van een website
.lha Als .zip, alleen dan met lha gecomprimeerd
.lnk Een "info"-bestand voor een windows-programma, dit start het op met bepaalde randvoorwaarden
.pdf Een AcrobatReader-document
.pif Een "info"-bestand voor een dos-programma, dit start het op met bepaalde randvoorwaarden
.ppt Een PowerPoint-document
.rar Als .zip, maar dan met rar gecomprimeerd
.scr Een screensaver, doet soms meer dan alleen leuke kleurtjes op het scherm tonen
.shs Een scrapfile
.vbe Een encrypted visual basic bestand
.vbs Een visual basic script, een scriptfile voor een visual basic intepreter
.xls Een Excell-document
.zip Een met zip gecomprimeerd bestand, kan meerdere bestanden bevatten
.zl9 ?

zl9?

zl9 is toch een zonealarm bestand waarin een mogelijk kwalijk bestand gelocked wordt.

23/08/2001 - VIRUS - "T R O J A N . O F F E N S I V E" - Gevaar/Danger :
Medium

Pagina "Virus-warning" op de BIPT-website werd aangepast.
Page "Virus-warning" sur le site IBPT a été adaptée.
Page "Virus-warning" on the BIPT-website has been modified.

http://www.bipt.be/virus/viruswarning.htm

Naam : TROJAN.OFFENSIVE

Soort virus : Trojaanspaard (Trojan Horse)
Risico : MEDIUM (kan ernstige schade veroorzaken doch de verspreiding is
traag)
Beschrijving :
Het betreft een Trojaanspaard dat zich verbergt in een .html bestand of een
webpagina. Wanneer U het dokument opent verschijnt er een venster met de
tekst "START".
Dit Trojaanspaard maakt gebruik van de mogelijkheden van ActiveX waardoor
het mogelijk wordt om uw startpagina van uw browser te verwijderen evenals
de toegang tot uw systeem ernstig te beperken.
Wanneer het systeem geïnfecteerd is, verschijnen volgende symptomen :
- de meeste opties in het startmenu hebben een ikoon van text file.
- Geen enkele ikoon is zichtbaar op de Windows Desktop.
- Geen enkel programma kan opgestart worden.
- Windows kan niet meer gesloten worden en een bericht geeft aan dat de
afsluiting van Windows niet mogelijk is wegens veiligheidsmaatregelen.
- De symptomen veranderen niet bij opstarting in Safe Mode.

Oplossing :
Als het Trojaanspaard wordt geactiveerd moet een tussenkomst op het niveau
van de registry of de herinstallatie van Windows uitgevoerd worden.
Check je antiviruswebsite voor een update.
Men kan alleen maar aanbevelen om zijn anti-virusprogramma regelmatig bij te
werken. Er wordt u aangeraden na te gaan of uw versie dit virus wel degelijk
herkent.
http://www.symantec.com/avcenter/venc/data/trojan.offensive.html

Op donderdag 23 augustus 2001 11:28 schreef CBA het volgende:
23/08/2001 - VIRUS - "T R O J A N . O F F E N S I V E" - Gevaar/Danger :
Medium

Pagina "Virus-warning" op de BIPT-website werd aangepast.
Page "Virus-warning" sur le site IBPT a été adaptée.
Page "Virus-warning" on the BIPT-website has been modified.

http://www.bipt.be/virus/viruswarning.htm

Naam : TROJAN.OFFENSIVE

Soort virus : Trojaanspaard (Trojan Horse)
Risico : MEDIUM (kan ernstige schade veroorzaken doch de verspreiding is
traag)
Beschrijving :
Het betreft een Trojaanspaard dat zich verbergt in een .html bestand of een
webpagina. Wanneer U het dokument opent verschijnt er een venster met de
tekst "START".
Dit Trojaanspaard maakt gebruik van de mogelijkheden van ActiveX waardoor
het mogelijk wordt om uw startpagina van uw browser te verwijderen evenals
de toegang tot uw systeem ernstig te beperken.
Wanneer het systeem geïnfecteerd is, verschijnen volgende symptomen :
- de meeste opties in het startmenu hebben een ikoon van text file.
- Geen enkele ikoon is zichtbaar op de Windows Desktop.
- Geen enkel programma kan opgestart worden.
- Windows kan niet meer gesloten worden en een bericht geeft aan dat de
afsluiting van Windows niet mogelijk is wegens veiligheidsmaatregelen.
- De symptomen veranderen niet bij opstarting in Safe Mode.

Oplossing :
Als het Trojaanspaard wordt geactiveerd moet een tussenkomst op het niveau
van de registry of de herinstallatie van Windows uitgevoerd worden.
Check je antiviruswebsite voor een update.
Men kan alleen maar aanbevelen om zijn anti-virusprogramma regelmatig bij te
werken. Er wordt u aangeraden na te gaan of uw versie dit virus wel degelijk
herkent.
http://www.symantec.com/avcenter/venc/data/trojan.offensive.html

WAT?!?!?
Een virus in een html pagina?
Dus besmet raken met gewoon surfen en niet eens een bijlage openen.
Dat is kut!

Op donderdag 23 augustus 2001 10:53 schreef KexDaFlex het volgende:

[..]
zl9 is toch een zonealarm bestand waarin een mogelijk kwalijk bestand gelocked wordt.

Hmm... dat had ik zelf ook wel kunnen bedenken.. Stom van me.... maar goed... dat is het dus inderdaad, dus die kan weer van de lijst....

Nou, maak je borst maar weer nat, want McAfee heeft het security-assessment van W32/SirCam@MM-virus gewijzigd van Low naar High, dus het komt weer opnieuw in omloop

Leute,
ik heb een probleem, ik heb op me server het VBS sorry C en VBS sorry D virus staan... Dit als gevolg dat ik elke week door clients gewarschuwd wordt dat er weer een bestand is gevonden met een virus:

Dat soort bestandjes... en scan ik erna de srever is er niks meer te vinden...
Ook via browser scanners, alsmede Norton of Mcafee installen helpt niet, omdat ze niet meer opstarten, heeft het virus waarchijnlijk aan gort geholpen...

Is er niet een simple EXE file ergens die iemand heb voor me, die em zo weg haalt? Ik worrr helemaal gek hier . even formatten zal niet gaan ivm 120 gb aan data die erop staat!!

Help!

PS: rare is ook dat de online scanner en de lokale scanner twee verschillende namen geven aan het virus:

vbs.sorry is een net/share aware worm.
Het verspreid zich door naar niet passwoord protected shares te zoeken. Dus op het netwerk waar je zit zit dat ding en dat krijg je niet weg tenzij je het hele netwerk clean hebt.
Als je niet op een netwerk zit dan heb je een open share naar internet.
Dan is het beter eens te kijken naar http://grc.com en de shieldsup links te volgen.

het kan zijn dat ik geinfecteerd met een virus. Kan zijn omdat mijn virusscanner, Norton antivirus met up to date definitions, niets kan vinden.
Nadat ik een knakker een xls-bestand had gestuurd, mocht hij in eens na opnieuw opgestart te zijn, zijn netwerkkaart installen. Nou heb ik de afgelopen week ook last van een hele trage verbinding (nee geen code red draai geen servers). Van welk virus zou dit de symptomen kunnen zijn. Iedereen die geinteresseerd is stuur ik zo het xls-bestand op

In XLS kun je macroos verwachten.
Wie daar ertg goed in is, is F-prot.
FF d/l van http://www.complex.is
updaten en onder dos draaien.

volgens mij geen macro virus (in deze sheet zitten nl geen macros...) maar ik dl de virusscanner wel even (inmiddels de derde en ik probeer het nog een keertje)

Kan zijn dat dat xls bestand er niets mee te maken heeft.
Wat er met trojans gebeurd is, dat ze hun installatie weg schrijven bv in wininit.ini of autoexec.bat zodat ze pas actief worden na reboot.

Maar als je wilt, ik heb op mijn werk McAfee.

Mail adres in deze post wordt na een paar uur verwijderd

Op donderdag 23 augustus 2001 09:27 schreef Joost E. Boere het volgende:
Een aangevulde samenvatting met van de "gevaarlijke" extenties met beschrijving van de standaard associatie.
...
.doc Een Word-document
...
.ppt Een PowerPoint-document
...
.xls Een Excell-document

Vergeet de bijbehorende template-files niet: Daar kunnen ook macro's inzitten.
.dot Een Word-template
.pot Een PowerPoint-template
.xlt Een Excel-template

Van de invoegtoepassingen en andere Office-bestanden weet ik niet zeker of ze macro's kunnen bevatten, maar je zou ze voor de zekerheid ook kunnen toevoegen. McAfee scant niet voor niets .xl? en .pp? (dus alle extensies die beginnen met .xl en .pp). Misschien dat je dat lijstje ook kan bekijken voor ideeën.

Maar voor de rest een mooie lijst

Trojan.Win32.VirtualRoot

Dit virus heb ik dus volgens mijn virus scanner.
Te vinden op: c:/explorer.exe

en wat denk je... niks te vinden op mijn comp. Dus ik info gezocht op de diverse virussites... en natuurlijk niks te vinden... weet iemand hoe of wat?

Het is een melding van code red.c
Misschien is het hidden?

Je zou ook eens kunne scannen met the cleaner
http://www.moosoft.com

Op woensdag 29 augustus 2001 06:40 schreef otaku-san het volgende:
Het is een melding van code red.c
Misschien is het hidden?

Je zou ook eens kunne scannen met the cleaner
http://www.moosoft.com

tnx...was ik gelukkig inmiddels ook al achter... maar toch is het vreemd dat de naam VirtualRoot (etc.) niet herkend wordt in de search engines van de verschillende virusboeren

Een aangevulde samenvatting met van de "gevaarlijke" extenties met beschrijving van de standaard associatie. Inmiddels gesorteerd op alfabet. Misschien leuk voor de faq?
.ace als .zip, maar dan met ace gecomprimeerd
.arj Als .zip, maar dan met arj gecomprimeerd
.bat Een batchfile, een uitvoerbaar script dat meerdere programma's kan opstarten
.com Zeer vergelijkbaar met een .exe bestand, een zelfstandig opstartbaar programma
.doc Een Word-document
.dot Een Word-template
.exe Een executable bestand, oftwel een programma dat zelfstandig opstartbaar is
.hta ?
.htm Als .html, maar dan de verkorte naam
.html Een html-bestand, dit zijn de bouwstenen van een website
.lha Als .zip, alleen dan met lha gecomprimeerd
.lnk Een "info"-bestand voor een windows-programma, dit start het op met bepaalde randvoorwaarden
.pdf Een AcrobatReader-document
.pif Een "info"-bestand voor een dos-programma, dit start het op met bepaalde randvoorwaarden
.pot Een PowerPoint-template
.ppt Een PowerPoint-document
.pp? Powerpoint-bestand
.rar Als .zip, maar dan met rar gecomprimeerd
.scr Een screensaver, doet soms meer dan alleen leuke kleurtjes op het scherm tonen
.shs Een scrapfile
.vbe Een encrypted visual basic bestand
.vbs Een visual basic script, een scriptfile voor een visual basic intepreter
.xls Een Excel-document
.xlt Een Excel-template
.xl? Excel-bestand
.zip Een met zip gecomprimeerd bestand, kan meerdere bestanden bevatten

Van de invoegtoepassingen en andere Office-bestanden weet ik niet zeker of ze macro's kunnen bevatten, maar je zou ze voor de zekerheid ook kunnen toevoegen. McAfee scant niet voor niets .xl? en .pp? (dus alle extensies die beginnen met .xl en .pp). Misschien dat je dat lijstje ook kan bekijken voor ideeën.

Waar vindt ik dat lijstje? Ik gebruik zelf Inoculan.

Deze link lists zo'n beetje alle extenties :
http://www.angelfire.com/sk2/saloky/katalog/pripony.html

.HTA wordt oa door de Kak worm gebruikt en die plaatst het in de startup directory. Het is een hypertext application file.

Op woensdag 29 augustus 2001 10:11 schreef Joost E. Boere het volgende:
Waar vindt ik dat lijstje? Ik gebruik zelf Inoculan.

Het is een intern lijstje van McAfee. Ik heb hieronder maar de registry-key met de extensies geplakt, zoals ze bij mij op m'n werk op de computer staan:

::: ??_ ASP BAT CDR COM CSC DL? DOC DOT EXE GMS GZ? HLP HT? IM? INI JS? MD? MPP MPT MSG MSO OCX OLE OV? POT PP? RTF SCR SHS SMM SYS VBS VS? VXD WBK WPD XL? XML

De 3 dubbele punten staan volgens mij voor extensieloze bestanden.

Hmmm, als ik dit vergelijk met de extensies die in de onderste link van otaku-san staan, zijn het er een beetje weinig. Ik hoop dat dat lijstje in de recentere versies van McAfee wat meer is bijgewerkt. En ikzelf mag de boel ook eens gaan bijwerken

Een aangevulde samenvatting met van de "gevaarlijke" extenties met beschrijving van de standaard associatie. Er is een hele lading toegevoegd zonder beschrijving, die komt nog. Tot die tijd, zie hier. Misschien leuk voor de faq?

.386
.ace als .zip, maar dan met ace gecomprimeerd
.acm
.acv
.arj Als .zip, maar dan met arj gecomprimeerd
.asd
.asp
.avb
.ax
.bat Een batchfile, een uitvoerbaar script dat meerdere programma's kan opstarten
.bin
.boo
.btm
.cdr
.chm
.cla
.class
.cmd
.cnv
.com Zeer vergelijkbaar met een .exe bestand, een zelfstandig opstartbaar programma
.cpl
.cpt
.csc
.css
.dl?
.dll
.doc Een Word-document
.dot Een Word-template
.drv
.dvb
.dwg
.eml
.exe Een executable bestand, oftwel een programma dat zelfstandig opstartbaar is
.fon
.gms
.gvb
.gz?
.hlp
.ht?
.hta ?
.htm Als .html, maar dan de verkorte naam
.html Een html-bestand, dit zijn de bouwstenen van een website
.htt
.im?
.inf
.ini
.js
.jse
.lha Als .zip, alleen dan met lha gecomprimeerd
.lnk Een "info"-bestand voor een windows-programma, dit start het op met bepaalde randvoorwaarden
.md?
.mdb
.mht
.mhtm
.mhtml
.mpd
.mpp
.mpt
.msg
.mso
.nws
.ocx
.obd
.obj
.obt
.obz
.oft
.ole
.ov?
.pci
.pdf Een AcrobatReader-document
.pif Een "info"-bestand voor een dos-programma, dit start het op met bepaalde randvoorwaarden
.pl
.pot Een PowerPoint-template
.ppt Een PowerPoint-document
.pp? Powerpoint-bestand
.prc
.pwz
.qpw
.rar Als .zip, maar dan met rar gecomprimeerd
.rtf
.sbf
.scr Een screensaver, doet soms meer dan alleen leuke kleurtjes op het scherm tonen
.sh
.shb
.shs Een scrapfile
.shtml
.shw
.smm
.sys
.tdo
.tt6
.tlb
.tsk
.tsp
.vbe Een encrypted visual basic bestand
.vbs Een visual basic script, een scriptfile voor een visual basic intepreter
.vbx
.vom
.vs?
.vwp
.vxd
.vxe
.wbk
.wbt
.wiz
.wk?
.wpc
.wpd
.wml
.wsh
.wsc
.xml
.xls Een Excel-document
.xlt Een Excel-template
.xl? Excel-bestand
.zip Een met zip gecomprimeerd bestand, kan meerdere bestanden bevatten

eey, ik heb laatst het w32/cih rename virus gehad... nu kwam ik er snel achter (ruis in microfoon) ff virusscanner gedownload en weg wassut, ok, fijn... ik denk, ff potje DF3 spelen, was opeens GTA2, ik dus de snelkoppelingen checken, was goed, ik naar C:\games\df3lw\dflw.exe << start GTA2 op, dat heeft hij dus gerenamed, is dat nog terug te draaien? het virus is al weg.

HELP ik heb een trojan en een gewoon virus maar ze willen niet van mijn pc af en ik kan niks installeren want dan staat er zo'n rood\grijs foutmelding van sluiten en details

HELP ME AUB de virus is PE_SPACED 1445 en de trojan is winnuke

iemand (meisje) uitleggen hoe ze een virus kan verwijderen.. ik ben daar dus niet echt goed in...

na ja.. het zit dus zo dat zij bij ICQ online kwam en de hele tijd deze: smiley stuurde.. ook stuurde ze de hele tijd een file choke.exe dus ik zeg: "opzoutuh met die shit"

zij: "wat?"

zij snapte/wist er dus niks van.. zie ik opeens onderin:
george.w.bush@whitehouse.gov is typing a message

en dan dus de hele tijd die smiley onder haar naam...

ik denk dus aan code red... hoe krijgt ze het weg? en hoe kan ik het uitleggen hoe het moet?

Op zaterdag 01 september 2001 19:13 schreef limp_bizkit het volgende:
iemand (meisje) uitleggen hoe ze een virus kan verwijderen.. ik ben daar dus niet echt goed in...

na ja.. het zit dus zo dat zij bij ICQ online kwam en de hele tijd deze: smiley stuurde.. ook stuurde ze de hele tijd een file choke.exe dus ik zeg: "opzoutuh met die shit"

zij: "wat?"

zij snapte/wist er dus niks van.. zie ik opeens onderin:
george.w.bush@whitehouse.gov is typing a message

en dan dus de hele tijd die smiley onder haar naam...

ik denk dus aan code red... hoe krijgt ze het weg? en hoe kan ik het uitleggen hoe het moet?

is geen gevaarlijke.. alleen zeer irritant.. correct me if i'm wrong.

Alles uitzetten. choke.exe verwijderen reboot enzo.. weet nie precies hoe.. maar als je zoekt in de search op choke vind je vast wel wat.. suc6

Op zaterdag 01 september 2001 19:13 schreef limp_bizkit het volgende:
iemand (meisje) uitleggen hoe ze een virus kan verwijderen.. ik ben daar dus niet echt goed in...

na ja.. het zit dus zo dat zij bij ICQ online kwam en de hele tijd deze: smiley stuurde.. ook stuurde ze de hele tijd een file choke.exe dus ik zeg: "opzoutuh met die shit"

zij: "wat?"

zij snapte/wist er dus niks van.. zie ik opeens onderin:
george.w.bush@whitehouse.gov is typing a message

en dan dus de hele tijd die smiley onder haar naam...

ik denk dus aan code red... hoe krijgt ze het weg? en hoe kan ik het uitleggen hoe het moet?

Ik dacht dat 'ie alleen bij MSN messenger voorkwam.

tis al opgelost

ik kreeg 2x dit regeltje in mijn log vanmiddag alleen met andere ip's:

209.247.40.105 Sinterklaas - [02/Sep/2001:17:25:13 +0200] "GET /index.html HTTP/1.0" 200 400 "" "ia_archiver"
209.247.40.105 Sinterklaas - [02/Sep/2001:17:25:12 +0200] "GET /robots.txt HTTP/1.0" 404 880 "" "ia_archiver"
Error reading "D:\PROGRAMS\OMNI\server\robots.txt" - The system cannot find the file specified.

is dit een nieuwe vorm van code red ? die bij mij niet werkt omdat ik alleen maar webserver met win98 draai.
als het gewoon een request om robots.txt is, waarom krijg ik er dan nu 2 van verschillende ip's en normaal nooit een.

Op zaterdag 01 september 2001 15:47 schreef goku13 het volgende:
HELP ik heb een trojan en een gewoon virus maar ze willen niet van mijn pc af en ik kan niks installeren want dan staat er zo'n rood\grijs foutmelding van sluiten en details

HELP ME AUB de virus is PE_SPACED 1445 en de trojan is winnuke

Probeer f-prot onder DOS http://www.complex.is
Of the cleaner tegen winnuke http://www.moosoft.com

Ik heb trouwens geen vermelding gevonden naar spaced, wel spaces ???

Op zaterdag 01 september 2001 12:40 schreef iemand het volgende:
eey, ik heb laatst het w32/cih rename virus gehad... nu kwam ik er snel achter (ruis in microfoon) ff virusscanner gedownload en weg wassut, ok, fijn... ik denk, ff potje DF3 spelen, was opeens GTA2, ik dus de snelkoppelingen checken, was goed, ik naar C:\games\df3lw\dflw.exe << start GTA2 op, dat heeft hij dus gerenamed, is dat nog terug te draaien? het virus is al weg.

heeft iemnad hier het antwoord op?

********* wil het bestand PIC1324(1)(1)(1)(1).exe (49 kB) naar je verzenden. De overdrachtstijd bedraagt minder dan 1 minuten met een 28k8-modem. Wil je de uitnodiging accepteren (Alt+T) of weigeren (Alt+D)?

Ik geopend en alle namen uit mijn lijst. Gewoon k*t. Msn virussen

Ik zit met probleem

Ik heb sircam virus bij vriend van me das nog niet echt probleem maar als ik met Mcaffee (niewste update) ga scannen vind hij het virus hij gooit het eraf maar als ik opnieuw opstart scan nog een keer.... Vind hij sircam.exe (oid) weer in c:\windows\system map

Waarom komt hij trug en wat kan ik aan doen???

Op donderdag 06 september 2001 20:46 schreef justin01 het volgende:
********* wil het bestand PIC1324(1)(1)(1)(1).exe (49 kB) naar je verzenden. De overdrachtstijd bedraagt minder dan 1 minuten met een 28k8-modem. Wil je de uitnodiging accepteren (Alt+T) of weigeren (Alt+D)?

Ik geopend en alle namen uit mijn lijst. Gewoon k*t. Msn virussen

had ik laatst ook, ik vraag dus wat dat was. degene die mij dat stuurde wist van nix, ook niet hij dat stuurde maar ik had het al geopend ik denk dus: k*t, weer een virus maar er is nix gebeurd verder, ook niet alle namen uit mij lijst

Op vrijdag 07 september 2001 12:00 schreef frankey het volgende:
Ik zit met probleem

Ik heb sircam virus bij vriend van me das nog niet echt probleem maar als ik met Mcaffee (niewste update) ga scannen vind hij het virus hij gooit het eraf maar als ik opnieuw opstart scan nog een keer.... Vind hij sircam.exe (oid) weer in c:\windows\system map

Waarom komt hij trug en wat kan ik aan doen???

Hier is de beschrijving : http://vil.nai.com/vil/virusSummary.asp?virus_k=99141
Zoals je ziet in windows/system staat Scam.exe en dat is de dropper.
Verder is het netwerk/share aware, dus als je op een netwerkje zit, dan zijn de andere machines ook besmet en raak je onmiddelijk opnieuw besmet.
Voor ontsmetten kun je heel goed xSircam gebruiken.
http://www.invircible.com/news/news_details.php?id=39

Op vrijdag 07 september 2001 13:45 schreef Matsie het volgende:

[..]

had ik laatst ook, ik vraag dus wat dat was. degene die mij dat stuurde wist van nix, ook niet hij dat stuurde maar ik had het al geopend ik denk dus: k*t, weer een virus maar er is nix gebeurd verder, ook niet alle namen uit mij lijst

Heb ik al twee keer gehad. Heb hem NIET geopend, en het begint met een bericht (in een andere kleur dan de gebruiker) Will you see my pic's... (ofzo....)

Op vrijdag 07 september 2001 16:33 schreef GSMboy het volgende:

[..]

en het begint met een bericht (in een andere kleur dan de gebruiker) Will you see my pic's... (ofzo....)

nee hoor, bij mij niet, ik kreeg hem gewoon in 1x.

Heel vreemd, had. exe bestandje gedownload.
Geopend, maar kreeg fout-melding. Niet lang daarna kwam Norton Antivirus 2001 met het bericht dat ik een virus had. Alleen het venster sloot zich de hele tijd, dus kon niet lezen welk virus. Heb in quarantaine gezet en files gedelete.
Toen sloot NAV zichzelf spontaan af, ook als ik opnieuw startte.
Heb NAV er helemaal af gegooid, dacht opnieuw installeren.
Maar dat lukt dus niet meer! Ook andere virusprogjes knallen eruit zodra setup-scherm verschijnt. Iemand bekend met dit verschijnsel?????

Hallo
Ik heb de hele lijst doorgelezen, maar nog niets over het
"JS Exception. exploit virus" gelezen.
Ik kreeg melding van norton av dat ik hiermee besmet ben , en dat het bestand niet verwijderd kan worden (geen toegang).
Volgens de norton site is het een javascript virus, ik heb het opgelopen op een pornosite....... een echte kutsite dus en alleen maar op wat bloot geklikt verder niks gedowned (!)
Het logfile van norton :

F:\Documents and Settings\harold\Local Settings\Temporary Internet Files\Content.IE5\WPMV0L6V\movieland[1].htm
is infected with the JS.Exception.Exploit virus.r P F:\Documents and Settings\harold\Local Settings\Temporary Internet Files\Content.IE5\WPMV0L6V\movieland[1].htm s KEES
u harold v JS.Exception.Exploit S Windows Auto-Protect n7 4 K Ó p v a (+ t 1 " A Access to the file was denied.® M The file
F:\Documents and Settings\harold\Local Settings\Temporary Internet Files\Content.IE5\WPMV0L6V\movieland[1].htm
is infected with the JS.Exception.Exploit virus.r P F:\Documents and Settings\harold\Local Settings\Temporary Internet Files\Content.IE5\WPMV0L6V\movieland[1].htm s KEES
u harold v JS.Exception.Exploit S Windows Auto-Protect 9 Ã5 K Ó p v a (+ t 1 A Unable to repair this file

De locatie waar movieland[1] .htm zich bevind kan ik gewoon niet vinden er is gewoon geen map "Content.IE5" te vinden in F:\Documents and Settings\harold\Local Settings\Temporary Internet Files
( De infamous Microsoft really hidden files ?)

Goed, laatste virus defs gedowned, opnieuw gestart, Norton heel F laten scannen, vind niks !
Maar kan norton wel in de map "Content.IE5" komen ?

Op vrijdag 07 september 2001 13:45 schreef Matsie het volgende:

[..]

had ik laatst ook, ik vraag dus wat dat was. degene die mij dat stuurde wist van nix, ook niet hij dat stuurde maar ik had het al geopend ik denk dus: k*t, weer een virus maar er is nix gebeurd verder, ook niet alle namen uit mij lijst

Das lekker, jij niet en ik wel Had een bakc-up gemaakt van mijn namen maar die had ik net 5 min verwijderd

deejee, jouw topic is net gesloten dus ik kan daar niet antwoorden.

Die mp3 bestanjes zijn op hidden gezet, wat je ziet zijn copieën.
dus gewoon in explorer instellen show all files plus show known file extentions.

Kortom lees http://ww.claymania.com/safe-hex.html

Dat is een site die gemaakt is door de regulars van alt.comp.virus. Ik ben lid van de achter liggende mailing list dus ik volg de discussie die vooraf gaat aan iedere nieuwe pagina en geloof me die discussie is hevig en gaat tussen experts.

Verder als je geen waarschuwing hebt gehad over een onveilge activeX control heb je nooit de patch gedraait die op de safe-hex page staat. Dat betekent dat je enorm kwetsbaar bent voor kwaadaardige code.

Op donderdag 06 september 2001 20:46 schreef justin01 het volgende:
********* wil het bestand PIC1324(1)(1)(1)(1).exe (49 kB) naar je verzenden. De overdrachtstijd bedraagt minder dan 1 minuten met een 28k8-modem. Wil je de uitnodiging accepteren (Alt+T) of weigeren (Alt+D)?

Ik geopend en alle namen uit mijn lijst. Gewoon k*t. Msn virussen

Iemand uit mijn msn list heeft dit virus nu dus ook,
en is een beetje irritant chatten, als er elke 2 seconden gevraagd word of ik haar fotos wil zien.
Hoe moet zij dit virus verwijderen?

Misschien is het deze en dan staat erbij hoe je het moet verwijderen :
http://vil.nai.com/vil/virusSummary.asp?virus_k=99184

Op dinsdag 11 september 2001 14:31 schreef albundy33 het volgende:

[..]

Iemand uit mijn msn list heeft dit virus nu dus ook,
en is een beetje irritant chatten, als er elke 2 seconden gevraagd word of ik haar fotos wil zien.
Hoe moet zij dit virus verwijderen?

eerst met task manager uitzetten en dan in my documents/messenger files dat ding deleten (shift-delete)

Een nieuw virus dat gebruik maakt (misbruik maakt) van zowat iedere bekende IIS security hole: W32/Nimda@MM

Meer info hier

Onder andere verspreid via e-mail, de naam van het attachment schijnt te varieren, hoewel readme.exe als eerste gemeld is.
Ook verspreidt deze worm zich via websites op servers die geinfecteerd zijn. Door het bekijken van HTML pagina's op geinfecteerde servers kun je ook besmet raken!

Te verwijderen met de laatste update van je favoriete virusscanner, zorg er wel voor dat je ALLE bestanden scant, niet alleen executables.

Voor McAfee gebruikers

Mensen ik heb ff hulp nodig.

Sinds vanmiddag heb ik naar alle waarschijnlijkheid een virus op me computer. Ik heb zelf geen/weinig verstand van portsettings enz..

Wat er gebeurd is het volgende: als ik mijn computer opstart, begint allereerst me diskdrive te ratelen en vervolgens volgt mijn harde schijf. Na een minuut ratelen worden er in alle mappen op mijn computer willekeurige bestandsnamen geplaatst met de extensie *.uml

Iemand enig idee wat voor virus of trojan ik bezit?

Please help

edit: meest recente virusscanners kunnen nix vinden
en het verspreid zich momenteel ook over het netwerk hier thuis.

Wat heb je gedaan voordat het begon? Attachment geopend met een bepaalde naam? Iets anders dat je opviel? .uml bestanden alleen is niet genoeg info..

Hoe heten die uml bestanden dan? Boot eerst eens vanaf een floppy waarvan je weet dat ie clean is naar DOS mode.. Dan kun je eens rondkijken zonder dat je systeem op hol slaat..

Op dinsdag 18 september 2001 23:07 schreef TripleM het volgende:
Een nieuw virus dat gebruik maakt (misbruik maakt) van zowat iedere bekende IIS security hole: W32/Nimda@MM

Meer info hier

Onder andere verspreid via e-mail, de naam van het attachment schijnt te varieren, hoewel readme.exe als eerste gemeld is.
Ook verspreidt deze worm zich via websites op servers die geinfecteerd zijn. Door het bekijken van HTML pagina's op geinfecteerde servers kun je ook besmet raken!

Te verwijderen met de laatste update van je favoriete virusscanner, zorg er wel voor dat je ALLE bestanden scant, niet alleen executables.

Voor McAfee gebruikers

Nog meer info hier & hier

Op dinsdag 18 september 2001 23:17 schreef condense het volgende:
Mensen ik heb ff hulp nodig.

Sinds vanmiddag heb ik naar alle waarschijnlijkheid een virus op me computer. Ik heb zelf geen/weinig verstand van portsettings enz..

Wat er gebeurd is het volgende: als ik mijn computer opstart, begint allereerst me diskdrive te ratelen en vervolgens volgt mijn harde schijf. Na een minuut ratelen worden er in alle mappen op mijn computer willekeurige bestandsnamen geplaatst met de extensie *.uml

Iemand enig idee wat voor virus of trojan ik bezit?

Please help

edit: meest recente virusscanners kunnen nix vinden
en het verspreid zich momenteel ook over het netwerk hier thuis.

Weet je zeker dat het geen .eml is?
In dat geval is het w32.nimda.a@mm

zie http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

Het is iig een worm en het is share aware of net aware.
Daarmee zou je eens op google kunnen zoeken.

Jah het is eml, ik heb idd Nimda virus.... kheb nu norton de boel laten verwijderen en verdere instructies opgevolgd. Er worden nu geen *.eml bestanden meer neergezet en outlook start niet meer automatisch op, dus alle problemen zijn over.

Echter, als ik een attatchment verstuur naar iemand, dan wordt volgens hotmail, een unknown virus meegezonden.

Iemand enig id hoe ik ook daar vanaf kom. Norton heeft al een complete scan uitgevoerd en ik heb alle infected files gedelete.

Een van de dingen die Nimda doet is alle shares in het netwerk inclusief je HD op filesharing zetten.
Het zou kunnen dat iedereen van internet op je schijf kan schrijven. Er zijn een paar wormen die daar gebruik van maken, bv de vbs.sorry worm.

Een virus scanner kan dat niet ongedaan maken, want het kan niet weten of dat niet al de bedoeling was.
Dus check even je netwerk settings.
Of kijk op http://grc.com en volg de shieldsup link.

Kun je in de send box zien wat dat onbekende attachment is?

Ik heb ook wel eens gehoord dat hotmail een valse melding gaf. Het ging om iemand die via hotmail postte in een newsgroep en hotmail struikelde over een woord in de subject line.

hij zendt niet automatisch een attatchment mee, maar als je een attatchment mee zend, dan bevat die attatchment volgens hotmail een virus. Ik ga nu ff die shield site checken...

shields up:

Preliminary Internet connection refused!
Unable to connect with NetBIOS to your computer.

Dit lieve leuke virus heeft vandaag ons netwerk a 80 pc's platgelegd.

Het ging ongeveer zo.

9:15 BrammeS leest over virus en stuurt een waarschuwing naar alle gebruikers.

9:45 Gebruiker belt BrammeS met de melding dat er plotseling extra pictogrammen op zn desktop staan.

10:00 BrammeS constateerd een virus. waarschijnlijk nimda

10:30 Een 2de en een 3de gebruiker blijkt het virus te hebben, We besluiten de exchange server plat te gooien

11:15 Gebeld met Norman antivirus. Ze zijn bezig met een cleaner

12:00 Een 4de 5de en 6de besmeting wordt geconstanteerd.

12:15 BrammeS komt er achter dat het virus ook via superoffice wordt verspreidt. Onmiddelijk worden alle NT servers plat gegooid.

12:30Op de NT server zijn in userdirectory's al 4800 Bestanden verandert, gemuteerd.

Ik ben al lang blij dat de mensen konden doorwerken doordat onze SCO Unix database server nog draaide. Waar ons complete bedrijf a 80 PC's op vertrouwd.

Op woensdag 19 september 2001 22:11 schreef BrammeS het volgende:
12:30Op de NT server zijn in userdirectory's al 4800 Bestanden verandert, gemuteerd.

Ik kan het fout hebben maar volgens mij muteert dit virus geen gewone documenten, maar kopieert de naam en plaatst zichzelf in de nieuwe file. De origenelen blijven dus behouden.

Nog een extra link voor info

http://www.ca.com/virusinfo/virusalert.htm#win32.nimda.a

voor IE-gebruikers:

This is due to the "Incorrect MIME Header" vulnerability in Microsoft Internet Explorer 5.01 and 5.5. For a detailed description of this security hole and links to the appropriate patches, please visit:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Dit laatste was nog een antwoord op AirHead's vraag in dit reeds gesloten topic Nimda virus! :(((

Op woensdag 19 september 2001 23:47 schreef Plux het volgende:

[..]

Ik kan het fout hebben maar volgens mij muteert dit virus geen gewone documenten, maar kopieert de naam en plaatst zichzelf in de nieuwe file. De origenelen blijven dus behouden.

Nog een extra link voor info

http://www.ca.com/virusinfo/virusalert.htm#win32.nimda.a

voor IE-gebruikers:
[..]

Dit laatste was nog een antwoord op AirHead's vraag in dit reeds gesloten topic Nimda virus! :(((

Thnx for the assistance Vind ik wel tof, dat je hier ff verder gaat

Ik ben al bezig met upgraden van t park hier