Algemeen virus naslagwerk

W32.Nimda.Enc i.c.m
W32.Nimda.A@mm (dll)

is dus een andere dan de a t/m e versies?

en hier is niet specifiek een tooltje voor, voor de 'Enc' versie???

Ik beheer zelf zo'n "spam list" hierop komen de hele dag door zo'n 40 mailtjes binnen van badtrans. Al deze mailtjes worden automatisch geopend, maar gelukkig heb ik mac os.
Dit virus gaat echt in een rap tempo door.

Nu had ik nog 1 vraag, kan nimba op je pc komen via apache webserver?

Ok, kan iemand mij nou please helpen? I heb nog steeds lats van het badtrans virus.

Wat kan ik hier nu tegen doen? Momenteel heb ik geen virusscanner (STOM JA ) - als ik er een moet downloaden graag niet al een al te grootte. Ik heb nl. wanadoo calbe.

k, ik had ook dat badtrans (met de kernel32.exe) en nu heeft mijn pa Norton Antivirus 2002 gekocht (legaal ja ) en nu is het hopelijk opgelost, we zijn de bron (kernel32) iig kwijt en zijn er denk ik van af

thank god

Yow, net 5 gig aan .eml files gedelete, en dat waren 2 van de 5 pc's in huis dus kheb nog een paar gig te gaan

ik heb net ontdekt dat ik het loveletter virus heb, de helft van mn mp3's en zooi weg, maar daar gaat het niet om.
ik heb nu alles verwijderd, maar nu zijn de rest van mn mp3's en pics allemaal hidden files, opzich geen probleem maar ik kan ze niet veranderen in normale files. ik heb al verschillen programmas geprobeerd maar het wil niet lukken. weetiemand misschien wat de oorzaak hiervan is en evt. een oplossing? bvd.

Ik krijg ook regelmatig virusjes met mijn werk, maar echt last heb ik er nooit van. Gewoon een goede Antivirus en Firewall installeren lijkt me beter dan af te wachten tot je een virus hebt. En regelmatig de Liveupdate laten draaien voor het ophalen van nieuwe informatie. Dan heb je die rompslomp niet om die virussen weer te verwijderen. En mocht er toevallig een ander iemand op je computer aan het werk zijn dan krijgt deze ook meteen de melding dat het om een virus gaat die men aan het binnenhalen is.

Handige topic voor mensen die een virus hebben, maar waarom hebben jullie dan ook geen antivirus en firewall draaien?

Op woensdag 28 november 2001 01:33 schreef Master187 het volgende:
ik heb net ontdekt dat ik het loveletter virus heb, de helft van mn mp3's en zooi weg, maar daar gaat het niet om.
ik heb nu alles verwijderd, maar nu zijn de rest van mn mp3's en pics allemaal hidden files, opzich geen probleem maar ik kan ze niet veranderen in normale files. ik heb al verschillen programmas geprobeerd maar het wil niet lukken. weetiemand misschien wat de oorzaak hiervan is en evt. een oplossing? bvd.

Onderaan staat zefrjpg dat is het tooltje wat je daarvoor gebruiken kunt.
Alsi ik het goed heb is het gemaakt door Art Kopp, iemand die meewerkt aan die site. Er komt daar niets zonder testen en discussie vooraf.
http://www.claymania.com/nav-map.html

Ik kreeg ook 'n mailtje van Badtrans, toen ik die wilde openen werd er voorgesteld of ik een bij een file "run from location" of "save as" wilde doen.
Ik heb natuurlijk niet gerund, maar de werkelijke worm staat in de html van de mail, dus dan ben ik toch wel infected?
Heb net frontpage gelezen.
Ik kan kernel32.exe én kdll.dll beiden niet vinden (wel 2x skdll.dll)
Ik ga maar gauw een virusscanner installeren, maar kan iemand me uitleggen hoe het infecteren werkt?
Trouwens, ik gebruik IE 5.00.3315.1000
op http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp staat dat de patches geschikt zijn voor 5.01 en 5.5. Maar 5.0 dan??

Op woensdag 28 november 2001 09:21 schreef milouny het volgende:
.. kan iemand mij uitleggen hoe het infecteren werkt

zoals je al zei, het staat in de html.
Nu ben ik op het werk een beetje de virusspecialist en gebruiken daarom ook geen outlook.
Hoe het in zijn werk gaat:
Als je het virus binnenkrijgt (outlook) krijg je een preview te zien van het mailtje, dan al leest outlook de html code en infecteerd je pc met het virus.
Hierna probeert het elke .. minuten je keystrokes te verzenden. Ook verstuurd het virus zichzelf naar alle ongelezen berichten in je mailbox. Er wordt dan een reply verstuurd. In de reply staat verder nix, alleen 2 bestanden zijn aanwezig (bij ons dan) Als afzender van de reply staat jouw emailadres alleen met een _ voor je naam zodat je niet snel kan klikken om een reply te geven dat je een virus hebt.
die gozers die dit maken zijn echt per dag levert die virussen ons een data verkeer van 150mb op door de mailserver. Tevens krijgen de webservers de hele dag te maken met nimba.

denk dat je nu wel antwoord heb op je vraag

Op woensdag 28 november 2001 09:21 schreef milouny het volgende:
Ik kreeg ook 'n mailtje van Badtrans, toen ik die wilde openen werd er voorgesteld of ik een bij een file "run from location" of "save as" wilde doen.
Ik heb natuurlijk niet gerund, maar de werkelijke worm staat in de html van de mail, dus dan ben ik toch wel infected?
Heb net frontpage gelezen.
Ik kan kernel32.exe én kdll.dll beiden niet vinden (wel 2x skdll.dll)
Ik ga maar gauw een virusscanner installeren, maar kan iemand me uitleggen hoe het infecteren werkt?
Trouwens, ik gebruik IE 5.00.3315.1000
op http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp staat dat de patches geschikt zijn voor 5.01 en 5.5. Maar 5.0 dan??

Ik heb nu zeker al 10 van dat soort mailtjes gehad. Helemaal niets geen last van. Mijn Norton die pleurt alles netjes weg. Mag ik vragen waarom je dan geen Antivirus + Firewall hebt. In mijn ogen vraag je er om als je dat soort essenciele programmateur niet installeerd. Je hebt er niets geen last van, alleen maar voordeel lijkt me.

Voor mensen die met badtrans.B besmet zijn, er is nu een verwijder toooltje beschikbaar.
http://www.claymania.com/badtrans-b-removal-dutch.html

Voor badtrans.A was al een verwijder tool beschikbaar.

Ik heb um ook de W32.Badtrans.B@mm virus maar ben niet besmet. Heb gelukkig norton 2002.
Maar ik wou m'n mail ophalen dit lukte niet vanwege norton heb toen de email scan uit gezet daarna weer de mail opgehaald met dus dat W32.Badtrans.B@mm virus toch kwam norton gelijk weer tevoorschijn om het virus te blokkeren.
In het vervolg zet ik de email scan niet weer uit.

/me heeft trouwens een nieuwe variant gevonden van bad.trans
in die reply staat ----======ABC1234567890DEF======---


word er niet goed van, heb vandaag een record aantal gekregen, wel 103.
aangezien ik onder een mac werk heb ik geen last van dit virus, perdag gooi ik ze in een apart mapje met datum. kan ik precies zien hoeveel er die dag waren.
maandag: 54
dinsdag:23
vandaag dus 103

Op dinsdag 27 november 2001 16:54 schreef otaku-san het volgende:

[..]

Enc is hoe je virusscanner leverancier bepaalde dingen noemt. De extentie .dam betekent bij McAfee dat het om een damaged virus gaat.
Je zult op de site van je leverancier moeten zoeken wat zij ermee bedoelen.
Maar je gaf al aan dat er er sowieso nimda.A gedeteteerd was, dus dat tooltje moet je gebruiken. Niet die voor nimda.e, je hebt al gezien dat die niet werkte.

die nimda.enc is een virus geen backup van Virusscanner...maarja ik heb er ook niets van gevonden...heb maar format gedaan en als eerst virusscanner..en daarna orginele cd's en van de copy cd's nog niets...

Hey jongens, ik heb vandaag voor het eerst (ja je leest het goed) sinds ik een pc heb aangeschaft (ergens eind 1997) een virus gekregen. Jullie raden het all=> W32.Badtrans.B@mm Nu draai ik WinXP met IE6 en Oulook Express 6 en toen ik dat mailtje wilde openen kreeg ik de melding -> wil je het bestand opslaan (zo'n standaard ding die je altijd krijgt als je een bijlage wil opslaan in Outlook Ex.) Toen heb ik annuleren gedrukt! Ben ik nu besmet of niet? En klopt het dat Outlook Express 6 beveiligt is tegen virussen zoals W32.Badtrans.B@mm en Nimada die al te werkt gaan in de preview mode van Oulook Express??
BTW de hotmail mcafee scan vond geen virus in het *.mp3.pif bestand!!
Dus kortom, ben ik nu besmet of niet en is Outlook Express beschermt tegen zulk soort virussen?
Thnx

[edit]
En jongens, dat Kernel32.dll bestand, is dat niet een gewoon standaard Windows bestand? Volgens mij zit dat altijd al bij Windows?
[/edit]

ik heb sinds enkele dagen terug 141 virussen gehad op mijn harde schijf. Er was steeds zeer veel schijfactiviteit ook als ik niks deed. Nu heb ik die harde schijf opnieuw gepartitioneerd en geformatteerd en nu blijkt dat ik zo af en toe (om de seconde of zo) schijfactiviteit heb (lampje knipper zo beetje). Kan het zijn dat er nog een virus opstaat?? En hoe krijg ik het virus weg?? Want met norton antivirus wou het niet lukken . Wat kan dit zijn???

je virus krijg je weg als jij je pc boot met een schone diskette (deze beveiligd hebt tegen schrijven)

je pc (harddisk) op nieuw partitioneerd en dan eerst opnieuw start en dan gaat formatern

dat werkt best.

Ongeveer 2 paar dagen geleden is mijn upload-snelheid opeens veel minder geworden. Een webpage openen is al soms niet meer te doen en als het lukt dan is 'ie pas gereed na een hele poos
Ik heb kabel-internet dus de oorzaak zou kunnen zijn dat er gewoon te veel users zijn ingelogt maar ik vind het gewoon merkwaardig dat ik er vroeger (bijna) nooit last van had en nu plotseling sinds eergisteren internetten zeer irri is Daarom wil ik ook de mogelijkheid van een virus niet uitsluiten.
Weten jullie iets van een (recent) virus die dit kan aanrichten en weten jullie ook op het web ook een goede antiVirus-site?? Ik heb thuis Norton 2002 met de nieuwste virusdefinities (24nov.) maar ik kan geen infectie vinden.

Mijn symptomen in XP: geen enkele shortcut werkt meer, ook programma's starten niet meer via de explorer, ik kan wel internetten e.d. doordat de MAPPEN op de desktop wel werken (ik typ daar het adres gewoon in)

McAfee heeft dit virus gevonden en verwijderd: W32/SirCam@MM (4 files infected) kan het daat mee te maken hebben (ik kreeg het vlak erna...)

in file C:\WINDOWS\system32\SCam32.exe

verreweg de meeste programma's starten niet meer, alleen command.exe etc.. en de standaard windowsdingen, in het config scherm kan ie rundll32.exe niet vinden (is er nog gewoon), ook bij andere programma's komt ie met "cannot find..."

Op woensdag 28 november 2001 19:41 schreef jopiek het volgende:
Mijn symptomen in XP: geen enkele shortcut werkt meer, ook programma's starten niet meer via de explorer, ik kan wel internetten e.d. doordat de MAPPEN op de desktop wel werken (ik typ daar het adres gewoon in)

McAfee heeft dit virus gevonden en verwijderd: W32/SirCam@MM (4 files infected) kan het daat mee te maken hebben (ik kreeg het vlak erna...)

in file C:\WINDOWS\system32\SCam32.exe

verreweg de meeste programma's starten niet meer, alleen command.exe etc.. en de standaard windowsdingen, in het config scherm kan ie rundll32.exe niet vinden (is er nog gewoon), ook bij andere programma's komt ie met "cannot find..."

Ik, neem, aan, dat, je, bv, geen, word, applicatie, kan opstarten, maar als je dubbelklikt op een .doc dat word dan wel opstart.

Als dat het geval is, dan is de kans groot dat een virusscanner een trojan heeft verwijdert die zich bij het opstarten van een exe zich mee laat laden door een registry key te wijzigen. Als die verwijdert is, geeft windows de melding dat die die applicaite niet kan vinden.
Op de naam moet je in de registry zoeken en alleen die naam verwijderen.
Anders kan je een kijken oop http://resource.at/virus onder registry tweaks.
ALs je geen exe's kan opstarten dan is er een truk om toch regedit.exe op te starten, nml eerst de extentie wijzigen in .com

Suc6

W32/BadTrans.b-worm

Jaha mijn inbox teller staat al op 4

meer info over het virus:http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=2608

Op woensdag 28 november 2001 20:01 schreef otaku-san het volgende:

[..]

Ik, neem, aan, dat, je, bv, geen, word, applicatie, kan opstarten, maar als je dubbelklikt op een .doc dat word dan wel opstart.
Suc6

Idd, jij en Outrospective schoten in de roos... die rename is idd ook erg handig, hij zet er echter direct weer een regedit.exe bij (ook vaag dus...) maar ik kan in de registry... op de mcafee site stond een removal tool... Ik heb toch wel MacAfee en deze is ook up-to-date

Op woensdag 28 november 2001 19:45 schreef Outrospective het volgende:

Let op, het gaat om kernel32.exe. Je hebt gelijk als je zegt dat kernel32.dll gewoon standaard bij windows hoort. Die zou ik dus ook maar niet verwijderen.

Hey man hartstikke bedankt, stom van me dat ik dat zelf niet gezien heb!
BTW ik heb het virus dus niet!

Op woensdag 28 november 2001 20:09 schreef markvt het volgende:
W32/BadTrans.b-worm

Jaha mijn inbox teller staat al op 4

meer info over het virus:http://clinic.mcafee.com/clinic/ibuy/campaign.asp?cid=2608

kewl die kreeg ik net ook van mn werkgroepleidster

een of andere screensaver

Naja gelukkig niet geopend dus tjah

Op woensdag 28 november 2001 11:47 schreef PowerCow het volgende:

[..]

zoals je al zei, het staat in de html.
Nu ben ik op het werk een beetje de virusspecialist en gebruiken daarom ook geen outlook.
Hoe het in zijn werk gaat:
Als je het virus binnenkrijgt (outlook) krijg je een preview te zien van het mailtje, dan al leest outlook de html code en infecteerd je pc met het virus.
Hierna probeert het elke .. minuten je keystrokes te verzenden. Ook verstuurd het virus zichzelf naar alle ongelezen berichten in je mailbox. Er wordt dan een reply verstuurd. In de reply staat verder nix, alleen 2 bestanden zijn aanwezig (bij ons dan) Als afzender van de reply staat jouw emailadres alleen met een _ voor je naam zodat je niet snel kan klikken om een reply te geven dat je een virus hebt.
die gozers die dit maken zijn echt per dag levert die virussen ons een data verkeer van 150mb op door de mailserver. Tevens krijgen de webservers de hele dag te maken met nimba.

denk dat je nu wel antwoord heb op je vraag

joo, bedankt
maar ik kan die files én de regkey dus niet vinden... dus het lijkt erop dat ik niet geinfecteerd ben. Maar da's vreemd, want ik ben slecht beveiligd.

Op woensdag 28 november 2001 13:59 schreef GerwinPrins het volgende:

[..]

Ik heb nu zeker al 10 van dat soort mailtjes gehad. Helemaal niets geen last van. Mijn Norton die pleurt alles netjes weg. Mag ik vragen waarom je dan geen Antivirus + Firewall hebt. In mijn ogen vraag je er om als je dat soort essenciele programmateur niet installeerd. Je hebt er niets geen last van, alleen maar voordeel lijkt me.

Tuurlijk vraag maar raak, geen probleem
Eigenlijk is het er gewoon niet van gekomen.
Ik heb geen firewall omdat ik nooit de moeite genomen heb om die te installeren (zijn volgens mij wel gratis he?) en geen virusscanner omdat ik... tja... waarom niet eigenlijk?
ik heb niet zo veel zin om 90 piek voor mcafee te dokken, waarschijnlijk ga ik mij vergrijpen aan een crack ofzo.

Heeft iemand trouwens al een removal tooltje gevonden voor het badtrance.B@M virus?

Gaat met zo een tooltje sneller dan handmatig

/me is te lui om 3 stappen uit te voeren

Op woensdag 28 november 2001 14:36 schreef otaku-san het volgende:
Voor mensen die met badtrans.B besmet zijn, er is nu een verwijder toooltje beschikbaar.
http://www.claymania.com/badtrans-b-removal-dutch.html

Voor badtrans.A was al een verwijder tool beschikbaar.

Eh... De vorige pagina??

Op donderdag 29 november 2001 13:26 schreef Rafthor het volgende:
Heeft iemand trouwens al een removal tooltje gevonden voor het badtrance.B@M virus?

Gaat met zo een tooltje sneller dan handmatig

/me is te lui om 3 stappen uit te voeren

Op donderdag 29 november 2001 13:50 schreef Outrospective het volgende:

[..]

Eh... De vorige pagina??
[..]

je was mee voor had de quote al gecopied..

soz

zag dat replietje ff over het hoofd. Komt denk ik doordat ie maar 2 regels is. Had geen tijd om alle pagina's gedetaileerd door te lezen. Deze viel niet direct in het oog.

Kan iemand me vertellen hoe ik dat badtrans virus door norton antivirus tijdens het download gewoon kan laten verwijderen? Norton gaat nu fijn inkomende mailtje scannen maar doet er niks mee. Pas bij het openen van virusmailtjes zegt norton er pas wat van maar dan krijg je zo'n popup festijn. Ik wil dat norton die dingen bij het downloaden gewoon wist. Nou moet ik me per email door de norton en outlook popups heen worstelen om het mailje te verwijderen. Ik heb autoprotect aanstaan en opgegeven dat als er een virus gevonden wordt, het virus hersteld moet worden of anders in quarantaine gezet moet worden, maar dat gebeurt dus niet. Iemand enig idee?

Ik zat ook aan de mailrules te denken om het mailtje automatisch weg te laten gooien. In outlook express 6 kun je echter met de mailrules niet instellen dat een mailtje automatisch weggemikt kan worden. Je kunt niet opgeven dat een mailtje _alleen_ re: in het subject _moet_ hebben (alleen contains en dan wordt er dus ook normale reply mailtjes weggegooid), je kunt niet opgeven dat een email adres met underscore _moet_ beginnen (alleen hele email adressen), je kunt niet opgeven dat het mailtje html mail _moet_ zijn, je kunt niet opgeven dat alles met een iframe weggegooid moet worden (contains iframe in de message detecteert hij blijkbaar niet). Als iemand wel een manier weet, dan hoor ik dat graag.

Ik heb nu maar een 30 dagen van mcafee gedownload om eens te testen of die wel de mail op de een of andere manier vanzelf weg kan krijgen. Het instellingen venster ziet er al goed uit. Nou even wachten op een virus. NEEEE nou niet opeens allemaal een virus gaan sturen om behulpzaam te zijn

Op vrijdag 30 november 2001 00:23 schreef walgaard het volgende:
Kan iemand me vertellen hoe ik dat badtrans virus door norton antivirus tijdens het download gewoon kan laten verwijderen? Norton gaat nu fijn inkomende mailtje scannen maar doet er niks mee. Pas bij het openen van virusmailtjes zegt norton er pas wat van maar dan krijg je zo'n popup festijn. Ik wil dat norton die dingen bij het downloaden gewoon wist. Nou moet ik me per email door de norton en outlook popups heen worstelen om het mailje te verwijderen. Ik heb autoprotect aanstaan en opgegeven dat als er een virus gevonden wordt, het virus hersteld moet worden of anders in quarantaine gezet moet worden, maar dat gebeurt dus niet. Iemand enig idee?

Ik zat ook aan de mailrules te denken om het mailtje automatisch weg te laten gooien. In outlook express 6 kun je echter met de mailrules niet instellen dat een mailtje automatisch weggemikt kan worden. Je kunt niet opgeven dat een mailtje _alleen_ re: in het subject _moet_ hebben (alleen contains en dan wordt er dus ook normale reply mailtjes weggegooid), je kunt niet opgeven dat een email adres met underscore _moet_ beginnen (alleen hele email adressen), je kunt niet opgeven dat het mailtje html mail _moet_ zijn, je kunt niet opgeven dat alles met een iframe weggegooid moet worden (contains iframe in de message detecteert hij blijkbaar niet). Als iemand wel een manier weet, dan hoor ik dat graag.

Ik heb nu maar een 30 dagen van mcafee gedownload om eens te testen of die wel de mail op de een of andere manier vanzelf weg kan krijgen. Het instellingen venster ziet er al goed uit. Nou even wachten op een virus. NEEEE nou niet opeens allemaal een virus gaan sturen om behulpzaam te zijn

Ik heb geen problemen met Norton hij pleurt alles netjes in de de quarantine. Ik krijg wel een melding dat Norton een Virus gevonden heeft, maar tracht dan meteen het ding te herstellen, dit krijg in in een dialoogvenster, daarna gaat ie in de quarantine. Dit gebeurd dus bij het ophalen van mail, niet als ie binnen is, dan is het in mijn ogen te laat. Heb de optie mail scannen aangezet. Misschien is dat niet helemaal goed ingesteld? Welke Norton heb je by the way?

Helemaal mee eens, dat wil ik dus ook. Ik gebruik Norton 2002.

Dit zijn dus mijn instellingen in Norton:

Screenshot 1
Screenshot 2

Lijkt me niks mis mee toch? Hij gaat wel scannen als er mail binnenkomt, maar hij _doet_ er dus nix mee.

Op vrijdag 30 november 2001 00:51 schreef walgaard het volgende:
Helemaal mee eens, dat wil ik dus ook. Ik gebruik Norton 2002.

Dit zijn dus mijn instellingen in Norton:

Screenshot 1
Screenshot 2

Lijkt me niks mis mee toch? Hij gaat wel scannen als er mail binnenkomt, maar hij _doet_ er dus nix mee.

Lijkt inderdaad ok, maargoed ik draai Norton 2001. Misschien is 2002 op dit gebied gewoon iets minder geworden? Iemand anders misschien de oplossing?

probeer deze eens.
http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.html

Er staan daar ook links naar windows patches.
Die toepassen voorkomt herbesmetting.

Op http://resource.at/virus staat onder software/ removal tools van verschillende leveranciers tooltjes voor het verwijderen van hetzelfde virus.

Op vrijdag 30 november 2001 20:30 schreef otaku-san het volgende:
probeer deze eens.
http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.html

Er staan daar ook links naar windows patches.
Die toepassen voorkomt herbesmetting.

Op http://resource.at/virus staat onder software/ removal tools van verschillende leveranciers tooltjes voor het verwijderen van hetzelfde virus.

thnx, maar dit is niet de goeie, die werkt niet.
ik heb het over een I-WORM.NIMDA.e

Op vrijdag 30 november 2001 20:45 schreef LindaVanKessel het volgende:

[..]

thnx, maar dit is niet de goeie, die werkt niet.
ik heb het over een I-WORM.NIMDA.e

Er zijn naam conventies over het aanduiden van malware.
Niet iedere company noemt ze echter echt hetzelfde en soms krijgen ze een meer algemene naam zoals I-worm.nimda.E
Het is echt wel dezelfde hoor als die waar dat tooltje voor is.

Op vrijdag 30 november 2001 20:54 schreef otaku-san het volgende:

[..]

Er zijn naam conventies over het aanduiden van malware.
Niet iedere company noemt ze echter echt hetzelfde en soms krijgen ze een meer algemene naam zoals I-worm.nimda.E
Het is echt wel dezelfde hoor als die waar dat tooltje voor is.

hmz..
maar het tooltje vind ze niet, terwijl de virusscanner ze wel vind..

Mischien heeft de virus scanner ze verplaatst?
En8 je bent nu beschermd tegen deze worm.


Deze gebruikte de truc waarmee nimda erg succesvol mee was ( ik heb het nu over badtrans) en op zijn plaats net zo succccesvol.


De reden is dat getroffenen zo gefocussed zijn op verwijdering, dat ze compleet vergeten ,om zich af te vragen waarom ze geïnfecteerd zijn.
En als er updates zijn, die de huidige worm detecteerd, wat heb je eraan als er een nieuwe worm komt die van hetzelfde gat gebruik maakt.

Het updaten van windows security patches is net zo belangrijk als het updaten van je virus definitie files.

Dat was wat Badtrans was all about, nimda was een succes dankzij een windows veiligheidslek.
De schrijver ging ervan uit dat de slachtoffers vasn de nimda worm gee veiligheidspatch zouden activeren of downloaden. Hij had gelijk, de meeste slaqchtoffers van malware denken niet verder en de meesten die hun advies geven evenmin.

Laat staan dat er gebruikers bestaan die verstandig advies opvolgen. Die formateren liever en installeren liever opnieuw Windows met de default meest onveilige settings en laten na security updatges te doen, zodat ze in no time opnieuw besmet worden door een virus en weer opnieuw beginnen.

Aps je getroffen wordt door een virus, vraag je altijd af, hoe dat mogelijk was.
Zoek informatie over dat ding.
Soms is het je eigen stomme schuld, je hebt ergens op gedubbelklicked. Soms is het door een M$ security lek en dat moet je dan onmiddelijk patchen.

Want ook al heb je up to date AV software, het beschermt je niet tegen nieuwe malware, de patches beschermt je wel tegen hergebruik van oude trucs.

Grtz

Door hensdesk - zaterdag 01 december 2001 12:20

--------------------------------------------------------------------------------
ik wilde vandaag een binnenkomend e-mail bericht openen van MSN (hotmail-bericht).
meteen begint mijn virusscanner te roepen dat ik een virus op de computer heb gekregen.
het bewuste virus wordt js.trojan.dlode genoemd.
herkent iemand dit virus en weet iemand wat dit virus inhoud of is het misschien een vals virusmelding.
ik heb al een paar keer eerder deze melding gekregen en iedere keer staat het in verband met MSN.
mijn virusscanner is van Kaspersky.
en ja ik heb de search gebruikt en al op diverse sites gekeken of het virus bekend is, maar ik kan het virus niet vinden onder de bewuste naam (daarom denk ik aan een valse melding OF het is een heel nieuw virus)
het virus zat in de deze directory: c:\windows\temp\asic_temp.html
WIE??

Op zaterdag 01 december 2001 17:31 schreef hensdesk het volgende:
Door hensdesk - zaterdag 01 december 2001 12:20
heel lang verhaaltje
WIE??

ikke, ikke ikke +<:)>

het lijkt erop dat er in het email bericht een html pagina is opgemaakt met daarin een javascript trojan. Deze javascript probeert hij te openen.

Als er een mailtje aankomt met alleen RE: dan is het dus BadTrans.

Ik heb zo'n mailtje gehad en geopend.
Ik heb geen voorbeeldweergave aan staan.
Toen ik dubbelklikte om het mailtje te openen vroeg ie of ik het bestand wilde openen vanaf locatie of wilde opslaan.
Ik heb annuleren gedrukt.

Ben ik nu ook besmet of niet

Op maandag 03 december 2001 17:10 schreef DEM0N het volgende:
Als er een mailtje aankomt met alleen RE: dan is het dus BadTrans.

Ik heb zo'n mailtje gehad en geopend.
Ik heb geen voorbeeldweergave aan staan.
Toen ik dubbelklikte om het mailtje te openen vroeg ie of ik het bestand wilde openen vanaf locatie of wilde opslaan.
Ik heb annuleren gedrukt.

Ben ik nu ook besmet of niet

het is een reply en als er een bijlage is met een dubbele extensie, en een reply adres met een _ ervoor mag je er van uit gaan dat het bad.trans is.
of je besmet >> zoek naar kernel32.exe. zo ja, kijk dan ff op de vorige pagina's hoe je hem kan verwijderen.

Nee.
Zie http://www.incidents.org/diary.php?id=90

Als je gekozen had voor save to disk , dan was je wel de klos, want dan wordt de code zonder verdere vragen uitgevoerd.

Op maandag 03 december 2001 13:19 schreef Ground_Zero het volgende:

[..]

ikke, ikke ikke +<:)>

het lijkt erop dat er in het email bericht een html pagina is opgemaakt met daarin een javascript trojan. Deze javascript probeert hij te openen.

nog bedankt voor het reageren.
maar is het nu een nieuw virus? of iets wat daar op lijkt, aangezien geen enkele viruslijst hem kent.
zelfs de viruslijst van kaspersky kent hem niet, maar komt toch met een naam van het trojan. vreemd....
maar kan ik hiervoor een patch downloaden of javascript uitzetten.
ik heb inmiddels wel zonealarm pro geinstalleerd en nu is het afwachten of we nog meldingen binnenkrijgen.

na, een echte patch ofzo heb ik nog niet gezien, maar het doet me heel sterk vermoeden dat het dus een javascript is aan de js. die ervoor staat

Zo'n javascript file heeft om een trojan te droppen het filesystem.object nodig. Er is al een tijden een patch die filesystem tot een niet veilig voor scripting maakt.
Zonder die patch kan er zonder enige waarschuwing op je schijf geschreven worden.

Verder is het belangrijk goed na te denken over wat je in je gekozen security zone wil toelaten. Zelf kies ik voor prompt voor alles wat niet alles veilig voor scripting staat. Het voordeel is, als er activeX melding komt kan ik nee zeggen en vervolgens in de code kijken waar het nou om gaat. Microsoft vermeld helaas nooit om welk activeX object het gaat. Dan kan ik alsnog via F5 ervoor kiezen om toestemming te verlenen.

Maar windows update is sterk aan te raden om je te beschermen tegen dit soort scriptjes.

Op vrijdag 30 november 2001 13:51 schreef GerwinPrins het volgende:

[..]

Lijkt inderdaad ok, maargoed ik draai Norton 2001. Misschien is 2002 op dit gebied gewoon iets minder geworden? Iemand anders misschien de oplossing?

Ligt niet aan die 2002 hoor hij doet het hier ook vantevoren met NAV 2002

NAV 2002 is zelfs beter geworden in e-mail scan want voor zover ik weet kan je niet de uitgaande mail scannen met NAV 2001 ( toch ), en dat kan wel met NAV 2002

Er zit dus iets anders fout...

Omdat het schijnbaar weer nodig was om het vorige topic te sluiten (*kuch*) zet ik hem hier maar neer...
(IN DE HOOP DAT IEMAND HIER OOIT IN KIJKT)


Goed het gaat dus om het volgende :

[topic=340587/1/25]

Als er iemand meer info over heeft, graag...

.SCR heeft de zelfde rechten als .EXE rename maar eens een exe bestand naar .scr

Op dinsdag 04 december 2001 16:10 schreef djexplo het volgende:
.SCR heeft de zelfde rechten als .EXE rename maar eens een exe bestand naar .scr

verrek ja!

Vraagje aan de mensen moderators:
Ik snap dat jullie niet honderden verschillende topics over virussen in [SA] willen hebben, maar waarom moet er dan zo'n gigantisch algemeen virus topic gemaakt worden, ik vind die ontzettend lange topics nou niet echt handig ofzo.
Is het niet handiger om steeds per 255 berichten ofzo (1 pagina als je max. berichten per pagina hebt) een nieuw Algemeen virus topic deel zoveel te openen?

Maakt het ook dingen "kapot"?
Ik bedoel worden er bijvoorbeeld bestanden van je compu afgegooid?

Op dinsdag 04 december 2001 16:33 schreef Deady het volgende:
Maakt het ook dingen "kapot"?
Ik bedoel worden er bijvoorbeeld bestanden van je compu afgegooid?

HOE IST!

denk je dat ik dat ga uitproberen

Neej gewoon vraagje

Op dinsdag 04 december 2001 16:40 schreef Deady het volgende:
Neej gewoon vraagje

moet je hem ook hebben?

kan hem wel ffkes doorsturen

JA! (klinkt gek maar ben altijd benieuwd!! (gungan@hawaii.com)

Op dinsdag 04 december 2001 16:42 schreef Deady het volgende:
JA! (klinkt gek maar ben altijd benieuwd!! (gungan@hawaii.com)

verzonden

Tnx

Information about GONE.SCR virus
Sophos has received reports about an in-the-wild email-aware virus which uses the filename GONE.SCR (thus suggesting it is a screensaver).


Subject: Hi
Message text:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

Attached filename: GONE.SCR


Sophos researchers are analysing the virus (known as W32/Goner-A, I-Worm.Goner or Gone), and will issue an IDE update if required. Sophos recommends customers subscribe to our email notification service for information about new in-the-wild viruses.
Furthermore, Sophos recommends customers practise safe computing and block dangerous filetypes such as SCR, EXE and VBS at their email gateways.




BRON: Sophos.com

is dus gloednieuw!!!

Oei is nie mooi!!!!!!!!!!!!!!!!! Gelukkig nog nie geopend!

Nog ff over die .scr extentie.
Dat staat voor screensaver en kan een .exe .dll .com file bevatten misschien nog wel meer maar windows probeert iig de file dus direct uit te voeren!
Ofwel toevoegen aan je lijst met "gevaarlijke" extenties!

w00000t!

Binnen KPN nu ook mass-mailing virus W32/Goner!! Net op de dag dat ik late dienst heb!

Vanaf 16.57 50 mails al binnen met virus (á 42kb).

We hebben hier McAffee datfiles versie 4173, en deze herkent het virus _NIET_ !!!!

Nog erger: de online McAfee scanner herkent 'm ook niet.

Inderdaad!
Virussen stromen binnen hier....
Mcafee heeft het niet eens op hun site staan.
Heb in exchange alle .exe .vbs .pif en ook o.a. .scr's geblocked want dit is bagger natuurlijk!
Meer info op http://www.antivirus.com

Het virus doet gelukkig niet zoveel volgens mij...
Alleen effe een reg key terugveranderen en een evt. Remote.ini deleten.

Maar misschien doet het virus meer, maar weten ze dat nog niet. (hij stuurt zichzelf ook door, dus ik vrees dat hij veel meer doet dan word gedacht op het moment)
Het zal hetzelfde izjn als toendertijd met het Iloveyou-virus dus opletten geblazen en internet in de gaten houden over de laatste info over het virus.

Oke...vandaag vanaf 15.30 ook zeer grote paniek binnen Essent (waar ik dus werk) ....

oh denneboom, wat roeleerd MDaemon


lekker virusscan bij elk mailtje..

btw: wil iemand met virus m ff mailen ?? laptop@boeve.org
wil weten of ie m afvangt hier.

zoniet, jammer dan, laptop heeft toch IE6, en leeg adresboek

let nu opzettend op nu net mijn hachie kunnen redden:

A new variant of Badtrans has been discovered, referred to as Badtrans.b. AVERT has raised the Risk Assessment on this variant of W32/Badtrans@MM to High Risk for Consumers. We have received many reports from the home users that they have become infected. It is believed that failure to update recently has caused this increase in occurrence.
VirusScan and other McAfee products with DAT files 4172 and higher are protected from this variant.

W32/Badtrans@MM is a mass-mailing worm that drops a remote-access Trojan. The virus arrives via email in Microsoft Outlook and attempts to send itself by replying to unread email messages. The email may contain the text "Take a look to the attachment" in the message body and will contain an attachment that is 13,312 bytes in length. The attachment name is created from three sections.

The first part is chosen from the possibilities:
fun
Humor
docs
info
Sorry_about_yesterday
Me_nude
Card
SETUP
stuff
YOU_are_FAT!
HAMSTER
news_doc
New_Napster_Site README
images
Pics


The second part is chosen from the possibilities:

.DOC.
.MP3.
.ZIP.

and the last part from the possibilities:

pif
scr

Once running, the Trojan attempts to mail the victim's IP Address to the author. Once this information is obtained, the author can connect to the infected system via the Internet and steal personal information such as usernames, and passwords. In addition, the Trojan also contains a keylogger program which is capable of capturing other vital information such as credit card and bank account numbers and passwords.

mm...

www.centralcommand.com

Status staat nu op HIGH risk

Question
What is Win32.Goner.A@mm?

Answer
This virus can be stopped

Manually removing a infection from your computer can put your data at risk for damage that may or may not be recoverable. Central Command strongly recommends that you backup all of your data prior to attempting to remove an infection or repair any damage causes by a infection.


Details:
---------
Name: Win32.Goner.A@mm
Aliases: I-Worm.Goner, Win32.Gone.A@mm
Type: Internet Worm (mass mailer)
Size: ~39KB
Risk: High
ITW: Yes


Description:
--------------
Win32.Goner.A@mm is a mass mailing Internet worm that is spreading through e-mail.

The worm spreads via e-mail, and an infected message appears as follows:

Subject: Hi
Body:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Attachment gone.scr

If executed, the worm copies itself in the \windows\%system% directory under the filename "gone.scr". To make sure that it gets executed each time a user restarts their computer the following registry key gets added:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"C:\\WINDOWS\\SYSTEM\\gone.scr"="C:\\WINDOWS\\SYSTEM\\gone.scr"

Besides for displaying the two images [shown below], Win32.Goner.A@mm will also check and end a few anti-virus and firewall applications within the hard drive [ie. avp32.exe, zonealarm.exe].


It sendŽs itself via e-mail through Microsoft Outlook and through ICQ with the attachment: GONE.SCR

Fijn.. rondmailen, je viruskenner/firewall uitzetten, en rondmailen, maar ook via ICQ

Heeft ICQ eik ook van die auto-execute bugs? zoja, dan moet ik mn icq ff updaten zo nee.. jammer dan, dan boeit t nie

Kijk op voor meer info op :

De McAfee website of op NU.nl.

En weer komen wij er goed vanaf.
Langleve de mac . Maar het is geen pretje, ben op dit moment de mailserver aan het configgen om al die zooi te verwijderen. Het levert nog al niet wat dataverkeer op
Gister belt er weer 1 op, we hebben een virus, kom ik bij de klant, alles maar dan ook alles besmet. Heeft u een virusscanner? Nee, super groot bedrijf met de nieuwste pc's maar geen geld om ff een virusscanner aan te schaffen

Op dinsdag 04 december 2001 17:30 schreef MetHod het volgende:
w00000t!

Binnen KPN nu ook mass-mailing virus W32/Goner!! Net op de dag dat ik late dienst heb!

Vanaf 16.57 50 mails al binnen met virus (á 42kb).

We hebben hier McAffee datfiles versie 4173, en deze herkent het virus _NIET_ !!!!

Nog erger: de online McAfee scanner herkent 'm ook niet.

er was wel een extra.dat file beschikbaar en die werktte goed. intussen is de nieuwe update ook uit (4174) en goner wordt nu wel herkent...

ik schat ongeveer 8000 virussen door de mta (4000 delivered maar mbv on demand scan die ook in quarantaine gezet)

misschien dringt het nu wel tot de grijze massa van de klant door dat op extensie blokken noodzakelijk is!!!!! (alle extensie worden doorgelaten, want het is zo'n gedoe als je een exe op wilt sturen

* Het Databeest heeft nu ook al 2 keer in 2 dagen dat SRC virus gekregen... en AVP houd niks tegen.

_{blijk baar ben ik slimmer dan een virusscanner!}

OK mensen , ik heb hier even een vraag : toen ik het programma CPUCool van zdnet downloade, kreeg ik van Mcafee een virusmelding, hij had "new win32.a" gevonden in cpucool.exe . Toen heb ik een e-mail naar zdnet gestuurd, maar die zegt nix te kunnen vinden met NAV Hij dacht dat het virus van mij was! (voor de duidelijkheid : ik heb dus geen virus)
Kan iemand het even checken, dit is de download page op zdnet : http://www.zdnet.com/downloads/stories/info/0,10615,47051,00.html

Alvast bedankt voor de moeite

PS : Mcafee DAT 4.0.4173 met engine 4.1.60

Op woensdag 05 december 2001 12:09 schreef betweter het volgende:

[..]

er was wel een extra.dat file beschikbaar en die werktte goed. intussen is de nieuwe update ook uit (4174) en goner wordt nu wel herkent...

ik schat ongeveer 8000 virussen door de mta (4000 delivered maar mbv on demand scan die ook in quarantaine gezet)

misschien dringt het nu wel tot de grijze massa van de klant door dat op extensie blokken noodzakelijk is!!!!! (alle extensie worden doorgelaten, want het is zo'n gedoe als je een exe op wilt sturen

Kon gister helaas niet meer posten hierover omdat de internet gateway tijdelijk uit de lucht was ivm met het virus W32/Goner.

Binnen 40 minuten na uitbraak (16.57) hadden we de extensie *.scr op alle Exchange servers (143 stuks ) geblokt. Alle al verstuurde emails zijn in dat uur daarna alsnog gescand op *.scr extensies.

Ik heb me nog niet eerder in e-mail virussen hoeven te verdiepen; ze waren allemaal wel met het blote ook te spotten.

Maar nu ben ik al meerdere malen een virus tegengekomen dat een oud mailtje van een kennis replyed en zodra je 'm aanklikt installed ie wat (of runned, whatever).

Hoe heet dit virus? Dan kan ik gericht zoeken

iedereen die een virus heeft.. wil je hem dan sturen naar virusje@dolfijn.nl ?? tnx

ik gebruik Norton Antivirus! vanochtend kreeg ik een virus in een *.scr file. Norton ging direct poepen! en heeft email direct verwijdert! ik ben tevreden over Symantec!

Op woensdag 05 december 2001 14:46 schreef DJSmiley het volgende:

[..]

wrom installeer je geen antivirus voor echange op die bakken???
scheelt een hoop ellende

Die zit er uiteraard op (InterScan) maar die pakte het virus helaas nog niet, dus pas je ff een goed werkende bijlagen filter toe.

Op woensdag 05 december 2001 14:45 schreef DJSmiley het volgende:

[..]

AVP (update 4 december): geen virus gevonden.
MDaemon (mailserver): ook nix gevonden.

OK, dit is dus heel raar...ik heb de Mcafee monitor uitgezet, de file uitpak in een dir. Toen ik dus ging virusscannen, vond ie nix

Dit begrijp ik dus ff niet, met of zonder heuristics maakt dus nix uit

Op woensdag 05 december 2001 14:27 schreef Glacier het volgende:
OK mensen , ik heb hier even een vraag : toen ik het programma CPUCool van zdnet downloade, kreeg ik van Mcafee een virusmelding, hij had "new win32.a" gevonden in cpucool.exe . Toen heb ik een e-mail naar zdnet gestuurd, maar die zegt nix te kunnen vinden met NAV Hij dacht dat het virus van mij was! (voor de duidelijkheid : ik heb dus geen virus)
Kan iemand het even checken, dit is de download page op zdnet : http://www.zdnet.com/downloads/stories/info/0,10615,47051,00.html

Alvast bedankt voor de moeite

PS : Mcafee DAT 4.0.4173 met engine 4.1.60

NAV2002 met alle updates van dit moment(5min geleden).
No infected files
Dus ik denk dat Mcafee een beetje zenuwachtig is.

OK, heel fijn, maar hoe kan ik dit oplossen dan (en ik bedoel met Mcafee, dus niet zeggen dat ik NAV moet installeren )?
Ik ga hem dus niet uitzetten, want je zult zien dat ik dan wel iets oploop....

Edit : Zijn er trouwens ergens rescue disks ofzo te krijgen die ik ff kan loslaten op mijn systeem?

Op woensdag 05 december 2001 16:51 schreef Goten het volgende:
iedereen die een virus heeft.. wil je hem dan sturen naar virusje@dolfijn.nl ?? tnx

zodat jij ze nadat wij ze allemaal hebben uitgeroeid weer kan gaan versturen, ik dacht het niet.
van jullie mensen ga ik als systeembeheerder echt

Op woensdag 05 december 2001 14:27 schreef Glacier het volgende:
OK mensen , ik heb hier even een vraag : toen ik het programma CPUCool van zdnet downloade, kreeg ik van Mcafee een virusmelding, hij had "new win32.a" gevonden in cpucool.exe . Toen heb ik een e-mail naar zdnet gestuurd, maar die zegt nix te kunnen vinden met NAV Hij dacht dat het virus van mij was! (voor de duidelijkheid : ik heb dus geen virus)
Kan iemand het even checken, dit is de download page op zdnet : http://www.zdnet.com/downloads/stories/info/0,10615,47051,00.html
Alvast bedankt voor de moeite

PS : Mcafee DAT 4.0.4173 met engine 4.1.60

Gescanned met Mcafee DAT 4.0.4175 met engine 4.1.60. Nix gevonden (Mcafee 4.5.1 client)

Nog effe een linkje met wat info:

http://vil.nai.com/vil/virusSummary.asp?virus_k=99272

Ja, die heb ik gezien. Ze waren lekker op tijd met die update. (NOT!) Toen Sophos al een update had, en Norton al informatie had op hun website wist Mcafee nog van nix toen we belde.

Op donderdag 06 december 2001 10:56 schreef Aeon het volgende:
Ja, die heb ik gezien. Ze waren lekker op tijd met die update. (NOT!) Toen Sophos al een update had, en Norton al informatie had op hun website wist Mcafee nog van nix toen we belde.

McAfee was traaggg