Iemand die worm met DPC verspreid

Ik heb gisteren weer eens een standaard scan uitgevoerd en wat zie ik tot mijn grote verbazing. Tijdens het scannen vind da ding in 1 keer een worm die dnetc.exe lekker in mijn c:\windows neerzet. Nou op zich heel erg vreemd want ik gebruik calypso om te mailen dus die opent geen worms. Nu heb ik de mazzel dat mijn eigen koe al draaide dus die graast vrijwel geen blokjes maar ook dat die script-kiddie er geen rekening mee heeft gehouden dat windows 2000 ook kan draaien (dus dat ie em in winnt neer had moeten zetten). Overigens ik draai ME en 2K advanced server. Nu heb ik zelf ff zitten zoeken in het bestandje en kom ik een mail adres tegen. Mail adres opgezocht op d.net en t.net en daar kwam ik tot de interresante conclusie dat het een members is die sinds een tijdje steedsmeer blokjes inlevert en ook nog eens lid is van t.net/dpc.

Nou ga ik natuurlijk niet hier die persoon aanvallen waarom dat ie dat gedaan heeft ofzo maar na wat zoekwerk kwam ik uit op een stukje wat een tijdje terug geschreven is:

Currently, there are some known trojans being passed around. Many of the recent variants leverage the openness and connectivity of the Internet to actively look for weakly protected computers that can be remotely infected. Because of this new method of infection, computers can be infected without the user explicitly executing an infected program by themself. These computers (specifically Win9x machines) are infected not because of a specific operating system weakness, but because of a common mistake explicitly made by the user to share their entire hard-drive with full write access to anybody. This is roughly equivalent to leaving your front door completely unlocked.

Klinkt allemaal heel erg aannemelijk maar omdat ik windows 2000 draai heb ik er zelf voor gezorgd dat er niemand zomaar op mijn computer kan komen. Niet alleen de standaard beveiliging maar ook een leuke firewall die mijn computer beschermt van ftp-ende kindjes. Ook kan je er niet opkomen via de gedeelde bestanden want die zijn alleen intern gedeeld en niet extern (ook door de firewall nog eens een keer extra beveiligd).

Mijn vraag is wie weet hoe ik deze worm zelf kan vinden en hoe ik die knakker aan moet pakken.

Zou ik graag willen doen maar wat gebeurd er dan met die knakker want dat vind ik ook wel interresant

done... Niet het betreffende adres...

Dat kan ik begrijpen maar ik kan niet begrijpen hoe hij binnen is gekomen. Want juist omdat ik geen Outlook express gebruik ofzo wordt die worm niet via mail binnen gehaald dus moet het ergens anders gedaan zijn....

Ik heb hem zelf al een mailtje gestuurd maar krijg geen reactie er op (lijkt me logisch dat ie dat niet zou doen maar ja).

Nou dat mail adres staat er niet in maar ik heb die inderdaad al wel gevonden op de d.net site. Ik vind het alleen stront vervelend dat ze het wagen....

Staat er niet bij.... Maar zoals ik al zei de gebruiker is ook geregistreerd bij t.net dus "het is er 1 van ons"

Virus scanner gaf aan dat ik de worm W32.HLLW.Bymer had... in de dnetc.ini gekeken en stond niet het bymer mail adres in maar is wel degelijk een worm

Klopt maar niet als hij er 3 keer staat waarvan 1 keer van mij.

Het nadeel is wel dat het bestandje wininit.exe ook beschadigd was en daar zat ie op te mekkeren en toen zag ik dat dat iets met d.net te maken had dus ben ik het gaan uitzoeken. Maar dan nog als dat mail adres er bij mij op komt die komt niet zomaar dat moet buiten mij om gegaan zijn dus is hij zoiezo al strafbaar bezig.

* Felicia is dom geweest.

Had een klein config foutje gemaakt en daardoor is de betreffende worm er op gekomen. Dus inderdaad niet via mail maar door een cracker