[Virus/worm] W32/Sobig.F@mm *

elephtera schreef op 19 August 2003 @ 13:47:
gewoon zorgen voor een goede virus scanner. dan zou het virus zich al niet kunnen verspreiden of kwaad kunnen doen. en als je nou ook zorgt voor de goede updates dan word het virus geidentificeerd.

TheBoneCollector schreef op 19 augustus 2003 @ 13:50:
kreeg de melding ook net, evenals Welchi.
Norton had hier gister een update voor.

August 19, 2003 August 19, 2003

i know maar ja updates zijn nog niet uit he..

[ Voor 18% gewijzigd door Verwijderd op 19-08-2003 13:53 ]

The_Eagle schreef op 19 August 2003 @ 13:50:
[...]


Voor zover ik kan zien is het ding net uit....datum van de updates zijn 19 augustus 2003...da's best recent
Lijkt me voor jou (voor mij ook btw, ga het thuis meteen doen) slim om even het e.e.a. te updaten.

ff opgezocht. de functie die ik bedoel is de Bloodhound functie. te vinden onder options -> auto protection -> Bloodhound. deze heeft zelfs als ondertext, how to protect against new and unknown virusen.

McAfee heeft ook nog geen update

The signature of Win32/Sobig.F@mm is included in the database of RAV Engine starting with August 19, 2003.

[ Voor 35% gewijzigd door Verwijderd op 19-08-2003 14:06 ]

Dinsdag, 19 augustus 2003 - Een nieuwe veriant van het Sobig-virus is bezig aan een opmars. Ook in Nederland komt Sobig.F veel voor.


Volgens MessageLabs stijgt het aantal onderschepte exemplaren van het virus snel. In de toptien van de virusbestrijder is het virus dinsdag gestegen van plaats tien (rond half twaalf) naar positie vier (kwart over één 's middags).

Sobig.F was aanvankelijk voornamelijk actief in de Verenigde Staten, maar inmiddels worden ook Nederland en Noorwegen getroffen, zo blijkt uit de cijfers van MessageLabs. Iets meer dan één op de tien van de mailtjes met Sobig.F die MessageLabs onderschept, komt uit Nederland.

Sobig.F is, evenals zijn voorgangers, een zogeheten mass-mailer: het stuurt zichzelf door naar e-mailadressen die het op een geïnfecteerde pc vindt. De afzender van het e-mailbericht wordt vervalst.

[ Voor 5% gewijzigd door Verwijderd op 19-08-2003 14:49 ]

Verwijderd schreef op 19 augustus 2003 @ 14:03:
[...]
Heeft er al iemand een sample?
[...]

The_Eagle schreef op 19 August 2003 @ 16:24:
Iemand (ivm vrij waarschijnlijke besmetting oude W98 SE-machine zonder bootable CD-rom) al een antivirus-product gevonden dat dit virus ook onder DOS kan verwijderen?

The_Eagle schreef op 19 August 2003 @ 16:24:
Iemand (ivm vrij waarschijnlijke besmetting oude W98 SE-machine zonder bootable CD-rom) al een antivirus-product gevonden dat dit virus ook onder DOS kan verwijderen?

[ Voor 8% gewijzigd door LuCarD op 19-08-2003 16:38 ]

[ Voor 12% gewijzigd door Quantor op 19-08-2003 16:47 ]

[ Voor 65% gewijzigd door Verwijderd op 19-08-2003 17:06 ]

Wekkel schreef op 19 augustus 2003 @ 14:07:
Misschien had ik een eerdere variant van Sobig te pakken

[ Voor 12% gewijzigd door Quantor op 19-08-2003 17:02 ]

[ Voor 3% gewijzigd door BreadFan op 19-08-2003 17:01 ]

Verwijderd schreef op 19 augustus 2003 @ 16:51:
Gaat hier ook HEEL hard, vandaag al 600 mails onderschept

T'zijn gelukkig maar een paar afzenders, dus die heb ik gelijk in de firewall geramd. scheelt weer een hoop mailbox-vervuiling (mailserver-scanner filterd de attachments er wel uit, maar laat de berichten door)

Frieda schreef op 19 August 2003 @ 18:08:
gebruikt dit virus spoof email adressen ofzo?

It may spoof the FROM field using email addresses found on the infected machine so that its email messages appear to originate from one source but was actually sent from another.

um.. vandaag ontdekt F-Secure vond deze vorige week of zelfs de week ervoor bij eenf familie lid bij mij

F-Secure Anti-Virus detects the worm with:

[FSAV_Database_Version]

Version=2003-08-19_02

[ Voor 32% gewijzigd door Verwijderd op 19-08-2003 18:10 ]

Frieda schreef op 19 August 2003 @ 18:21:
[...]


hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?

CorteX schreef op 19 August 2003 @ 18:42:
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had.

TheVisionMaster schreef op 19 August 2003 @ 18:50:
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen

Klik hier voor het grafiekje!

CorteX schreef op 19 August 2003 @ 19:43:
[...]
Nederland is ook goed vertegenwoordigt. Hij doet alleen gelukkig niet veel kwaad, hoewel Outlook Express gebruikers erop kunnen rekenen dat ze de inhoudt van hun inbox kwijt zijn.

Sobig.F can download arbitrary files to an infected computer and execute them. The author of the worm has used this functionality to steal confidential system information and to set up spam relay servers on infected computers.

This functionality may also be used as a worm self-update feature. Under the correct conditions, Sobig.F attempts to contact one of the list of master servers, which the author of the worm controls. Then, the worm retrieves a URL that it uses to determine where to get the Trojan file, downloads the Trojan file to the local computer, and then executes it.

burp2001 schreef op 19 August 2003 @ 21:41:
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater

maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..

[ Voor 17% gewijzigd door Verwijderd op 20-08-2003 16:28 ]

TheVisionMaster schreef op 19 August 2003 @ 18:30:
[...]
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam. 'k heb ze al even een email gestuurd

[ Voor 15% gewijzigd door Frieda op 19-08-2003 23:28 ]

Verwijderd schreef op 20 August 2003 @ 01:08:
over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?

Verwijderd schreef op 20 August 2003 @ 01:28:
[...]

meel...

[ Voor 9% gewijzigd door Verwijderd op 20-08-2003 02:40 ]

[ Voor 55% gewijzigd door BaRF op 20-08-2003 09:19 ]

Verwijderd schreef op 20 August 2003 @ 09:29:
Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.

Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?

Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.

Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.

[ Voor 198% gewijzigd door aardbeix15 op 20-08-2003 09:55 ]

Kix@$$ schreef op 20 August 2003 @ 09:35:
[...]


Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd.

[ Voor 5% gewijzigd door agentorangina op 20-08-2003 15:42 ]

Sinclair schreef op 20 augustus 2003 @ 10:13:
Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.

paragon schreef op 20 August 2003 @ 15:54:
[...]


Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.

W32.Squirm@mm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag
Bron:
(c) 2003, VirusAlert
Aliassen:

© VirusAlert schaal

Innovatie: 16
Besturing: 35
Logistiek: 15
Schade: 20


Schaal: 21/100


Aanduiding: LASTIG


Eigenschappen:
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.

Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.

Eigenschappen van het e-mailbericht:

* Onderwerp: Microsoft Security Bulletin

* Naam bijlagebestand: patch.zip of patch_329390.exe

* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.

Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr


Preventieve maatregelen:
Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"

2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"


Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

XceeD schreef op 20 August 2003 @ 16:50:
Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm

Verwijderd schreef op 20 augustus 2003 @ 16:57:
[...]


Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?

Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..

Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..

Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?

Cobra_Lup schreef op 20 August 2003 @ 16:59:
[...]


Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.

The sixth version of the Sobig worm has been out in the wild for only one day, but the epidemic has already spread all over the world.

In fact, anti-virus experts at Kaspersky Labs confirm that the Sobig.f epidemic is the most serious outbreak they have witnessed within the last year and a half. Only Klez, an e-mail worm identified in October 2001 and still 'wandering' about in the wild, has infected more computers than Sobig. "Sobig.f has almost achieved the infection rates of Lovesan, a network worm still spreading worldwide," comments Denis Zenkin, Head of Corporate Communications at Kaspersky Labs, "however, while Lovesan is potentially dangerous for the Internet as a whole, Sobig.f endangers individual users: the author of Sobig.f gains total control over infected machines".

Kaspersky Labs e-mail statistics have already proved that Sobig.f is the leader among the more widespread malicious programs. As of 7 AM August 20 (GMT) Sobig.f has accounted for 92% of all malware detected by the in-house anti-virus: currently several hundred thousand computers have been infected.

The widespread rampage of Sobig.f raises several concerns, the primary one being why? Why is a worm that uses a very simple method of infection so successful? Sobig does not exploit vulnerabilities in security systems, since users launch the worm themselves by opening attachments. Most of the computer world is aware of the dangers of clicking on suspicious attachments. It may well be that the author has used a spammer technology to generate a mass mailing of the malware which reached users worldwide.

Verwijderd schreef op 21 August 2003 @ 14:25:
Koop Panda Antivirus Platinum 7.0 iedere dag 1 of meerdere updates

[ Voor 7% gewijzigd door Kix@$$ op 21-08-2003 15:02 ]

Verwijderd schreef op 21 August 2003 @ 16:46:
ergo: jij hebt nog 28 'vrienden' zonder PC-beveiliging.

NokiaFan schreef op 22 augustus 2003 @ 11:02:
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;

Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail...

Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif

Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...

Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?

Verwijderd schreef op 22 August 2003 @ 11:24:
#godlasterende krachtterm#
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.

Muppet schreef op 22 August 2003 @ 15:30:
Weet iemand hoeveel hier van waar is?

http://www2.telegraaf.nl/digi/article3645381.ece

[ Voor 13% gewijzigd door Verwijderd op 22-08-2003 17:14 ]

BoKToR schreef op 23 August 2003 @ 14:48:
Worden er ook al virussen verzonden op naam van iemand anders?

blackd schreef op 23 August 2003 @ 14:53:
[...]

Topic even lezen?
[rml]drexciya in "[ Virus/worm] W32/Sobig.F@mm *"[/rml]