[Virus/worm] W32/Sobig.F@mm *

Pagina: 1 2 Laatste
Acties:
  • 847 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Sobig.F verspreidt zichzelf snel op verschillende manieren

Programma : Worm
Versie : -
Besturingssysteem: Microsoft Windows

Samenvatting
Sobig.F is een worm die op dit moment zeer snel verspreidt. Nadat een
computer is geïnfecteerd gaat de worm op zoek naar e-mailadressen die
aanwezig zijn op de computer. Vervolgens verstuurt de worm zichzelf
naar deze e-mailadressen. Sobig.F verspreidt zichzelf daarnaast via de
gedeelde mappen van Windows. Op deze manier kunnen ook computers op
een thuis- of bedrijfsnetwerk worden geïnfecteerd.

Gevolgen
- De computer wordt misbruikt voor de verspreiding van de worm.

Oplossingsmogelijkheden
- Installeer de laatste update van uw anti-virus programmatuur en voer
vervolgens een controle uit op uw pc aan de hand van een virusscanner.

Links
http://www.waarschuwingsdienst.nl/render.html?it=497

zie ook :

http://vil.nai.com/vil/content/v_100561.htm#VirusInfo
http://www.messagelabs.co...name=W32%2FSobig%2EF%2Dmm

Update:

Er is weer een variant bijgekomen:

W32.Squirm@mm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag
Bron:
© 2003, VirusAlert
Aliassen:

© VirusAlert schaal

Innovatie: 16
Besturing: 35
Logistiek: 15
Schade: 20


Schaal: 21/100


Aanduiding: LASTIG


Eigenschappen:
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.

Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.

Eigenschappen van het e-mailbericht:

* Onderwerp: Microsoft Security Bulletin

* Naam bijlagebestand: patch.zip of patch_329390.exe

* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.

Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr


Preventieve maatregelen:
Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"

2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"


Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

[ Voor 73% gewijzigd door Han op 20-08-2003 16:46 ]


Acties:
  • 0 Henk 'm!

  • Elephtera
  • Registratie: Juni 2001
  • Laatst online: 25-09 21:47
gewoon zorgen voor een goede virus scanner. dan zou het virus zich al niet kunnen verspreiden of kwaad kunnen doen. en als je nou ook zorgt voor de goede updates dan word het virus geidentificeerd.

“An elephant is a mouse with an operating system”


Acties:
  • 0 Henk 'm!

  • TheBoneCollector
  • Registratie: December 2001
  • Laatst online: 10-08 23:35
kreeg de melding ook net, evenals Welchi.
Norton had hier gister een update voor.

Acties:
  • 0 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 13:29

The Eagle

I wear my sunglasses at night

elephtera schreef op 19 August 2003 @ 13:47:
gewoon zorgen voor een goede virus scanner. dan zou het virus zich al niet kunnen verspreiden of kwaad kunnen doen. en als je nou ook zorgt voor de goede updates dan word het virus geidentificeerd.
Voor zover ik kan zien is het ding net uit....datum van de updates zijn 19 augustus 2003...da's best recent :P
Lijkt me voor jou (voor mij ook btw, ga het thuis meteen doen) slim om even het e.e.a. te updaten.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
The_Eagle schreef op 19 August 2003 @ 13:50:
[...]


Voor zover ik kan zien is het ding net uit....datum van de updates zijn 19 augustus 2003...da's best recent :P
Lijkt me voor jou (voor mij ook btw, ga het thuis meteen doen) slim om even het e.e.a. te updaten.
hehe dat bedoel ik :p 'k had dus (in tegenstelling tot die andere worm die ik net melde) al gekeken of hij vandaag 'gereleased' was...mcafee komt pas morgen met een update :(

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
elephtera schreef op 19 August 2003 @ 13:47:
gewoon zorgen voor een goede virus scanner. dan zou het virus zich al niet kunnen verspreiden of kwaad kunnen doen. en als je nou ook zorgt voor de goede updates dan word het virus geidentificeerd.
;) i know maar ja updates zijn nog niet uit he..

Acties:
  • 0 Henk 'm!

Verwijderd

TheBoneCollector schreef op 19 augustus 2003 @ 13:50:
kreeg de melding ook net, evenals Welchi.
Norton had hier gister een update voor.
Nee hoor, vandaag pas ontdekt...
August 19, 2003 August 19, 2003
(Discovered - Protection)

Je zal het wel over Dumaru hebben lijkt me.

Ik dacht trouwens dat topics zoals deze afgeschaft waren?

Edit:
i know maar ja updates zijn nog niet uit he..
Ik denk dat NAV zo'n beetje de enige is die nog geen update ervoor heeft, de rest wel afaik.

[ Voor 18% gewijzigd door Verwijderd op 19-08-2003 13:53 ]


Acties:
  • 0 Henk 'm!

  • Elephtera
  • Registratie: Juni 2001
  • Laatst online: 25-09 21:47
The_Eagle schreef op 19 August 2003 @ 13:50:
[...]


Voor zover ik kan zien is het ding net uit....datum van de updates zijn 19 augustus 2003...da's best recent :P
Lijkt me voor jou (voor mij ook btw, ga het thuis meteen doen) slim om even het e.e.a. te updaten.
ik doelde hiermee op de ingebouwde functie van NAV dat hij niet-eigen mail programma's ook geen mailtjes laten sturen. in outlook zat dit er dacht ik ook in.
verder kijken anti virus programma's ook naar wat een programma doet. als dit niet door de beugel kan ziet hij t ook als een virus. die updates zijn vooral voor het schoonmaken. zonder de updates zou je echt alleen quarantine kunnen.

okej ik geef toe dat updates beter een virus vinden dan de zoek functie van NAV.

ff opgezocht. de functie die ik bedoel is de Bloodhound functie. te vinden onder options -> auto protection -> Bloodhound. deze heeft zelfs als ondertext, how to protect against new and unknown virusen.

“An elephant is a mouse with an operating system”


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Verwijderd schreef op 19 August 2003 @ 13:52:
[...]


Nee hoor, vandaag pas ontdekt...


[...]

(Discovered - Protection)

Je zal het wel over Dumaru hebben lijkt me.

Ik dacht trouwens dat topics zoals deze afgeschaft waren?
Als dat zo is....dan hoor ik het graaf, want dan post ik ze gewoon niet meer...ik weet iig niet of deze topics afgeschaft zijn..
Edit:

[...]


Ik denk dat NAV zo'n beetje de enige is die nog geen update ervoor heeft, de rest wel afaik.
McAfee heeft ook nog geen update ;)

Acties:
  • 0 Henk 'm!

  • Wekkel
  • Registratie: Maart 2000
  • Laatst online: 14-08-2024

Wekkel

De downloadkoning

Ik heb dit weekend dit virus al zitten bestrijden met een tooltje van Symantec. RAV antivirus pikte 'm er ook al uit, maar kon 'm niet verwijderen (wel deleten).

Acties:
  • 0 Henk 'm!

Verwijderd

ff opgezocht. de functie die ik bedoel is de Bloodhound functie. te vinden onder options -> auto protection -> Bloodhound. deze heeft zelfs als ondertext, how to protect against new and unknown virusen.
Ik wil NAV niet bashen, maar bloodhound staat bekend als een van de slechtste heuristics uit de AV industrie..

Er is volgens mij geen enkele AV die deze versie pro actief detecteert, misschien Kaspersky maar dat zou ik moeten testen..

Heeft er al iemand een sample? :P

Edit:
@ Wekkel, dat kan niet, want er is nog geen tool voor, dat was er iig nog niet in het weekend.
McAfee heeft ook nog geen update
DailyDATs zullen hem wel pakken denk ik, maar dat zijn wel beta defs..
NAV's beta defs detecteren hem inmiddels.

Edit2:

Proof voor Wekkel, uit de RAV e-mail:
The signature of Win32/Sobig.F@mm is included in the database of RAV Engine starting with August 19, 2003.

[ Voor 35% gewijzigd door Verwijderd op 19-08-2003 14:06 ]


Acties:
  • 0 Henk 'm!

  • Wekkel
  • Registratie: Maart 2000
  • Laatst online: 14-08-2024

Wekkel

De downloadkoning

Misschien had ik een eerdere variant van Sobig te pakken :?

Acties:
  • 0 Henk 'm!

  • japaveh
  • Registratie: Maart 2003
  • Laatst online: 09:49

japaveh

Jield BV

dit staat op webwereld

Nieuwe Sobig-variant grijpt om zich heen
Dinsdag, 19 augustus 2003 - Een nieuwe veriant van het Sobig-virus is bezig aan een opmars. Ook in Nederland komt Sobig.F veel voor.


Volgens MessageLabs stijgt het aantal onderschepte exemplaren van het virus snel. In de toptien van de virusbestrijder is het virus dinsdag gestegen van plaats tien (rond half twaalf) naar positie vier (kwart over één 's middags).

Sobig.F was aanvankelijk voornamelijk actief in de Verenigde Staten, maar inmiddels worden ook Nederland en Noorwegen getroffen, zo blijkt uit de cijfers van MessageLabs. Iets meer dan één op de tien van de mailtjes met Sobig.F die MessageLabs onderschept, komt uit Nederland.

Sobig.F is, evenals zijn voorgangers, een zogeheten mass-mailer: het stuurt zichzelf door naar e-mailadressen die het op een geïnfecteerde pc vindt. De afzender van het e-mailbericht wordt vervalst.

Solo Database: Online electronic logbook and database system for research applications


Acties:
  • 0 Henk 'm!

Verwijderd

NAV heeft zojuist LU / IU gereleased voor o.a. Sobig.f

[ Voor 5% gewijzigd door Verwijderd op 19-08-2003 14:49 ]


Acties:
  • 0 Henk 'm!

  • BreadFan
  • Registratie: Oktober 2001
  • Niet online
* BreadFan kreeg hem net van een collega

http://us.mcafee.com/viru...escription&virus_k=100561

Hier staat er meer over, inclusief een extra-dat file die hem herkent en verwijderd. De vandaag uitgekomen 4286 SUperDat file kent hem nog niet, 4287 zal wel snel komen. :)

Acties:
  • 0 Henk 'm!

  • superduper
  • Registratie: Juli 2001
  • Laatst online: 14-09 11:19

superduper

Z3_3.0 Woeiiii

Zie:

W32/Sobig.f@MM was first discovered on 08/19/2003 and detection will be added to the 4287 dat files (Release Date: 08/19/2003). The EXTRA.DAT is available at http://vil.nai.com/vil/content/v_100561.htm.

Hij gaat heel hard hier. KOmt binnen via Email als PIF attachements en mailt zich na infectie self weer door.

Acties:
  • 0 Henk 'm!

Verwijderd

gaat bij heel hard, al 150 mails in 2 uur gehad, nog nooit meegemaakt.

Acties:
  • 0 Henk 'm!

Verwijderd

Iemand bereid me een sample te sturen?
If so: kav@home.nl , gaarne in een passwordprotected archive. (@home denkt mensen blij te maken met een mailscanner, maar het geeft alleen maar ergernis, bij mij dan).
Bij voorbaat dank.

Acties:
  • 0 Henk 'm!

  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

Verwijderd schreef op 19 augustus 2003 @ 14:03:
[...]
Heeft er al iemand een sample? :P
[...]
Alleen de mime-versie... niet de wilde variant...

The sky above the port was the color of television, turned to a dead channel
me @ last.fm


Acties:
  • 0 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 13:29

The Eagle

I wear my sunglasses at night

Iemand (ivm vrij waarschijnlijke besmetting oude W98 SE-machine zonder bootable CD-rom) al een antivirus-product gevonden dat dit virus ook onder DOS kan verwijderen?

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

Verwijderd

The_Eagle schreef op 19 August 2003 @ 16:24:
Iemand (ivm vrij waarschijnlijke besmetting oude W98 SE-machine zonder bootable CD-rom) al een antivirus-product gevonden dat dit virus ook onder DOS kan verwijderen?
Waarom niet een removal tool gebruiken?
Bitdefender tools

Als het per se onder DOS moet kun je denk ik het beste F-Prot for DOS gebruiken met laatste definities.

Acties:
  • 0 Henk 'm!

  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

The_Eagle schreef op 19 August 2003 @ 16:24:
Iemand (ivm vrij waarschijnlijke besmetting oude W98 SE-machine zonder bootable CD-rom) al een antivirus-product gevonden dat dit virus ook onder DOS kan verwijderen?
Fprot heeft een dos versie, die volgens mij op 1 disk past....

[edit]
Niet doorgelezen....

_/-\o_ Schouw

[ Voor 8% gewijzigd door LuCarD op 19-08-2003 16:38 ]

Programmer - an organism that turns coffee into software.


Acties:
  • 0 Henk 'm!

  • Quantor
  • Registratie: September 2000
  • Niet online
Hmm ik kreeg ook een zeer verdacht emailtje binnen met alleen een PIF file erin, niet geopend ofcourse. Betekend wel dat onze CA eTrust InoculateIT 6 (ik vond McAfee beter) het nog niet herkend.

CA gechecked, loop 1 update achter. Gelijk ff mailserver handmatig updaten.

Tss loop dus niet achter, want de update is nog niet te downloaden.

[ Voor 12% gewijzigd door Quantor op 19-08-2003 16:47 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Gaat hier ook HEEL hard, vandaag al 600 mails onderschept :(

T'zijn gelukkig maar een paar afzenders, dus die heb ik gelijk in de firewall geramd. scheelt weer een hoop mailbox-vervuiling (mailserver-scanner filterd de attachments er wel uit, maar laat de berichten door)

[ Voor 65% gewijzigd door Verwijderd op 19-08-2003 17:06 ]


Acties:
  • 0 Henk 'm!

  • Mobster
  • Registratie: Februari 2000
  • Laatst online: 07-06-2016

Mobster

Los Alcoholicos

Wekkel schreef op 19 augustus 2003 @ 14:07:
Misschien had ik een eerdere variant van Sobig te pakken :?
Sobig.A waarschijnlijk.

Zie ook http://securityresponse.s.../data/w32.sobig.a@mm.html

Toch maar eens een andere sig bedenken :P


Acties:
  • 0 Henk 'm!

  • Quantor
  • Registratie: September 2000
  • Niet online
Gelijk waarschuwingsemail naar m'n collega's gedaan, ja hoor 1 muts had m geopend "en weer heel snel op cancel gedrukt" |:(

[ Voor 12% gewijzigd door Quantor op 19-08-2003 17:02 ]


Acties:
  • 0 Henk 'm!

  • BreadFan
  • Registratie: Oktober 2001
  • Niet online
Leuk statistiekje: http://noc.bit.nl/mail/virus/viruses-found.html :)

[ Voor 3% gewijzigd door BreadFan op 19-08-2003 17:01 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Gelukkig block ik hier standaard alle .pif, .exe, .scr, .com en nog een aantal :p dus wat dat betreft geen last...maar heb hier vandaag wel ehh..iets van 100 mailtjes gehad ja :( waarschijnlijk met Sobig.F ;( hehe heb de afzender ff net mailtje gestuurd dat hij z'n virusscanner moet updaten.

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
Verwijderd schreef op 19 augustus 2003 @ 16:51:
Gaat hier ook HEEL hard, vandaag al 600 mails onderschept :(

T'zijn gelukkig maar een paar afzenders, dus die heb ik gelijk in de firewall geramd. scheelt weer een hoop mailbox-vervuiling (mailserver-scanner filterd de attachments er wel uit, maar laat de berichten door)
hier ook groot gelul met dit virus. het gekke is dat ik geen bestanden kan vinden die duiden op dit virus zoals WINPPR32.EXE en WINSTT32.DAT, ook in de registry is niks te vinden. toch worden er intern nog steeds emails verzonden, en de attachments worden ook afgevangen (Antigen).

gebruikt dit virus spoof email adressen ofzo? en blijkbaar wordt het ook zonder attachment verzonden, die worden gefilterd..

Acties:
  • 0 Henk 'm!

  • sarcast
  • Registratie: Juli 2001
  • Laatst online: 01-08 12:26
um.. vandaag ontdekt :? F-Secure vond deze vorige week of zelfs de week ervoor bij eenf familie lid bij mij

"Computer games don't affect kids; I mean if Pac-Man affected us as kids, we'd all be running around in darkened rooms, munching magic pills and listening to repetitive electronic music."


Acties:
  • 0 Henk 'm!

Verwijderd

Frieda schreef op 19 August 2003 @ 18:08:
gebruikt dit virus spoof email adressen ofzo?
Van de Trend site:
It may spoof the FROM field using email addresses found on the infected machine so that its email messages appear to originate from one source but was actually sent from another.
Edit:
um.. vandaag ontdekt F-Secure vond deze vorige week of zelfs de week ervoor bij eenf familie lid bij mij
Dat zal wel de .a variant zijn geweest..

Proof dat het niet de .f is geweest:
F-Secure Anti-Virus detects the worm with:

[FSAV_Database_Version]

Version=2003-08-19_02

[ Voor 32% gewijzigd door Verwijderd op 19-08-2003 18:10 ]


Acties:
  • 0 Henk 'm!

  • tvdleur
  • Registratie: Juni 2001
  • Laatst online: 03-12-2024

tvdleur

ehh...okay?

Vandaag op mn werk de eersten om 14.00 binnengekregen. om 15.15 hadden we de boel onder controle na eerst een half uur alle email verkeer te hebben afgesloten naar en van het internet. Nou alleen nog last van wat undeliverable meldingen... maar dit zal morgen ook wel afzwakken tot niets meer :)

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
Verwijderd schreef op 19 August 2003 @ 18:09:
Van de Trend site:
--------------------------------------------------------------------------------
It may spoof the FROM field using email addresses found on the infected machine so that its email messages appear to originate from one source but was actually sent from another.
hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
ik verkeerde knop druk

[ Voor 94% gewijzigd door Frieda op 19-08-2003 18:22 ]


Acties:
  • 0 Henk 'm!

Verwijderd

Frieda schreef op 19 August 2003 @ 18:21:
[...]


hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?
Kun je proberen, maar je komt niet verder dan de isp die wordt gebruikt..
Als je van je contacten weet welke isp ze gebruiken zou je die mensen die de desbetreffende isp gebruiken een mail kunnen sturen, desnoods met een link naar een removal tool. (Bitdefender heeft er iig al eentje).

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
maar dan weet ik wel zeker of mensen van ons bedrijf besmet zijn of niet. dat vind ik op dit moment het belangrijkste.

aangezien er geen sporen zijn van het virus op de pc's vermoed ik dat er ook geen besmetting heeft plaatsgevonden. dat hoop ik te verifieren door de headers te checken..

iemand een beter plan?

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Verwijderd schreef op 19 augustus 2003 @ 18:25:
[...]


Kun je proberen, maar je komt niet verder dan de isp die wordt gebruikt..
Als je van je contacten weet welke isp ze gebruiken zou je die mensen die de desbetreffende isp gebruiken een mail kunnen sturen, desnoods met een link naar een removal tool. (Bitdefender heeft er iig al eentje).
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam. :) 'k heb ze al even een email gestuurd :)

Acties:
  • 0 Henk 'm!

  • Haay
  • Registratie: Augustus 2001
  • Laatst online: 16:30
Heb zelf ook al meer dan 40 geinfecteerde emails ontvangen, en daarnaast nog een aantal emails van mij onbekenden die zeiden dat ik hun ge-emailed had met dit virus. Oftewel, mijn email-adres is als afzender gebruikt door het virus terwijl het door een andere PC/email-client gestuurd werd :(

Acties:
  • 0 Henk 'm!

  • CorteX
  • Registratie: Mei 2002
  • Niet online
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had. :(

Acties:
  • 0 Henk 'm!

Verwijderd

CorteX schreef op 19 August 2003 @ 18:42:
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had. :(
[spam mode]
Kaspersky had een update om 10:30 vanmorgen en was daarmee (een van de) allereerste.
[/spam mode]

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen :p

Klik hier voor het grafiekje!

Acties:
  • 0 Henk 'm!

  • CorteX
  • Registratie: Mei 2002
  • Niet online
TheVisionMaster schreef op 19 August 2003 @ 18:50:
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen :p

Klik hier voor het grafiekje!
Nederland is ook goed vertegenwoordigt. :P Hij doet alleen gelukkig niet veel kwaad, hoewel Outlook Express gebruikers erop kunnen rekenen dat ze de inhoudt van hun inbox kwijt zijn.

Acties:
  • 0 Henk 'm!

Verwijderd

CorteX schreef op 19 August 2003 @ 19:43:
[...]
Nederland is ook goed vertegenwoordigt. :P Hij doet alleen gelukkig niet veel kwaad, hoewel Outlook Express gebruikers erop kunnen rekenen dat ze de inhoudt van hun inbox kwijt zijn.
Ik vind dit toch niet zo aardig hoor:
Sobig.F can download arbitrary files to an infected computer and execute them. The author of the worm has used this functionality to steal confidential system information and to set up spam relay servers on infected computers.

This functionality may also be used as a worm self-update feature. Under the correct conditions, Sobig.F attempts to contact one of the list of master servers, which the author of the worm controls. Then, the worm retrieves a URL that it uses to determine where to get the Trojan file, downloads the Trojan file to the local computer, and then executes it.
McAfee heeft trouwens een weekly gereleased voor de McAfee users die dat nog niet wisten.

Acties:
  • 0 Henk 'm!

  • ArjanC
  • Registratie: Juli 2001
  • Laatst online: 27-06 16:44
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater

maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..

Acties:
  • 0 Henk 'm!

Verwijderd

burp2001 schreef op 19 August 2003 @ 21:41:
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater

maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..
Het virus spooft het 'from' veld...

Je bent dus (waarschijnlijk) niet infected, maar iemand met jouw e-mail in z'n contactlist heeft het virus, maar het wordt verstuurd onder jouw naam...

Acties:
  • 0 Henk 'm!

Verwijderd

NAI: W32/Sobig.f@MM
Symantec: W32.Sobig.F@mm
KAV: I-Worm.Sobig.f
F-Secure: W32/Sobig.F
McAfee: W32/Sobig.f@MM
TrendMicro: WORM_SOBIG.F
CA: Win32.Sobig.F

Webwereld: Nieuwe variant Sobig-virus grijpt snel om zich heen
Waarschuwingsdienst: Sobig.F verspreidt zichzelf snel op verschillende manieren
Computerworld: Navy/Marine Corps Intranet crippled by worm outbreak

CA: Sobig Cleaning Tool
F-Secure: Sobig cleaner
TrendMicro: System Cleaner

Voorkomen: PIF, SCR, BAT, COM, VBS, EXE niet toestaan als bijlage, niet als administrator je mail binnenhalen en poorten 123 (NTP), 995, 996, 997, 998, 999 en 8998 (Unassigned) sluiten met een firewall.

Over de oudere varianten:
Afbeeldingslocatie: http://www.lurhq.com/images/sobige.png
Sobig.e - Evolution of the Worm

[ Voor 17% gewijzigd door Verwijderd op 20-08-2003 16:28 ]


Acties:
  • 0 Henk 'm!

Verwijderd

M'n NAV2003 had hem vandaag al te pakken....een keer of vijftien!!!

Dacht ff dat ik populair was, maar helaas.

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
TheVisionMaster schreef op 19 August 2003 @ 18:30:
[...]
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam. :) 'k heb ze al even een email gestuurd :)
relayservers van Novaxess. zitten wij ook bij, vond em terug in de headers. heb ze gebeld een uurtje geleden, buiten kantoortijden kunnen ze niet zo heel veel doen. ze denken zelf dat ze zelf niet besmet zijn, maar slechts doorgeefluik. morgen om half 9 zijn ze weer open, dan maar weer bellen. ik hoop dat ik voor die tijd nog van kantoor weg kan.. dit is echt niet grappig meer.

[ Voor 15% gewijzigd door Frieda op 19-08-2003 23:28 ]


Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Frieda schreef op 19 August 2003 @ 23:28:
[...]

relayservers van Novaxess. zitten wij ook bij, vond em terug in de headers. heb ze gebeld een uurtje geleden, buiten kantoortijden kunnen ze niet zo heel veel doen. ze denken zelf dat ze zelf niet besmet zijn, maar slechts doorgeefluik. morgen om half 9 zijn ze weer open, dan maar weer bellen. ik hoop dat ik voor die tijd nog van kantoor weg kan.. dit is echt niet grappig meer.
Ik zal ook eens even met Novaxess gaan bellen morgen ;) 'k heb Concepts ICT al gemaild...hopen dat ik morgenochtend antwoord heb....'k heb nog meer te doen dan virus-shit-opruimen ;)

Acties:
  • 0 Henk 'm!

Verwijderd

over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?

Acties:
  • 0 Henk 'm!

  • Frieda
  • Registratie: Mei 2002
  • Niet online
filteren? ik ga iig NU naar huis.. ben er strontziek van. maar goed, allang blij dat we niet daadwerkelijk besmet zijn geraakt!

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 20 August 2003 @ 01:08:
over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?
Downloaden moet je ze toch..

Zou je, of iemand anders, me een sample kunnen sturen?
submitvirus@yahoo.com

Bij voorbaat dank.

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 20 August 2003 @ 01:13:
[...]


Downloaden moet je ze toch..

Zou je, of iemand anders, me een sample kunnen sturen?
submitvirus@yahoo.com

Bij voorbaat dank.
meel...

Acties:
  • 0 Henk 'm!

Verwijderd

Frieda schreef op 20 augustus 2003 @ 01:12:
filteren? ik ga iig NU naar huis.. ben er strontziek van. maar goed, allang blij dat we niet daadwerkelijk besmet zijn geraakt!
doe ik ook...allemaal gelijk de trash in. maar idd, je moet ze toch downloaden...pfff, klotezooi dit, nog nooit gezien.

Acties:
  • 0 Henk 'm!

Verwijderd

Weet je het zeker? Want ik heb nog niets gekregen, heb even getest of (geinfecteerde) mails wel aankwamen en dat is het geval.

Edit: Heb hem inmiddels, evengoed bedankt :)

[ Voor 9% gewijzigd door Verwijderd op 20-08-2003 02:40 ]


Acties:
  • 0 Henk 'm!

  • paella
  • Registratie: Juni 2001
  • Laatst online: 14:53
Onze mailserver houdt "verdachte" bestanden (of eigenlijk de extensies(!)) tegen. Zo is het dus dat we in 2 dagen ruim 500 SoBig.F hebben, eerst gepakt op extensies, maar na een defenities-update ook als virus. Normaal hebben we misschien 20 a 30 virussen per dag, dus kan je nagaan...!

No production networks were harmed during this posting


Acties:
  • 0 Henk 'm!

  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 30-09 09:40
Een virus die voor een mailbom zorgt is nooit grappig: afbeelding

Zo trof ik dus vanochtend m'n e-mail box op m'n werk aan :o

Acties:
  • 0 Henk 'm!

  • BaRF
  • Registratie: Augustus 2001
  • Laatst online: 14:30

BaRF

bijna kerst

ik wordt helemaal gek hier! 1500 mails sinds gisteravond :(

het nare is dat ze niet allemaal tegelijk gedelete & gebounced kunnen worden omdat mailwasher dan vastloopt... alleen deleten dan maar?

[ Voor 55% gewijzigd door BaRF op 20-08-2003 09:19 ]

The space between is where you'll find me hiding, waiting for you


Acties:
  • 0 Henk 'm!

Verwijderd

Het is een gekkenhuis hier! Alle collega's worden overspoelt met die troep!

Acties:
  • 0 Henk 'm!

Verwijderd

Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.

Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?

Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.

Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.

Acties:
  • 0 Henk 'm!

  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 30-09 09:40
Verwijderd schreef op 20 August 2003 @ 09:29:
Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.

Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?

Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.

Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.
Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd. :)

Acties:
  • 0 Henk 'm!

  • aardbeix15
  • Registratie: Maart 2001
  • Niet online

aardbeix15

100%fruit pers je er niet uit!

gisteren was het hier bij mijn huisgenoten ook feest. Het virus ging als een gek tekeer op een w2k bak, Norton werd constant geopend en gekilled erg vreemd, ook gelijk een mass aan virussen de deur uit.

Uiteindelijk heb ik mijn huisgenote toch kunnen helpen en was het na verwijderen van een regkey, het dumpen van alle temp inet files en het removen van een .exe in de windows map zo gebeurd. Natuurlijk wel alles in save-mode @ dos-prompt doen.

Ik heb het virus dus zonder removal tool toch onder de duim weten te krijgen :), a.d.h.v. de volgende intructies: klik!

[ Voor 198% gewijzigd door aardbeix15 op 20-08-2003 09:55 ]

snel zeggen: 'De koetsier poetst de postkoets met postkoetspoets'
levensmotto: 'vroeg gedaan is lang gerelaxed!'.


Acties:
  • 0 Henk 'm!

Verwijderd

Kix@$$ schreef op 20 August 2003 @ 09:35:
[...]


Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd. :)
Dank je wel, dat is een hele opluchting. Irritant alleen dat je op deze manier over kan komen als een sukkel die nog steeds niet heeft geleerd om attachments niet te dubbelklikken.

Acties:
  • 0 Henk 'm!

  • cdgrit
  • Registratie: Mei 2002
  • Laatst online: 13-01 16:44
Ik heb een eigen server waar sendmail op draait en dit virus krijg ik nu ongeveer iedere 30 seconden. Vanochtend ruim 600 mailtjes in m'n mailbox.
Deze header staat er altijd in:

Received: from WS423 ([193.172.27.46])

Het IP adres is bij ieder mailtje hetzelfde. Hoe kan ik sendmail zo instellen dat dit IP adres geblocked wordt. Ik draai Debian Linux. Ik heb al geprobeerd het IP adres in /etc/hosts.deny te zetten, maar dat had geen effect. Komt het wel echt van dit adres? En hoe kan ik deze weigeren?


Originele startpagina - Stadindex.nl


Acties:
  • 0 Henk 'm!

  • memphis
  • Registratie: Oktober 2000
  • Laatst online: 16:21

memphis

48k was toen meer dan genoeg.

Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.

Er zijn mensen die mij een GOD vinden


Acties:
  • 0 Henk 'm!

Verwijderd

Ondertussen hier @work 1550 mails tegengehouden door firewall (we hadden last van een paar vaste afzenders) en 50 door de virusscanner. :(

Acties:
  • 0 Henk 'm!

  • koelkast
  • Registratie: Juni 1999
  • Niet online
* koelkast wordt momenteel ook aangevallen met virusmails. Gelukkig houdt Norton 2003 ze allemaal tegen :)

Acties:
  • 0 Henk 'm!

  • dread
  • Registratie: Maart 2002
  • Laatst online: 12:27

dread

Sluwe vlaming

Tja hier komen ze ook met honderden binnen.

weet iemand hoe je met groupwise kan filteren op woorden in het onderwerp, bij outlook is dat nog makkelijk maar groupwise?? Heb al zitten kijken in de help en met regels gewerkt maar niet met het gewenste resultaat.

Don't argue with fools, they will bring you down to their level and beat you with experience.


Acties:
  • 0 Henk 'm!

  • GuyJay
  • Registratie: Januari 2002
  • Laatst online: 04-09 17:35
Elk half uur krijg ik nu zo'n mail.. om gek van te worden.
gelukkig pakt NAV 2003 het goed aan, maar toch

Ik vind dat de mail servers gewoon moeten scannen op dit
soort virussen, zodat het sowieso nooit in mn mailbox kan komen.

Ik neem aan dat de providers het meeste last hebben,
dus ipv betaald email scan, gewoon standaard op dit soort
zooi scannen.

Acties:
  • 0 Henk 'm!

  • agentorangina
  • Registratie: Augustus 2002
  • Laatst online: 20-08-2024
Dit is echt vet irritant, ik check normaal mijn mail altijd via webmail omdat outlook zo vol met gaten zit dat de mail eruit loopt :P . Maar nu kan ik niet eens de normale mails er tussenuit halen.

Het gaat allemaal via een sub-mail adres wat ik ooit voor dingen gebruikt heb.. en dat was zelfs 2/3 jaar geleden. Even met de provider bellen of die de box wil gaan blocken. want dit is niet te doen.

[ Voor 5% gewijzigd door agentorangina op 20-08-2003 15:42 ]


Acties:
  • 0 Henk 'm!

  • paragon
  • Registratie: April 2000
  • Nu online
Sinclair schreef op 20 augustus 2003 @ 10:13:
Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.
Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.

Acties:
  • 0 Henk 'm!

  • memphis
  • Registratie: Oktober 2000
  • Laatst online: 16:21

memphis

48k was toen meer dan genoeg.

paragon schreef op 20 August 2003 @ 15:54:
[...]


Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.
Volgens de uitgebreide headers kwam het van een XS4ALL ADSL server met een XS4ALL IP adres. Er is ondertussen actie ondernomen om die gebruiker op de hoogte te stellen, ondertussen stroomt het door......

Er zijn mensen die mij een GOD vinden


Acties:
  • 0 Henk 'm!

  • bop
  • Registratie: Juni 2001
  • Laatst online: 19-08-2024

bop

VisualWeb

damn wat een rotzooi.. ik krijg normaal 1 a 2 virus mailtjes per dag.. nu al 20!! van alleen dit virus!

doe niet aan signatures.. uhhh, arghhh


Acties:
  • 0 Henk 'm!

  • Luppie
  • Registratie: September 2001
  • Laatst online: 14-08 07:27

Luppie

www.msxinfo.net

Vandaag is er weer een nieuwe worm actief, hij wordt nog niet herkend door de scanners. Watch out.
W32.Squirm@mm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag
Bron:
(c) 2003, VirusAlert
Aliassen:

© VirusAlert schaal

Innovatie: 16
Besturing: 35
Logistiek: 15
Schade: 20


Schaal: 21/100


Aanduiding: LASTIG


Eigenschappen:
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.

Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.

Eigenschappen van het e-mailbericht:

* Onderwerp: Microsoft Security Bulletin

* Naam bijlagebestand: patch.zip of patch_329390.exe

* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.

Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr


Preventieve maatregelen:
Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"

2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"


Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.


Acties:
  • 0 Henk 'm!

  • Han
  • Registratie: Juli 2001
  • Niet online

Han

Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.


Acties:
  • 0 Henk 'm!

Verwijderd

XceeD schreef op 20 August 2003 @ 16:50:
Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm
Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?

Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..

Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..

Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?

Acties:
  • 0 Henk 'm!

  • Luppie
  • Registratie: September 2001
  • Laatst online: 14-08 07:27

Luppie

www.msxinfo.net

Verwijderd schreef op 20 augustus 2003 @ 16:57:
[...]


Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?

Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..

Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..

Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?
Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.


Acties:
  • 0 Henk 'm!

Verwijderd

Cobra_Lup schreef op 20 August 2003 @ 16:59:
[...]


Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.
Dumaru begon al met een level 3 status..
Ik wil alleen maar zeggen dat die level 2 status vaker niets dan wel iets heeft te betekenen.

Acties:
  • 0 Henk 'm!

  • TheVMaster
  • Registratie: Juli 2001
  • Laatst online: 16:48

TheVMaster

Moderator WOS
Topicstarter
Cobra_Lup schreef op 20 August 2003 @ 16:48:
Vandaag is er weer een nieuwe worm actief, hij wordt nog niet herkend door de scanners. Watch out.


[...]
Mis ik iets...McAfee herkent de worm waar jij het over hebt al sinds gisteren :p ;) oops.....de worm die ik hieronder bedoel lijkt erg op de worm die jij omschrijft :( hmm..mcAfee roept er niets over.....

McAfee info

[ Voor 15% gewijzigd door TheVMaster op 20-08-2003 17:12 . Reden: toch niet helemaal correct! ]


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
In overleg met XceeD: toch maar weer de titel terug veranderd :P
(andere virussen dus ajb in andere virussen bespreken: dan is zo'n topic wat nuttiger voor mensen die er last van hebben en voor de search :) )

Een groot virus topic voor alle W32 virussen (oftewel alle virussen die onder W9x en WNTx werken) werkt niet, een lijst 'ik ook' heeft geen zin en verschillende virussen hebben verschillende symptomen en oplossingen :)

Trouwens is een topic per virus IMHO ook niet altijd nodig zolang het geen erg gevaarlijk / snel opkomend / veel slopend virus is of iemand natuurlijk besmet is en het niet zonder hulp kan schoonmaken: maar momenteel loopt er al een draadje in LA om daar verder over te discussieren :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Verwijderd

Misschien een onnodige kick, maar toch noemenswaardig imo..

Kaspersky press release:
The sixth version of the Sobig worm has been out in the wild for only one day, but the epidemic has already spread all over the world.

In fact, anti-virus experts at Kaspersky Labs confirm that the Sobig.f epidemic is the most serious outbreak they have witnessed within the last year and a half. Only Klez, an e-mail worm identified in October 2001 and still 'wandering' about in the wild, has infected more computers than Sobig. "Sobig.f has almost achieved the infection rates of Lovesan, a network worm still spreading worldwide," comments Denis Zenkin, Head of Corporate Communications at Kaspersky Labs, "however, while Lovesan is potentially dangerous for the Internet as a whole, Sobig.f endangers individual users: the author of Sobig.f gains total control over infected machines".

Kaspersky Labs e-mail statistics have already proved that Sobig.f is the leader among the more widespread malicious programs. As of 7 AM August 20 (GMT) Sobig.f has accounted for 92% of all malware detected by the in-house anti-virus: currently several hundred thousand computers have been infected.

The widespread rampage of Sobig.f raises several concerns, the primary one being why? Why is a worm that uses a very simple method of infection so successful? Sobig does not exploit vulnerabilities in security systems, since users launch the worm themselves by opening attachments. Most of the computer world is aware of the dangers of clicking on suspicious attachments. It may well be that the author has used a spammer technology to generate a mass mailing of the malware which reached users worldwide.
Zoals het artikel al zegt, danig veel infected users voor het principe hoe het ding zich verspreidt..

Dit bevestigt bij mij toch een beetje wat ik eerder al dacht, meeste virussen zouden zich stukken beter kunnen verspreiden als ze niet zo rot waren gecode..
Lovsan had qua potentie meer dan een miljoen gebruikers kunnen infecteren, niet gebeurt, waarom? omdat het door een complete leek is gemaakt..
En zo zijn er nog talloze voorbeelden.

Verwijderd

Wat ik trouwens nog steeds niet begrijp is dat mensen nog steeds niet hebben geleerd om NIET te dubbelklikken op een attachment. Is dat nu nog niet doorgedrongen tot al die eindgebruikers?

Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.

Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.

Verwijderd

Koop Panda Antivirus Platinum 7.0 :) iedere dag 1 of meerdere updates

  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 30-09 09:40
[beetje-off-topic]
Verwijderd schreef op 21 August 2003 @ 14:25:
Koop Panda Antivirus Platinum 7.0 :) iedere dag 1 of meerdere updates
Mja, kun je beter zeggen: Koop een anti-virus pakket die in de top 5 staat, want de meeste anti-virus programma's hebben zoizo meerdere updates per dag.

Je moet hem dan natuurlijk wel goed ingesteld hebben :).

[/beetje-off-topic]

[ Voor 7% gewijzigd door Kix@$$ op 21-08-2003 15:02 ]


  • TheLunatic
  • Registratie: April 2001
  • Laatst online: 16-08 21:48

TheLunatic

Ouwe boxen.

Sjee, vandaag 28 van deze krengen binnengekregen op een emailadres wat ik pas 3 maanden heb :'( Zet het totaal op 40 in 3 dagen ! Is dat normaal ?

Mother, will they like this song?


  • Frieda
  • Registratie: Mei 2002
  • Niet online
het enige dat je eraan kunt doen is je email adres aan niemand geven!

Verwijderd

ergo: jij hebt nog 28 'vrienden' zonder PC-beveiliging.

Verwijderd

Verwijderd schreef op 21 August 2003 @ 16:46:
ergo: jij hebt nog 28 'vrienden' zonder PC-beveiliging.
Mja, hoeveel mensen denken er wel niet dat als de virusscanner niet piept, de file niet geïnfecteerd kan zijn?

De grootste AVs waren gewoonweg te laat imo..
Het virus was al uren bezig met verspreiden toen McAfee/Symantec met een officiële update kwamen..

Verwijderd

Holy f*ck! Kom ik na een weekje vakantie thuis terug, vind ik meer dan 600 van die %^$#^@$ berichten plus nog eens negenentachtig bounce messages in mijn mailbox. Gelukkig maar dat er zoiets als Mailwasher bestaat, want ik zit er niet op te wachten die rommel à 100 KB per stuk eerst te moeten downloaden. Het bewuste account was de laatste tijd ook al onder een spam-bombardement gekomen (zal wel een dictionary attack geweest zijn; ik gebruikte het e-mail adres nooit publiekelijk), maar per vandaag gaat de stekker er helemaal uit.

Deze worm schijnt trouwens bedoeld te zijn om ongepatchte machines in spam-relays te veranderen. Zo kunnen spammers mooi de blacklists omzeilen. Zie dit nieuwsbericht.

Ik ben bang dat ik Mailwasher de komende tijd nog hard nodig zal hebben. :(

Acties:
  • 0 Henk 'm!

  • NokiaFan
  • Registratie: December 2001
  • Laatst online: 14:36
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;

Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail... :Y)

Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif

Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...

Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?

Acties:
  • 0 Henk 'm!

  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 30-09 09:40
NokiaFan schreef op 22 augustus 2003 @ 11:02:
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;

Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail... :Y)

Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif

Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...

Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express? :Y)
Jep, je kan in Outlook Express ook makkelijk berichtregels aanmaken. Ik weet alleen niet of je ook aan kan zetten dat tie niet moet zeggen dat er een nieuw bericht is.

Acties:
  • 0 Henk 'm!

Verwijderd

#godlasterende krachtterm# Wat is dit nu? Terwijl dit virus al dagenlang in de media wordt belicht krijg ik vandaag dus ineens binnen 1 uur 20 mails binnen met dit virus! Wordt er gek van :(

/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.

Acties:
  • 0 Henk 'm!

  • KO
  • Registratie: December 2001
  • Laatst online: 12-11-2023

KO

Verwijderd schreef op 22 August 2003 @ 11:24:
#godlasterende krachtterm#
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.
* KO vindt het raar dat god gelasterd wordt

Yesterday Is History. Today Is A Gift. Tomorrow Is Mystery


Acties:
  • 0 Henk 'm!

  • Muppet
  • Registratie: Maart 2001
  • Laatst online: 10-09-2024

Muppet

GT: Beestig

Weet iemand hoeveel hier van waar is?

http://www2.telegraaf.nl/digi/article3645381.ece

There is no art to find the minds construction in the face


Acties:
  • 0 Henk 'm!

Verwijderd

Ik dacht dat het onzin was, omdat de nederlandse media op z'n minst sjrottie te noemen is als het over virussen gaat maar..

Het is ongeveer waar

Heb een Kaspersky analist gemailed en die bevestigde het.
Press release van Kaspersky is nog niet uit, maar zal dus nog wel komen.
Tot die tijd: F-Secure's press release

Edit: Er wordt vanuit gegaan dat we er dadelijk 400 000(of hoeveel pc's er ook infected zijn) spam machines bij hebben, ain't that great?

[ Voor 13% gewijzigd door Verwijderd op 22-08-2003 17:14 ]


Acties:
  • 0 Henk 'm!

  • RKD
  • Registratie: Maart 2001
  • Laatst online: 15:17

RKD

Op mijn stage zitten we sinds dinsdag avond inmiddels op zon 2000 stuks. :S
Gemiddeld zijn het er zo'n 5 - 15 per minuut.

Gelukkig waren we ruim op tijd beschermt maar toch maar ff alle pc's laten scannen voor de zekerheid

iRacing Profiel


Acties:
  • 0 Henk 'm!

Verwijderd

Update:
De FBI heeft ervoor gezorgd dat de 20 computers waartoe alle sobig.f geïnfecteerde pc's naar zouden connecten van het internet afgesloten zijn geworden..

Lees een klein verslagje hier.
Heb me laten vertellen dat ze inmiddels alle 20 down zijn, dus helemaal up to date is het (nog)niet.

Acties:
  • 0 Henk 'm!

  • JeroenTheStig
  • Registratie: Mei 2000
  • Laatst online: 30-09 22:43
Ik kreeg zojuist een mail van KPN, dat ze een mail van mij hebben ontvangen met een virus. Ik snap er helemaal niks van, aangezien m'n virusscanners alles onderscheppen, en omdat ik nog nooit een attachment heb geopend (behalve dan de door norton gegenereerde tekstbestanden).
Zojuist een Sobig-scanner gedraaid, die meldt ook niks....

Worden er ook al virussen verzonden op naam van iemand anders? :?

Acties:
  • 0 Henk 'm!

  • blackd
  • Registratie: Februari 2001
  • Niet online
BoKToR schreef op 23 August 2003 @ 14:48:
Worden er ook al virussen verzonden op naam van iemand anders? :?
Topic even lezen?
[rml]drexciya in "[ Virus/worm] W32/Sobig.F@mm *"[/rml]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023


Acties:
  • 0 Henk 'm!

  • JeroenTheStig
  • Registratie: Mei 2000
  • Laatst online: 30-09 22:43
Pagina: 1 2 Laatste