---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate
Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toeSpider.007 schreef op 25 August 2003 @ 10:40:
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?
Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-wormik vindt toch dat wel dit wel even kunnen oplossen
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.
Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Uiteraardt vraag ik hier niet om broncode te posten die misbruikt kan worden voor nieuwe virussen maar eerlijkgezegd denk ik dat een virus wat zich op deze manier verspreid (de welbekende attachment en p2p distributiekanalen) toch niet moeilijk door scanners opgepakt moet kunnen worden (dus ook afgeleiden hiervan).F_J_K schreef op 25 augustus 2003 @ 10:56:
[...]
Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken
Dat intrigeerd mij ook; het lijkt erop dat er 20 machines zijn die een URL kunnen gaan doorsturen. Deze machines zijn door de providers al afgeschermd en dus onbereikbaar op 1 na die als honeypot functioneerd. Deze 20 machines geven een URL terug na een geheime 8-bit code. Momenteel geven deze machines nog niet bestaande URL's door; er wordt verwacht dat dit op het allerlaatste moment wordt aangepast door de virus schrijver. Verder kan de lijst met 20 machines die in de worm zit geprogrammeerd nog worden aangepast; al is mij niet duidelijk hoe dit moet gebeuren. Eventueel kan hier een nieuwe worm voor worden losgelaten.[...]
Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.
Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?
---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate
klaarblijkelijk willen we niets leren van wat er in het verleden is gebeurd, waardoor de maker steeds verder komt met het bereiken van zijn doel.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.Verwijderd schreef op 21 August 2003 @ 13:42:
Wat ik trouwens nog steeds niet begrijp is dat mensen nog steeds niet hebben geleerd om NIET te dubbelklikken op een attachment. Is dat nu nog niet doorgedrongen tot al die eindgebruikers?
Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.
Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
Er zat toch wel wat tijd tussen sobig.c en sobig.e, er zat toch flink wat tijd tussen sobig.e en sobig.fde maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?k-oz schreef op 25 August 2003 @ 16:28:
[...]
idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.
Verwijderd
Ik heb het over de andere, tenzij je de coder zelf bent kun je er echt niet veel zinnigs over zeggen..k-oz schreef op 25 augustus 2003 @ 18:51:
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie
alle executables zou je dan moeten blokkeren. Het versturen van een exe of welke executable dan ook zou je kunnen doen door de extensie te hernoemen (._xe)WimB schreef op 25 August 2003 @ 19:04:
[...]
Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
The space between is where you'll find me hiding, waiting for you
Verwijderd
Het virus blijft wel actief op de pc's waar het op gerund wordt.
Kijk in de headers van de mail via welke server ze gestuurd worden. Stuur dan 1 complete mail met header naar abuse@gevondenserver.xx met de vraag als ze die gebruiker aan kunnen pakken.BaRF schreef op 03 September 2003 @ 22:06:
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...
Ik heb een week terug een dezelfde situatie gehad en het kwam bij WXS vandaan, na 15 min kreeg ik een bevestiging en aan het einde van de dag was het over.
Return-path: <admin@duma.gov.ru>
ff dat adres door google halen levert niet veel op behalve dan hoe je de worm moet verwijderen, maar niet hoe ik die mailtjes stop.
Wat kan ik nu nog doen?
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Mail sturen naar abuse afdeling.
Return-path: <admin@duma.gov.ru>
Received: from smtp09.wxs.nl ([195.121.5.24])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HKN0054R4GW7B@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
03 Sep 2003 14:36:32 +0100 (WEST)
Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
by smtp09.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HKN00BNL4FUSC@smtp09.wxs.nl> for xxxxxxxxxxxxx@planet.nl
(ORCPT xxxxxxxx@planet.nl); Wed, 03 Sep 2003 15:35:56 +0200 (MEST)
Date: Wed, 03 Sep 2003 15:35:54 +0200 (MEST)
Date-warning: Date header was inserted by smtp09.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxxxxx@planet.nl
Message-id: <0HKN00BNM4FUSC@smtp09.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc822;xxxxxxx@planet.nl
Ik neem uit bovenstaande headers aan dat het van WXS afkomt. Klopt dit? Sorry als dit een beetje een stomme vraag is.
Ik haal die headers zo wel weer weg.
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Dat is 'm..maar als ik heb trace dan krijg ik:Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]
Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..
Iig, dit is trouwens geen sobig, maar dumaru..
Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank
Tuurlijk wil ik zo lief zijn...Verwijderd schreef op 03 september 2003 @ 23:45:
[...]
Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]
Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..
Iig, dit is trouwens geen sobig, maar dumaru..
Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank
Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?
Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.
[ Voor 6% gewijzigd door jagermeister op 03-09-2003 23:56 ]
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
Idd vaag ja. In iedergeval heb ik een mailtje naar WXS en naar Planet gestuurd, maar volgens mij is het beide de Planet Media groep aangezien ik dezelfde autoreply terug krijg.Verwijderd schreef op 04 September 2003 @ 00:05:
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)
Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Bedankt dat was een goede tip. Ik heb gedaan:jagermeister1 schreef op 03 September 2003 @ 23:55:
[...]
Tuurlijk wil ik zo lief zijn...ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.
Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?
Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.
jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....
Dat betekent denk ik dat er een spammer besmet is, veel spam loopt via de servers van pacbellVerwijderd schreef op 05 September 2003 @ 08:39:
[...]
Bedankt dat was een goede tip. Ik heb gedaan:
jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....
Verwijderd
Kennelijk heeft hij zelf ook overlast.
Ik heb Wanadoo ook al gemaild abuse@wanadoo.nl over mijn probleem.
Wat zou ik er verder nog aan kunnen doen...ik wordt er doodmoe van...ben net 3 uur wegeweest van me PC...en weer heb ik 150 berichten in me mailbox...12,3 MB...
Ik heb ze, voor deze reactie, meerdere malen een mailtje inclusief headers en uitleg van het probleem gemaild. Nu zijn we weer een tijd verder , dus ik dacht een paar dagen geleden.."Kom laat ik Planet nog eens mailen aangezien ik g1 verandering heb gemerkt en laat ik ze dan meteen ff weten dat ik het vreemd vind dat ze me geen verdere terugkoppeling over het probleem geven" Wat denk je .... géén reactie, maar de stroom mailtjes gaat onverhinderd door.Planet Abuse Medewerker schreef:
Geachte heer/mevrouw,
Bedankt voor uw bericht. In onze auto-reply heeft u kunnen lezen dat wij nooit een terugkoppeling geven op zaken die u ons mailt. Naar aanleiding van onderstaande informatie nemen wij gepaste maatregelen tegen onze gebruiker.
Met vriendelijke groeten,
Abuse - Planet Media Group
abuse@planet.nl / abuse@hetnet.nl
Toch vaag dat deze geïnfecteerde berichten gewoon vrolijk door de SMTP servers heen wandelen. Ik las ergens dat deze worm een SMTP server op het besmette systeem aanmaakt, maar dat betekend dan toch niet dat de provider er niets aan kan doen? Ik zal nogmaals een header posten, misschien dat 1 van jullie nog iets ontdekt.
Ik heb vorige week ook een n00b-proof mailtje gestuurd naar iedereen in mijn adresboek (BCC om anderen deze ellende te besparen) met het volgende verhaal:Header van de besmette mailtjes:
Return-path: <admin@duma.gov.ru>
Received: from smtp02.wxs.nl ([195.121.5.16])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HLD00EZQB2FNS@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
17 Sep 2003 17:56:39 +0100 (WEST)
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HLD00KD7BBTNI@smtp02.wxs.nl> for xxxxxxxxxx@planet.nl
(ORCPT xxxxxxxxx@planet.nl); Wed, 17 Sep 2003 19:02:20 +0200 (MEST)
Date: Wed, 17 Sep 2003 19:02:18 +0200 (MEST)
Date-warning: Date header was inserted by smtp02.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxx@planet.nl
Message-id: <0HLD00KDABBUNI@smtp02.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc8232;xxxxxxx@planet.nl
Ik heb volgens mij nu zowat alles gedaan wat binnen mijn kunnen ligt. Iemand nog andere tips...Beste mensen,
Ik wordt de laatste tijd continu bestookt met e-mailtjes waaraan een bestand Patch.exe is bijgevoegd. Dit bestand bevat een zeer vervelende worm, de zogenaamde W32.dumaru worm. Uit de headers van het bericht valt niet precies te herlijden van wie dit afkomstig is, maar het vermoeden bestaat dat het afkomstig is van iemand die mij in zijn/haar adresboek heeft staan en zelf is geinfecteerd met het virus. Zelf ben ik gelukkig niet geinfecteerd, omdat ik mijn virusscanner up 2 date houdt en windows regelmatig update. Om te voorkomen dat na dit mailtje andere mensen uit mijn adresboek geinfecteerd worden doordat de besmette computer adressen uit dit bericht toevoegt heb ik alle mensen uit mijn adresboek in het BCC vak gezet, zodat dit geen problemen zal geven. Ik heb al tig mailtjes richting de Abuse afdeling van Planet en WXS gestuurd, maar ze hebben er tot nog toe niks aan gedaan.
Op de volgende site vindt je info over deze worm: http://www.symantec.com/a...c/data/w32.dumaru@mm.html
Hier vindt je uiteraard ook hoe je het virus zou moeten verwijderen. Er is ook een removaltool te vinden op die pagina (voor de wat luiere personen onder ons... :-) )
(Voor de mensen die minder bekend zijn met computers)
Als je vermoedt dat je besmet bent, maar je hebt geen (of geen up 2 date) virusscanner
klik dan even op deze link: http://security.symantec....3&pkj=ZVOKPRSFLJMVHNMITLP
Als je op de Rode Start knop drukt, dan wordt je computer gescanned op eventueel aanwezige virussen/trojans/wormen. Maak je gebruik van een Firewall op je computer, zet die dan even uit anders werkt de scan niet.
Om sneller te zien of je besmet bent:
In de windows directory kijken of je het bestand winload.log -------------- dllreg.exe of windrv.exe kunt vinden. Dus bijvoorbeeld: C:\Windows of C:\Winnt (hangt van de versie van Windows af)
Je kan ook je computer laten zoeken naar 1 van deze bestanden door bovenstaande bestandsnamen in te voeren in de search van windows, te vinden via Start>Zoeken of Start>Search.
Heb je 1 van bovenstaande bestanden, ga er dan maar vanuit dat je PC is besmet en dan adviseer ik je om even die Removal Tool te downloaden. Hieronder staat een link naar die Tool.
http://www.symantec.com/avcenter/FxDumaru.exe
Windows ME en XP gebruikers: Het is belangrijk dat je de Systeem Herstel functie even uitzet als je de tool gaat gebruiken!
Klik op 1 van onderstaande links om stap voor stap te lezen hoe dat moet:
ME gebruikers klik hier:
http://service1.symantec....sf/docid/2001012513122239
XP gebruikers klik hier:
http://service1.symantec....sf/docid/2001111912274039
Ik hoop dat jullie bereid zijn even te kijken of jullie besmet zijn. Ik wordt namelijk knettergek van die mailtjes.
Alvast bedankt.
Excuses voor de lap text
- specs - Download mijn custom BF2 map HIER NIET MEER
en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.
Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.
Als ik dit mag geloven, komt het uit veldhoven?
[ Voor 11% gewijzigd door blackd op 18-09-2003 06:35 ]
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
^^eventueele typfouten zijn als vermaak bedoeld
Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokkenniwreG schreef op 18 September 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen
Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren
Thanks. Op Planet reken ik iig niet meer. Tja...als ik mijn IP trace op die whois site, dan zou ik uit Amsterdam moeten komen. Dat is dus niet zo. Ik ga idd eens opzoek naar headers met dat IP in mijn mail geschiedenis. Je hoort het nogblackd schreef op 18 September 2003 @ 06:33:
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:
[...]
en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.
Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.
Als ik dit mag geloven, komt het uit veldhoven?
EDIT: Gespit en niks gevonden helaas. Ook geen IP's die met 145 beginnen.
[ Voor 5% gewijzigd door jagermeister op 18-09-2003 08:13 ]
- specs - Download mijn custom BF2 map HIER NIET MEER
Alleen outlook geheel van je harde schijf gooien en iets anders gebruiken doet al heel veelniwreG schreef op 18 september 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen
sorrySH007 schreef op 18 September 2003 @ 07:47:
[...]
Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken
Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren

^^eventueele typfouten zijn als vermaak bedoeld