[Virus/worm] W32/Sobig.F@mm *

quote: http://www.newscientist.com/news/news.jsp?id=ns99994087

But the machines infected with SoBig.F will try to connect to port 8998 on one of the hijacked machines. They will transmit a secret 8-byte code, which will cause the hijacked machines to return a web link to a site from which the malicious code can be downloaded.

Attempts to discover this target link have so far been foiled, as the worm's writer used a bogus URL. Experts believe that this link would be changed to the real one a few seconds before the deadline, too late for companies to block.

Spider.007 schreef op 25 August 2003 @ 10:40:
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?

ik vindt toch dat wel dit wel even kunnen oplossen

F_J_K schreef op 25 augustus 2003 @ 10:56:
[...]

Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe ) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken

[...]

Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.

Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?

de maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.

k-oz schreef op 25 August 2003 @ 16:28:
[...]


idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.

k-oz schreef op 25 augustus 2003 @ 18:51:
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie

WimB schreef op 25 August 2003 @ 19:04:
[...]

Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.

BaRF schreef op 03 September 2003 @ 22:06:
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...

Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])

Verwijderd schreef op 03 september 2003 @ 23:45:
[...]

Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]

Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..

Iig, dit is trouwens geen sobig, maar dumaru..

Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank

[ Voor 6% gewijzigd door jagermeister op 03-09-2003 23:56 ]

Verwijderd schreef op 04 September 2003 @ 00:05:
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)

Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..

jagermeister1 schreef op 03 September 2003 @ 23:55:
[...]

Tuurlijk wil ik zo lief zijn... ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.

Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?

Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.

Verwijderd schreef op 05 September 2003 @ 08:39:
[...]


Bedankt dat was een goede tip. Ik heb gedaan:

jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....

Planet Abuse Medewerker schreef:

Geachte heer/mevrouw,

Bedankt voor uw bericht. In onze auto-reply heeft u kunnen lezen dat wij nooit een terugkoppeling geven op zaken die u ons mailt. Naar aanleiding van onderstaande informatie nemen wij gepaste maatregelen tegen onze gebruiker.

Met vriendelijke groeten,


Abuse - Planet Media Group
abuse@planet.nl / abuse@hetnet.nl

Header van de besmette mailtjes:

Return-path: <admin@duma.gov.ru>
Received: from smtp02.wxs.nl ([195.121.5.16])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HLD00EZQB2FNS@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
17 Sep 2003 17:56:39 +0100 (WEST)
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HLD00KD7BBTNI@smtp02.wxs.nl> for xxxxxxxxxx@planet.nl
(ORCPT xxxxxxxxx@planet.nl); Wed, 17 Sep 2003 19:02:20 +0200 (MEST)
Date: Wed, 17 Sep 2003 19:02:18 +0200 (MEST)
Date-warning: Date header was inserted by smtp02.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxx@planet.nl
Message-id: <0HLD00KDABBUNI@smtp02.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc8232;xxxxxxx@planet.nl

Beste mensen,

Ik wordt de laatste tijd continu bestookt met e-mailtjes waaraan een bestand Patch.exe is bijgevoegd. Dit bestand bevat een zeer vervelende worm, de zogenaamde W32.dumaru worm. Uit de headers van het bericht valt niet precies te herlijden van wie dit afkomstig is, maar het vermoeden bestaat dat het afkomstig is van iemand die mij in zijn/haar adresboek heeft staan en zelf is geinfecteerd met het virus. Zelf ben ik gelukkig niet geinfecteerd, omdat ik mijn virusscanner up 2 date houdt en windows regelmatig update. Om te voorkomen dat na dit mailtje andere mensen uit mijn adresboek geinfecteerd worden doordat de besmette computer adressen uit dit bericht toevoegt heb ik alle mensen uit mijn adresboek in het BCC vak gezet, zodat dit geen problemen zal geven. Ik heb al tig mailtjes richting de Abuse afdeling van Planet en WXS gestuurd, maar ze hebben er tot nog toe niks aan gedaan.

Op de volgende site vindt je info over deze worm: http://www.symantec.com/a...c/data/w32.dumaru@mm.html
Hier vindt je uiteraard ook hoe je het virus zou moeten verwijderen. Er is ook een removaltool te vinden op die pagina (voor de wat luiere personen onder ons... :-) )

(Voor de mensen die minder bekend zijn met computers)
Als je vermoedt dat je besmet bent, maar je hebt geen (of geen up 2 date) virusscanner
klik dan even op deze link: http://security.symantec....3&pkj=ZVOKPRSFLJMVHNMITLP
Als je op de Rode Start knop drukt, dan wordt je computer gescanned op eventueel aanwezige virussen/trojans/wormen. Maak je gebruik van een Firewall op je computer, zet die dan even uit anders werkt de scan niet.


Om sneller te zien of je besmet bent:

In de windows directory kijken of je het bestand winload.log -------------- dllreg.exe of windrv.exe kunt vinden. Dus bijvoorbeeld: C:\Windows of C:\Winnt (hangt van de versie van Windows af)
Je kan ook je computer laten zoeken naar 1 van deze bestanden door bovenstaande bestandsnamen in te voeren in de search van windows, te vinden via Start>Zoeken of Start>Search.

Heb je 1 van bovenstaande bestanden, ga er dan maar vanuit dat je PC is besmet en dan adviseer ik je om even die Removal Tool te downloaden. Hieronder staat een link naar die Tool.
http://www.symantec.com/avcenter/FxDumaru.exe

Windows ME en XP gebruikers: Het is belangrijk dat je de Systeem Herstel functie even uitzet als je de tool gaat gebruiken!
Klik op 1 van onderstaande links om stap voor stap te lezen hoe dat moet:

ME gebruikers klik hier:
http://service1.symantec....sf/docid/2001012513122239

XP gebruikers klik hier:
http://service1.symantec....sf/docid/2001111912274039

Ik hoop dat jullie bereid zijn even te kijken of jullie besmet zijn. Ik wordt namelijk knettergek van die mailtjes.


Alvast bedankt.

Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl

[ Voor 11% gewijzigd door blackd op 18-09-2003 06:35 ]

niwreG schreef op 18 September 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen

blackd schreef op 18 September 2003 @ 06:33:
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:

[...]

en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.

Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.

Als ik dit mag geloven, komt het uit veldhoven?

[ Voor 5% gewijzigd door jagermeister op 18-09-2003 08:13 ]

niwreG schreef op 18 september 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen

SH007 schreef op 18 September 2003 @ 07:47:
[...]

Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken

Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren