[Virus/worm] W32/Sobig.F@mm *

Frieda schreef op 19 August 2003 @ 18:21:
[...]


hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?

CorteX schreef op 19 August 2003 @ 18:42:
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had.

TheVisionMaster schreef op 19 August 2003 @ 18:50:
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen

Klik hier voor het grafiekje!

CorteX schreef op 19 August 2003 @ 19:43:
[...]
Nederland is ook goed vertegenwoordigt. Hij doet alleen gelukkig niet veel kwaad, hoewel Outlook Express gebruikers erop kunnen rekenen dat ze de inhoudt van hun inbox kwijt zijn.

Sobig.F can download arbitrary files to an infected computer and execute them. The author of the worm has used this functionality to steal confidential system information and to set up spam relay servers on infected computers.

This functionality may also be used as a worm self-update feature. Under the correct conditions, Sobig.F attempts to contact one of the list of master servers, which the author of the worm controls. Then, the worm retrieves a URL that it uses to determine where to get the Trojan file, downloads the Trojan file to the local computer, and then executes it.

burp2001 schreef op 19 August 2003 @ 21:41:
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater

maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..

[ Voor 17% gewijzigd door Verwijderd op 20-08-2003 16:28 ]

TheVisionMaster schreef op 19 August 2003 @ 18:30:
[...]
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam. 'k heb ze al even een email gestuurd

[ Voor 15% gewijzigd door Frieda op 19-08-2003 23:28 ]

Verwijderd schreef op 20 August 2003 @ 01:08:
over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?

Verwijderd schreef op 20 August 2003 @ 01:28:
[...]

meel...

[ Voor 9% gewijzigd door Verwijderd op 20-08-2003 02:40 ]

[ Voor 55% gewijzigd door BaRF op 20-08-2003 09:19 ]

Verwijderd schreef op 20 August 2003 @ 09:29:
Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.

Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?

Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.

Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.

[ Voor 198% gewijzigd door aardbeix15 op 20-08-2003 09:55 ]

Kix@$$ schreef op 20 August 2003 @ 09:35:
[...]


Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd.

[ Voor 5% gewijzigd door agentorangina op 20-08-2003 15:42 ]

Sinclair schreef op 20 augustus 2003 @ 10:13:
Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.

paragon schreef op 20 August 2003 @ 15:54:
[...]


Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.

W32.Squirm@mm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag
Bron:
(c) 2003, VirusAlert
Aliassen:

© VirusAlert schaal

Innovatie: 16
Besturing: 35
Logistiek: 15
Schade: 20


Schaal: 21/100


Aanduiding: LASTIG


Eigenschappen:
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.

Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.

Eigenschappen van het e-mailbericht:

* Onderwerp: Microsoft Security Bulletin

* Naam bijlagebestand: patch.zip of patch_329390.exe

* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.

Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr


Preventieve maatregelen:
Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"

2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"


Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

XceeD schreef op 20 August 2003 @ 16:50:
Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm

Verwijderd schreef op 20 augustus 2003 @ 16:57:
[...]


Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?

Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..

Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..

Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?

Cobra_Lup schreef op 20 August 2003 @ 16:59:
[...]


Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.

The sixth version of the Sobig worm has been out in the wild for only one day, but the epidemic has already spread all over the world.

In fact, anti-virus experts at Kaspersky Labs confirm that the Sobig.f epidemic is the most serious outbreak they have witnessed within the last year and a half. Only Klez, an e-mail worm identified in October 2001 and still 'wandering' about in the wild, has infected more computers than Sobig. "Sobig.f has almost achieved the infection rates of Lovesan, a network worm still spreading worldwide," comments Denis Zenkin, Head of Corporate Communications at Kaspersky Labs, "however, while Lovesan is potentially dangerous for the Internet as a whole, Sobig.f endangers individual users: the author of Sobig.f gains total control over infected machines".

Kaspersky Labs e-mail statistics have already proved that Sobig.f is the leader among the more widespread malicious programs. As of 7 AM August 20 (GMT) Sobig.f has accounted for 92% of all malware detected by the in-house anti-virus: currently several hundred thousand computers have been infected.

The widespread rampage of Sobig.f raises several concerns, the primary one being why? Why is a worm that uses a very simple method of infection so successful? Sobig does not exploit vulnerabilities in security systems, since users launch the worm themselves by opening attachments. Most of the computer world is aware of the dangers of clicking on suspicious attachments. It may well be that the author has used a spammer technology to generate a mass mailing of the malware which reached users worldwide.

Verwijderd schreef op 21 August 2003 @ 14:25:
Koop Panda Antivirus Platinum 7.0 iedere dag 1 of meerdere updates

[ Voor 7% gewijzigd door Kix@$$ op 21-08-2003 15:02 ]

Verwijderd schreef op 21 August 2003 @ 16:46:
ergo: jij hebt nog 28 'vrienden' zonder PC-beveiliging.

NokiaFan schreef op 22 augustus 2003 @ 11:02:
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;

Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail...

Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif

Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...

Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?

Verwijderd schreef op 22 August 2003 @ 11:24:
#godlasterende krachtterm#
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.

Muppet schreef op 22 August 2003 @ 15:30:
Weet iemand hoeveel hier van waar is?

http://www2.telegraaf.nl/digi/article3645381.ece

[ Voor 13% gewijzigd door Verwijderd op 22-08-2003 17:14 ]

BoKToR schreef op 23 August 2003 @ 14:48:
Worden er ook al virussen verzonden op naam van iemand anders?

blackd schreef op 23 August 2003 @ 14:53:
[...]

Topic even lezen?
[rml]drexciya in "[ Virus/worm] W32/Sobig.F@mm *"[/rml]

quote: http://www.newscientist.com/news/news.jsp?id=ns99994087

But the machines infected with SoBig.F will try to connect to port 8998 on one of the hijacked machines. They will transmit a secret 8-byte code, which will cause the hijacked machines to return a web link to a site from which the malicious code can be downloaded.

Attempts to discover this target link have so far been foiled, as the worm's writer used a bogus URL. Experts believe that this link would be changed to the real one a few seconds before the deadline, too late for companies to block.

Spider.007 schreef op 25 August 2003 @ 10:40:
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?

ik vindt toch dat wel dit wel even kunnen oplossen

F_J_K schreef op 25 augustus 2003 @ 10:56:
[...]

Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe ) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken

[...]

Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.

Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?

de maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.

k-oz schreef op 25 August 2003 @ 16:28:
[...]


idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.

k-oz schreef op 25 augustus 2003 @ 18:51:
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie

WimB schreef op 25 August 2003 @ 19:04:
[...]

Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.

BaRF schreef op 03 September 2003 @ 22:06:
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...

Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])

Verwijderd schreef op 03 september 2003 @ 23:45:
[...]

Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]

Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..

Iig, dit is trouwens geen sobig, maar dumaru..

Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank

[ Voor 6% gewijzigd door jagermeister op 03-09-2003 23:56 ]

Verwijderd schreef op 04 September 2003 @ 00:05:
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)

Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..

jagermeister1 schreef op 03 September 2003 @ 23:55:
[...]

Tuurlijk wil ik zo lief zijn... ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.

Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?

Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.

Verwijderd schreef op 05 September 2003 @ 08:39:
[...]


Bedankt dat was een goede tip. Ik heb gedaan:

jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....

Planet Abuse Medewerker schreef:

Geachte heer/mevrouw,

Bedankt voor uw bericht. In onze auto-reply heeft u kunnen lezen dat wij nooit een terugkoppeling geven op zaken die u ons mailt. Naar aanleiding van onderstaande informatie nemen wij gepaste maatregelen tegen onze gebruiker.

Met vriendelijke groeten,


Abuse - Planet Media Group
abuse@planet.nl / abuse@hetnet.nl

Header van de besmette mailtjes:

Return-path: <admin@duma.gov.ru>
Received: from smtp02.wxs.nl ([195.121.5.16])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HLD00EZQB2FNS@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
17 Sep 2003 17:56:39 +0100 (WEST)
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HLD00KD7BBTNI@smtp02.wxs.nl> for xxxxxxxxxx@planet.nl
(ORCPT xxxxxxxxx@planet.nl); Wed, 17 Sep 2003 19:02:20 +0200 (MEST)
Date: Wed, 17 Sep 2003 19:02:18 +0200 (MEST)
Date-warning: Date header was inserted by smtp02.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxx@planet.nl
Message-id: <0HLD00KDABBUNI@smtp02.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc8232;xxxxxxx@planet.nl

Beste mensen,

Ik wordt de laatste tijd continu bestookt met e-mailtjes waaraan een bestand Patch.exe is bijgevoegd. Dit bestand bevat een zeer vervelende worm, de zogenaamde W32.dumaru worm. Uit de headers van het bericht valt niet precies te herlijden van wie dit afkomstig is, maar het vermoeden bestaat dat het afkomstig is van iemand die mij in zijn/haar adresboek heeft staan en zelf is geinfecteerd met het virus. Zelf ben ik gelukkig niet geinfecteerd, omdat ik mijn virusscanner up 2 date houdt en windows regelmatig update. Om te voorkomen dat na dit mailtje andere mensen uit mijn adresboek geinfecteerd worden doordat de besmette computer adressen uit dit bericht toevoegt heb ik alle mensen uit mijn adresboek in het BCC vak gezet, zodat dit geen problemen zal geven. Ik heb al tig mailtjes richting de Abuse afdeling van Planet en WXS gestuurd, maar ze hebben er tot nog toe niks aan gedaan.

Op de volgende site vindt je info over deze worm: http://www.symantec.com/a...c/data/w32.dumaru@mm.html
Hier vindt je uiteraard ook hoe je het virus zou moeten verwijderen. Er is ook een removaltool te vinden op die pagina (voor de wat luiere personen onder ons... :-) )

(Voor de mensen die minder bekend zijn met computers)
Als je vermoedt dat je besmet bent, maar je hebt geen (of geen up 2 date) virusscanner
klik dan even op deze link: http://security.symantec....3&pkj=ZVOKPRSFLJMVHNMITLP
Als je op de Rode Start knop drukt, dan wordt je computer gescanned op eventueel aanwezige virussen/trojans/wormen. Maak je gebruik van een Firewall op je computer, zet die dan even uit anders werkt de scan niet.


Om sneller te zien of je besmet bent:

In de windows directory kijken of je het bestand winload.log -------------- dllreg.exe of windrv.exe kunt vinden. Dus bijvoorbeeld: C:\Windows of C:\Winnt (hangt van de versie van Windows af)
Je kan ook je computer laten zoeken naar 1 van deze bestanden door bovenstaande bestandsnamen in te voeren in de search van windows, te vinden via Start>Zoeken of Start>Search.

Heb je 1 van bovenstaande bestanden, ga er dan maar vanuit dat je PC is besmet en dan adviseer ik je om even die Removal Tool te downloaden. Hieronder staat een link naar die Tool.
http://www.symantec.com/avcenter/FxDumaru.exe

Windows ME en XP gebruikers: Het is belangrijk dat je de Systeem Herstel functie even uitzet als je de tool gaat gebruiken!
Klik op 1 van onderstaande links om stap voor stap te lezen hoe dat moet:

ME gebruikers klik hier:
http://service1.symantec....sf/docid/2001012513122239

XP gebruikers klik hier:
http://service1.symantec....sf/docid/2001111912274039

Ik hoop dat jullie bereid zijn even te kijken of jullie besmet zijn. Ik wordt namelijk knettergek van die mailtjes.


Alvast bedankt.

Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl

[ Voor 11% gewijzigd door blackd op 18-09-2003 06:35 ]

niwreG schreef op 18 September 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen

blackd schreef op 18 September 2003 @ 06:33:
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:

[...]

en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.

Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.

Als ik dit mag geloven, komt het uit veldhoven?

[ Voor 5% gewijzigd door jagermeister op 18-09-2003 08:13 ]

niwreG schreef op 18 september 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen

SH007 schreef op 18 September 2003 @ 07:47:
[...]

Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken

Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren