Vandaag op mn werk de eersten om 14.00 binnengekregen. om 15.15 hadden we de boel onder controle na eerst een half uur alle email verkeer te hebben afgesloten naar en van het internet. Nou alleen nog last van wat undeliverable meldingen... maar dit zal morgen ook wel afzwakken tot niets meer
hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?Verwijderd schreef op 19 August 2003 @ 18:09:
Van de Trend site:
--------------------------------------------------------------------------------
It may spoof the FROM field using email addresses found on the infected machine so that its email messages appear to originate from one source but was actually sent from another.
ik verkeerde knop druk
[ Voor 94% gewijzigd door Frieda op 19-08-2003 18:22 ]
Verwijderd
Kun je proberen, maar je komt niet verder dan de isp die wordt gebruikt..Frieda schreef op 19 August 2003 @ 18:21:
[...]
hoe kom ik er dan achter waarvandaan de virusmails verzonden worden? de headers checken van de eerste serie emails waarvan de .pif is afgevangen?
Als je van je contacten weet welke isp ze gebruiken zou je die mensen die de desbetreffende isp gebruiken een mail kunnen sturen, desnoods met een link naar een removal tool. (Bitdefender heeft er iig al eentje).
maar dan weet ik wel zeker of mensen van ons bedrijf besmet zijn of niet. dat vind ik op dit moment het belangrijkste.
aangezien er geen sporen zijn van het virus op de pc's vermoed ik dat er ook geen besmetting heeft plaatsgevonden. dat hoop ik te verifieren door de headers te checken..
iemand een beter plan?
aangezien er geen sporen zijn van het virus op de pc's vermoed ik dat er ook geen besmetting heeft plaatsgevonden. dat hoop ik te verifieren door de headers te checken..
iemand een beter plan?
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam.Verwijderd schreef op 19 augustus 2003 @ 18:25:
[...]
Kun je proberen, maar je komt niet verder dan de isp die wordt gebruikt..
Als je van je contacten weet welke isp ze gebruiken zou je die mensen die de desbetreffende isp gebruiken een mail kunnen sturen, desnoods met een link naar een removal tool. (Bitdefender heeft er iig al eentje).
Heb zelf ook al meer dan 40 geinfecteerde emails ontvangen, en daarnaast nog een aantal emails van mij onbekenden die zeiden dat ik hun ge-emailed had met dit virus. Oftewel, mijn email-adres is als afzender gebruikt door het virus terwijl het door een andere PC/email-client gestuurd werd
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had.
Verwijderd
[spam mode]CorteX schreef op 19 August 2003 @ 18:42:
Ik ben McAfee ff heel dankbaar. Ik heb wel flink wat mails verstuurd helaas voordat ik de netwerkkabel eruit getrokken had.
Kaspersky had een update om 10:30 vanmorgen en was daarmee (een van de) allereerste.
[/spam mode]
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen 
Klik hier voor het grafiekje!
Klik hier voor het grafiekje!
Nederland is ook goed vertegenwoordigt.TheVisionMaster schreef op 19 August 2003 @ 18:50:
Hmm.....op de site van Messagelabs staat wel een indrukwekkend grafiekje...Sobig.F komt de top10 van de ze maand binnen
Klik hier voor het grafiekje!
Verwijderd
Ik vind dit toch niet zo aardig hoor:CorteX schreef op 19 August 2003 @ 19:43:
[...]
Nederland is ook goed vertegenwoordigt.Hij doet alleen gelukkig niet veel kwaad, hoewel Outlook Express gebruikers erop kunnen rekenen dat ze de inhoudt van hun inbox kwijt zijn.
McAfee heeft trouwens een weekly gereleased voor de McAfee users die dat nog niet wisten.Sobig.F can download arbitrary files to an infected computer and execute them. The author of the worm has used this functionality to steal confidential system information and to set up spam relay servers on infected computers.
This functionality may also be used as a worm self-update feature. Under the correct conditions, Sobig.F attempts to contact one of the list of master servers, which the author of the worm controls. Then, the worm retrieves a URL that it uses to determine where to get the Trojan file, downloads the Trojan file to the local computer, and then executes it.
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater
maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..
maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..
Verwijderd
Het virus spooft het 'from' veld...burp2001 schreef op 19 August 2003 @ 21:41:
de nieuwste update voor mcafee is vanaf 4 uur vanmiddag te downloaden ftpeur.nai.com/commonupdater
maare.. ik 'schijn' ook infected te zijn maar Mcafee kan niets op mien hdd vinden..
Je bent dus (waarschijnlijk) niet infected, maar iemand met jouw e-mail in z'n contactlist heeft het virus, maar het wordt verstuurd onder jouw naam...
Verwijderd
NAI: W32/Sobig.f@MM
Symantec: W32.Sobig.F@mm
KAV: I-Worm.Sobig.f
F-Secure: W32/Sobig.F
McAfee: W32/Sobig.f@MM
TrendMicro: WORM_SOBIG.F
CA: Win32.Sobig.F
Webwereld: Nieuwe variant Sobig-virus grijpt snel om zich heen
Waarschuwingsdienst: Sobig.F verspreidt zichzelf snel op verschillende manieren
Computerworld: Navy/Marine Corps Intranet crippled by worm outbreak
CA: Sobig Cleaning Tool
F-Secure: Sobig cleaner
TrendMicro: System Cleaner
Voorkomen: PIF, SCR, BAT, COM, VBS, EXE niet toestaan als bijlage, niet als administrator je mail binnenhalen en poorten 123 (NTP), 995, 996, 997, 998, 999 en 8998 (Unassigned) sluiten met een firewall.
Over de oudere varianten:

Sobig.e - Evolution of the Worm
Symantec: W32.Sobig.F@mm
KAV: I-Worm.Sobig.f
F-Secure: W32/Sobig.F
McAfee: W32/Sobig.f@MM
TrendMicro: WORM_SOBIG.F
CA: Win32.Sobig.F
Webwereld: Nieuwe variant Sobig-virus grijpt snel om zich heen
Waarschuwingsdienst: Sobig.F verspreidt zichzelf snel op verschillende manieren
Computerworld: Navy/Marine Corps Intranet crippled by worm outbreak
CA: Sobig Cleaning Tool
F-Secure: Sobig cleaner
TrendMicro: System Cleaner
Voorkomen: PIF, SCR, BAT, COM, VBS, EXE niet toestaan als bijlage, niet als administrator je mail binnenhalen en poorten 123 (NTP), 995, 996, 997, 998, 999 en 8998 (Unassigned) sluiten met een firewall.
Over de oudere varianten:

Sobig.e - Evolution of the Worm
[ Voor 17% gewijzigd door Verwijderd op 20-08-2003 16:28 ]
Verwijderd
M'n NAV2003 had hem vandaag al te pakken....een keer of vijftien!!!
Dacht ff dat ik populair was, maar helaas.
Dacht ff dat ik populair was, maar helaas.
relayservers van Novaxess. zitten wij ook bij, vond em terug in de headers. heb ze gebeld een uurtje geleden, buiten kantoortijden kunnen ze niet zo heel veel doen. ze denken zelf dat ze zelf niet besmet zijn, maar slechts doorgeefluik. morgen om half 9 zijn ze weer open, dan maar weer bellen. ik hoop dat ik voor die tijd nog van kantoor weg kan.. dit is echt niet grappig meer.TheVisionMaster schreef op 19 August 2003 @ 18:30:
[...]
Ik zag dat heel van die email verstuurd zijn via relay1.esined.net en relay2.esined.net, deze staan op naam van Concepts ICT in A'dam.'k heb ze al even een email gestuurd
[ Voor 15% gewijzigd door Frieda op 19-08-2003 23:28 ]
Ik zal ook eens even met Novaxess gaan bellen morgenFrieda schreef op 19 August 2003 @ 23:28:
[...]
relayservers van Novaxess. zitten wij ook bij, vond em terug in de headers. heb ze gebeld een uurtje geleden, buiten kantoortijden kunnen ze niet zo heel veel doen. ze denken zelf dat ze zelf niet besmet zijn, maar slechts doorgeefluik. morgen om half 9 zijn ze weer open, dan maar weer bellen. ik hoop dat ik voor die tijd nog van kantoor weg kan.. dit is echt niet grappig meer.
Verwijderd
over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?
filteren? ik ga iig NU naar huis.. ben er strontziek van. maar goed, allang blij dat we niet daadwerkelijk besmet zijn geraakt!
Verwijderd
Downloaden moet je ze toch..Verwijderd schreef op 20 August 2003 @ 01:08:
over populair...ik zit nu op 900 mails en het gaat vanaf 2 uur constant door. Ik wordt er helemaal gestoord van, kan ik hieraan doen! uitzitten?
Zou je, of iemand anders, me een sample kunnen sturen?
submitvirus@yahoo.com
Bij voorbaat dank.
Verwijderd
meel...Verwijderd schreef op 20 August 2003 @ 01:13:
[...]
Downloaden moet je ze toch..
Zou je, of iemand anders, me een sample kunnen sturen?
submitvirus@yahoo.com
Bij voorbaat dank.
Verwijderd
doe ik ook...allemaal gelijk de trash in. maar idd, je moet ze toch downloaden...pfff, klotezooi dit, nog nooit gezien.Frieda schreef op 20 augustus 2003 @ 01:12:
filteren? ik ga iig NU naar huis.. ben er strontziek van. maar goed, allang blij dat we niet daadwerkelijk besmet zijn geraakt!
Verwijderd
Weet je het zeker? Want ik heb nog niets gekregen, heb even getest of (geinfecteerde) mails wel aankwamen en dat is het geval.
Edit: Heb hem inmiddels, evengoed bedankt
[ Voor 9% gewijzigd door Verwijderd op 20-08-2003 02:40 ]
Onze mailserver houdt "verdachte" bestanden (of eigenlijk de extensies(!)) tegen. Zo is het dus dat we in 2 dagen ruim 500 SoBig.F hebben, eerst gepakt op extensies, maar na een defenities-update ook als virus. Normaal hebben we misschien 20 a 30 virussen per dag, dus kan je nagaan...!
No production networks were harmed during this posting
Een virus die voor een mailbom zorgt is nooit grappig: afbeelding
Zo trof ik dus vanochtend m'n e-mail box op m'n werk aan
Zo trof ik dus vanochtend m'n e-mail box op m'n werk aan
ik wordt helemaal gek hier! 1500 mails sinds gisteravond 
het nare is dat ze niet allemaal tegelijk gedelete & gebounced kunnen worden omdat mailwasher dan vastloopt... alleen deleten dan maar?
het nare is dat ze niet allemaal tegelijk gedelete & gebounced kunnen worden omdat mailwasher dan vastloopt... alleen deleten dan maar?
[ Voor 55% gewijzigd door BaRF op 20-08-2003 09:19 ]
The space between is where you'll find me hiding, waiting for you
Verwijderd
Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.
Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?
Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.
Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.
Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?
Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.
Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.
Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd.Verwijderd schreef op 20 August 2003 @ 09:29:
Als ik het goed begrijp van 1 van eerdere posts in dit topic zit dit virus te zieken met het From veld. Ik wordt nu zelf namelijk ietwat paranoide, aangezien ik:
Nooit attachments open die ik niet vertrouw, zeker niet als het om executables gaat (kennelijk zijn er nog genoeg mensen die zo stom zijn).
Outlook 2000 SR-2, met de beruchte Security patch (blokkeert standaard uitvoerbare attachments) gebruik.
In Sent Items niets zie.
Met andere woorden, ik kan toch niet besmet worden op deze manier? Toch krijg ik mail terug dat er rommel door mij wordt verstuurd, maar dat kan toch niet?
Ik heb wel 20+ mailtjes binnengekregen met het virus, maar die attachments werden allemaal tegengehouden.
Voor de zekerheid zal ik zo'n removal tool draaien en de andere documentatie nakijken, maar ik wordt hier niet blij van.
gisteren was het hier bij mijn huisgenoten ook feest. Het virus ging als een gek tekeer op een w2k bak, Norton werd constant geopend en gekilled erg vreemd, ook gelijk een mass aan virussen de deur uit.
Uiteindelijk heb ik mijn huisgenote toch kunnen helpen en was het na verwijderen van een regkey, het dumpen van alle temp inet files en het removen van een .exe in de windows map zo gebeurd. Natuurlijk wel alles in save-mode @ dos-prompt doen.
Ik heb het virus dus zonder removal tool toch onder de duim weten te krijgen
, a.d.h.v. de volgende intructies: klik!
Uiteindelijk heb ik mijn huisgenote toch kunnen helpen en was het na verwijderen van een regkey, het dumpen van alle temp inet files en het removen van een .exe in de windows map zo gebeurd. Natuurlijk wel alles in save-mode @ dos-prompt doen.
Ik heb het virus dus zonder removal tool toch onder de duim weten te krijgen
[ Voor 198% gewijzigd door aardbeix15 op 20-08-2003 09:55 ]
snel zeggen: 'De koetsier poetst de postkoets met postkoetspoets'
levensmotto: 'vroeg gedaan is lang gerelaxed!'.
Verwijderd
Dank je wel, dat is een hele opluchting. Irritant alleen dat je op deze manier over kan komen als een sukkel die nog steeds niet heeft geleerd om attachments niet te dubbelklikken.Kix@$$ schreef op 20 August 2003 @ 09:35:
[...]
Hij gooit idd gewoon random e-mail adressen die hij vind in de to en de from. Dus als jij in de from staat wil dat nu juist zeggen dat je hem niet hebt gestuurd.
Ik heb een eigen server waar sendmail op draait en dit virus krijg ik nu ongeveer iedere 30 seconden. Vanochtend ruim 600 mailtjes in m'n mailbox.
Deze header staat er altijd in:
Received: from WS423 ([193.172.27.46])
Het IP adres is bij ieder mailtje hetzelfde. Hoe kan ik sendmail zo instellen dat dit IP adres geblocked wordt. Ik draai Debian Linux. Ik heb al geprobeerd het IP adres in /etc/hosts.deny te zetten, maar dat had geen effect. Komt het wel echt van dit adres? En hoe kan ik deze weigeren?
Deze header staat er altijd in:
Received: from WS423 ([193.172.27.46])
Het IP adres is bij ieder mailtje hetzelfde. Hoe kan ik sendmail zo instellen dat dit IP adres geblocked wordt. Ik draai Debian Linux. Ik heb al geprobeerd het IP adres in /etc/hosts.deny te zetten, maar dat had geen effect. Komt het wel echt van dit adres? En hoe kan ik deze weigeren?
Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.
Verwijderd
Ondertussen hier @work 1550 mails tegengehouden door firewall (we hadden last van een paar vaste afzenders) en 50 door de virusscanner.
* koelkast wordt momenteel ook aangevallen met virusmails. Gelukkig houdt Norton 2003 ze allemaal tegen
Tja hier komen ze ook met honderden binnen.
weet iemand hoe je met groupwise kan filteren op woorden in het onderwerp, bij outlook is dat nog makkelijk maar groupwise?? Heb al zitten kijken in de help en met regels gewerkt maar niet met het gewenste resultaat.
weet iemand hoe je met groupwise kan filteren op woorden in het onderwerp, bij outlook is dat nog makkelijk maar groupwise?? Heb al zitten kijken in de help en met regels gewerkt maar niet met het gewenste resultaat.
Don't argue with fools, they will bring you down to their level and beat you with experience.
Elk half uur krijg ik nu zo'n mail.. om gek van te worden.
gelukkig pakt NAV 2003 het goed aan, maar toch
Ik vind dat de mail servers gewoon moeten scannen op dit
soort virussen, zodat het sowieso nooit in mn mailbox kan komen.
Ik neem aan dat de providers het meeste last hebben,
dus ipv betaald email scan, gewoon standaard op dit soort
zooi scannen.
gelukkig pakt NAV 2003 het goed aan, maar toch
Ik vind dat de mail servers gewoon moeten scannen op dit
soort virussen, zodat het sowieso nooit in mn mailbox kan komen.
Ik neem aan dat de providers het meeste last hebben,
dus ipv betaald email scan, gewoon standaard op dit soort
zooi scannen.
Dit is echt vet irritant, ik check normaal mijn mail altijd via webmail omdat outlook zo vol met gaten zit dat de mail eruit loopt
. Maar nu kan ik niet eens de normale mails er tussenuit halen.
Het gaat allemaal via een sub-mail adres wat ik ooit voor dingen gebruikt heb.. en dat was zelfs 2/3 jaar geleden. Even met de provider bellen of die de box wil gaan blocken. want dit is niet te doen.
Het gaat allemaal via een sub-mail adres wat ik ooit voor dingen gebruikt heb.. en dat was zelfs 2/3 jaar geleden. Even met de provider bellen of die de box wil gaan blocken. want dit is niet te doen.
[ Voor 5% gewijzigd door agentorangina op 20-08-2003 15:42 ]
Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.Sinclair schreef op 20 augustus 2003 @ 10:13:
Ik heb in de afgelopen nacht er ook al zo'n 100 gehad en ze blijven binnenstromen. Het komt bij een XS4ALL user vandaan en ik heb dus 1 mailtje met headers doorgestuurd naar hun abuse afdeling. Ik heb netjes mail gehad dat ze de persoon op de hoogte hebben gesteld, blijkbaar per mail want ze blijven binnenstromen van deze persoon.
Volgens de uitgebreide headers kwam het van een XS4ALL ADSL server met een XS4ALL IP adres. Er is ondertussen actie ondernomen om die gebruiker op de hoogte te stellen, ondertussen stroomt het door......paragon schreef op 20 August 2003 @ 15:54:
[...]
Kwam het echt van hen vandaan of stond het alleen in de from user@xs4all.nl Ik krijg namelijk veel mails binnen die niet afgeleverd kunnen worden alleen zijn deze mails nooit door mij verstuurd.
damn wat een rotzooi.. ik krijg normaal 1 a 2 virus mailtjes per dag.. nu al 20!! van alleen dit virus!
doe niet aan signatures.. uhhh, arghhh
Vandaag is er weer een nieuwe worm actief, hij wordt nog niet herkend door de scanners. Watch out.
W32.Squirm@mm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag
Bron:
(c) 2003, VirusAlert
Aliassen:
© VirusAlert schaal
Innovatie: 16
Besturing: 35
Logistiek: 15
Schade: 20
Schaal: 21/100
Aanduiding: LASTIG
Eigenschappen:
W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.
Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.
Eigenschappen van het e-mailbericht:
* Onderwerp: Microsoft Security Bulletin
* Naam bijlagebestand: patch.zip of patch_329390.exe
* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)
Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice
Maximum Severity Rating: Critical
Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.
Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.
Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr
Preventieve maatregelen:
Herkenning van besmetting:
bestanden
1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip
Registry
2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"
2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"
Verwijder instructies:
1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.
Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm
Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.
Verwijderd
Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?XceeD schreef op 20 August 2003 @ 16:50:
Titel aangepast... er is weer een W32 virus bijgekomen, een nieuwe variant: W32.Squirm@mm
Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..
Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..
Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?
Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.Verwijderd schreef op 20 augustus 2003 @ 16:57:
[...]
Dat alleen maar omdat er een level twee worm write-up op de site van Symantec staat?
Dan was een linkje naar Dumaru logischer geweest omdat die al een paar dagen level drie status heeft..
Een level twee status is niet echt denderend, ik heb Symantec een level twee status zien geven aan lohack.b/c...omdat ze hem pas sinds kort detecteren maar stiekem al meer dan een jaar zo van sites te plukken is..
Of wordt dit een quasi opsom topic met een hele bunch aan virus alerts?
Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.
Verwijderd
Dumaru begon al met een level 3 status..Cobra_Lup schreef op 20 August 2003 @ 16:59:
[...]
Even voor de beeldvorming. W32.Blaster.worm is ook begonnen met een klasse 2 status, welke door alle anti-virus bedrijven snel omhoog geclassificeerd werd.
Ik wil alleen maar zeggen dat die level 2 status vaker niets dan wel iets heeft te betekenen.
Mis ik iets...McAfee herkent de worm waar jij het over hebt al sinds gisterenCobra_Lup schreef op 20 August 2003 @ 16:48:
Vandaag is er weer een nieuwe worm actief, hij wordt nog niet herkend door de scanners. Watch out.
[...]
McAfee info
[ Voor 15% gewijzigd door TheVMaster op 20-08-2003 17:12 . Reden: toch niet helemaal correct! ]
offtopic:
In overleg met XceeD: toch maar weer de titel terug veranderd
(andere virussen dus ajb in andere virussen bespreken: dan is zo'n topic wat nuttiger voor mensen die er last van hebben en voor de search
)
Een groot virus topic voor alle W32 virussen (oftewel alle virussen die onder W9x en WNTx werken) werkt niet, een lijst 'ik ook' heeft geen zin en verschillende virussen hebben verschillende symptomen en oplossingen
Trouwens is een topic per virus IMHO ook niet altijd nodig zolang het geen erg gevaarlijk / snel opkomend / veel slopend virus is of iemand natuurlijk besmet is en het niet zonder hulp kan schoonmaken: maar momenteel loopt er al een draadje in LA om daar verder over te discussieren
In overleg met XceeD: toch maar weer de titel terug veranderd
(andere virussen dus ajb in andere virussen bespreken: dan is zo'n topic wat nuttiger voor mensen die er last van hebben en voor de search
Een groot virus topic voor alle W32 virussen (oftewel alle virussen die onder W9x en WNTx werken) werkt niet, een lijst 'ik ook' heeft geen zin en verschillende virussen hebben verschillende symptomen en oplossingen
Trouwens is een topic per virus IMHO ook niet altijd nodig zolang het geen erg gevaarlijk / snel opkomend / veel slopend virus is of iemand natuurlijk besmet is en het niet zonder hulp kan schoonmaken: maar momenteel loopt er al een draadje in LA om daar verder over te discussieren
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Verwijderd
Misschien een onnodige kick, maar toch noemenswaardig imo..
Kaspersky press release:
Dit bevestigt bij mij toch een beetje wat ik eerder al dacht, meeste virussen zouden zich stukken beter kunnen verspreiden als ze niet zo rot waren gecode..
Lovsan had qua potentie meer dan een miljoen gebruikers kunnen infecteren, niet gebeurt, waarom? omdat het door een complete leek is gemaakt..
En zo zijn er nog talloze voorbeelden.
Kaspersky press release:
Zoals het artikel al zegt, danig veel infected users voor het principe hoe het ding zich verspreidt..The sixth version of the Sobig worm has been out in the wild for only one day, but the epidemic has already spread all over the world.
In fact, anti-virus experts at Kaspersky Labs confirm that the Sobig.f epidemic is the most serious outbreak they have witnessed within the last year and a half. Only Klez, an e-mail worm identified in October 2001 and still 'wandering' about in the wild, has infected more computers than Sobig. "Sobig.f has almost achieved the infection rates of Lovesan, a network worm still spreading worldwide," comments Denis Zenkin, Head of Corporate Communications at Kaspersky Labs, "however, while Lovesan is potentially dangerous for the Internet as a whole, Sobig.f endangers individual users: the author of Sobig.f gains total control over infected machines".
Kaspersky Labs e-mail statistics have already proved that Sobig.f is the leader among the more widespread malicious programs. As of 7 AM August 20 (GMT) Sobig.f has accounted for 92% of all malware detected by the in-house anti-virus: currently several hundred thousand computers have been infected.
The widespread rampage of Sobig.f raises several concerns, the primary one being why? Why is a worm that uses a very simple method of infection so successful? Sobig does not exploit vulnerabilities in security systems, since users launch the worm themselves by opening attachments. Most of the computer world is aware of the dangers of clicking on suspicious attachments. It may well be that the author has used a spammer technology to generate a mass mailing of the malware which reached users worldwide.
Dit bevestigt bij mij toch een beetje wat ik eerder al dacht, meeste virussen zouden zich stukken beter kunnen verspreiden als ze niet zo rot waren gecode..
Lovsan had qua potentie meer dan een miljoen gebruikers kunnen infecteren, niet gebeurt, waarom? omdat het door een complete leek is gemaakt..
En zo zijn er nog talloze voorbeelden.
Verwijderd
Wat ik trouwens nog steeds niet begrijp is dat mensen nog steeds niet hebben geleerd om NIET te dubbelklikken op een attachment. Is dat nu nog niet doorgedrongen tot al die eindgebruikers?
Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.
Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.
Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.
Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.
[beetje-off-topic]
Je moet hem dan natuurlijk wel goed ingesteld hebben
.
[/beetje-off-topic]
Mja, kun je beter zeggen: Koop een anti-virus pakket die in de top 5 staat, want de meeste anti-virus programma's hebben zoizo meerdere updates per dag.Verwijderd schreef op 21 August 2003 @ 14:25:
Koop Panda Antivirus Platinum 7.0iedere dag 1 of meerdere updates
Je moet hem dan natuurlijk wel goed ingesteld hebben
[/beetje-off-topic]
[ Voor 7% gewijzigd door Kix@$$ op 21-08-2003 15:02 ]
Sjee, vandaag 28 van deze krengen binnengekregen op een emailadres wat ik pas 3 maanden heb
Zet het totaal op 40 in 3 dagen ! Is dat normaal ?
Mother, will they like this song?
Verwijderd
Mja, hoeveel mensen denken er wel niet dat als de virusscanner niet piept, de file niet geïnfecteerd kan zijn?Verwijderd schreef op 21 August 2003 @ 16:46:
ergo: jij hebt nog 28 'vrienden' zonder PC-beveiliging.
De grootste AVs waren gewoonweg te laat imo..
Het virus was al uren bezig met verspreiden toen McAfee/Symantec met een officiële update kwamen..
Verwijderd
Holy f*ck! Kom ik na een weekje vakantie thuis terug, vind ik meer dan 600 van die %^$#^@$ berichten plus nog eens negenentachtig bounce messages in mijn mailbox. Gelukkig maar dat er zoiets als Mailwasher bestaat, want ik zit er niet op te wachten die rommel à 100 KB per stuk eerst te moeten downloaden. Het bewuste account was de laatste tijd ook al onder een spam-bombardement gekomen (zal wel een dictionary attack geweest zijn; ik gebruikte het e-mail adres nooit publiekelijk), maar per vandaag gaat de stekker er helemaal uit.
Deze worm schijnt trouwens bedoeld te zijn om ongepatchte machines in spam-relays te veranderen. Zo kunnen spammers mooi de blacklists omzeilen. Zie dit nieuwsbericht.
Ik ben bang dat ik Mailwasher de komende tijd nog hard nodig zal hebben.
Deze worm schijnt trouwens bedoeld te zijn om ongepatchte machines in spam-relays te veranderen. Zo kunnen spammers mooi de blacklists omzeilen. Zie dit nieuwsbericht.
Ik ben bang dat ik Mailwasher de komende tijd nog hard nodig zal hebben.
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;
Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail...
Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif
Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...
Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?
Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail...
Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif
Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...
Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?
Jep, je kan in Outlook Express ook makkelijk berichtregels aanmaken. Ik weet alleen niet of je ook aan kan zetten dat tie niet moet zeggen dat er een nieuw bericht is.NokiaFan schreef op 22 augustus 2003 @ 11:02:
Voor de Macintosh gebruikers heb ik wellicht ook een makkelijke oplossing; je schrijft je eigen Berichtregel onder Entourage;
Alle e-mail geïnfecteerd met het virus zullen vanzelf in de map
deleted items komen te staan, gemarkeerd als gelezen en je krijgt geen melding van een nieuwe e-mail...
Zie mijn screenshot:
http://www.nokiafan.nl/mac.gif
Je kunt deze natuurlijk je eigen variaties toepassen, maar dit leek me voorlopig wel zo handig...
Weet iemand toevallig ook, of dit easy te realiseren is onder Outlook Express?
Verwijderd
#godlasterende krachtterm# Wat is dit nu? Terwijl dit virus al dagenlang in de media wordt belicht krijg ik vandaag dus ineens binnen 1 uur 20 mails binnen met dit virus! Wordt er gek van
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.
* KO vindt het raar dat god gelasterd wordtVerwijderd schreef op 22 August 2003 @ 11:24:
#godlasterende krachtterm#
/me vindt het raar dat mensen hun auto en huis verzekeren tegen diefstal maar niet de moeite nemen een AV-programma te kopen.
Yesterday Is History. Today Is A Gift. Tomorrow Is Mystery
There is no art to find the minds construction in the face
Verwijderd
Ik dacht dat het onzin was, omdat de nederlandse media op z'n minst sjrottie te noemen is als het over virussen gaat maar..Muppet schreef op 22 August 2003 @ 15:30:
Weet iemand hoeveel hier van waar is?
http://www2.telegraaf.nl/digi/article3645381.ece
Het is ongeveer waar
Heb een Kaspersky analist gemailed en die bevestigde het.
Press release van Kaspersky is nog niet uit, maar zal dus nog wel komen.
Tot die tijd: F-Secure's press release
Edit: Er wordt vanuit gegaan dat we er dadelijk 400 000(of hoeveel pc's er ook infected zijn) spam machines bij hebben, ain't that great?
[ Voor 13% gewijzigd door Verwijderd op 22-08-2003 17:14 ]
Op mijn stage zitten we sinds dinsdag avond inmiddels op zon 2000 stuks.
Gemiddeld zijn het er zo'n 5 - 15 per minuut.
Gelukkig waren we ruim op tijd beschermt maar toch maar ff alle pc's laten scannen voor de zekerheid
Gemiddeld zijn het er zo'n 5 - 15 per minuut.
Gelukkig waren we ruim op tijd beschermt maar toch maar ff alle pc's laten scannen voor de zekerheid
Verwijderd
Update:
De FBI heeft ervoor gezorgd dat de 20 computers waartoe alle sobig.f geïnfecteerde pc's naar zouden connecten van het internet afgesloten zijn geworden..
Lees een klein verslagje hier.
Heb me laten vertellen dat ze inmiddels alle 20 down zijn, dus helemaal up to date is het (nog)niet.
De FBI heeft ervoor gezorgd dat de 20 computers waartoe alle sobig.f geïnfecteerde pc's naar zouden connecten van het internet afgesloten zijn geworden..
Lees een klein verslagje hier.
Heb me laten vertellen dat ze inmiddels alle 20 down zijn, dus helemaal up to date is het (nog)niet.
Ik kreeg zojuist een mail van KPN, dat ze een mail van mij hebben ontvangen met een virus. Ik snap er helemaal niks van, aangezien m'n virusscanners alles onderscheppen, en omdat ik nog nooit een attachment heb geopend (behalve dan de door norton gegenereerde tekstbestanden).
Zojuist een Sobig-scanner gedraaid, die meldt ook niks....
Worden er ook al virussen verzonden op naam van iemand anders?
Zojuist een Sobig-scanner gedraaid, die meldt ook niks....
Worden er ook al virussen verzonden op naam van iemand anders?
Topic even lezen?BoKToR schreef op 23 August 2003 @ 14:48:
Worden er ook al virussen verzonden op naam van iemand anders?
[rml]drexciya in "[ Virus/worm] W32/Sobig.F@mm *"[/rml]
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
okey, bedankt. Ja dus...blackd schreef op 23 August 2003 @ 14:53:
[...]
Topic even lezen?
[rml]drexciya in "[ Virus/worm] W32/Sobig.F@mm *"[/rml]
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?
Ik heb hier en hier nog niets kunnen vinden.
ik vindt toch dat wel dit wel even kunnen oplossen:
Ik heb hier en hier nog niets kunnen vinden.
ik vindt toch dat wel dit wel even kunnen oplossen:
But the machines infected with SoBig.F will try to connect to port 8998 on one of the hijacked machines. They will transmit a secret 8-byte code, which will cause the hijacked machines to return a web link to a site from which the malicious code can be downloaded.
Attempts to discover this target link have so far been foiled, as the worm's writer used a bogus URL. Experts believe that this link would be changed to the real one a few seconds before the deadline, too late for companies to block.
---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate
Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toeSpider.007 schreef op 25 August 2003 @ 10:40:
Zijn er al mensen bezig geweest met analyse van de worm; en zijn er eventueel sourcecodes beschikbaar?
Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-wormik vindt toch dat wel dit wel even kunnen oplossen
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.
Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?
'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)
Uiteraardt vraag ik hier niet om broncode te posten die misbruikt kan worden voor nieuwe virussen maar eerlijkgezegd denk ik dat een virus wat zich op deze manier verspreid (de welbekende attachment en p2p distributiekanalen) toch niet moeilijk door scanners opgepakt moet kunnen worden (dus ook afgeleiden hiervan).F_J_K schreef op 25 augustus 2003 @ 10:56:
[...]
Pas wel een beetje op ajb met het posten van al te veel broncode: het virus zelf is niet moeilijk te vinden (kot vanzelf naar je toe) en er is op het net veel te vinden over virussen bakken. Maar laten we het script kiddies die twee regels aanpassen en een nieuw virus de wereld insturen, het niet te makkelijk maken
Dat intrigeerd mij ook; het lijkt erop dat er 20 machines zijn die een URL kunnen gaan doorsturen. Deze machines zijn door de providers al afgeschermd en dus onbereikbaar op 1 na die als honeypot functioneerd. Deze 20 machines geven een URL terug na een geheime 8-bit code. Momenteel geven deze machines nog niet bestaande URL's door; er wordt verwacht dat dit op het allerlaatste moment wordt aangepast door de virus schrijver. Verder kan de lijst met 20 machines die in de worm zit geprogrammeerd nog worden aangepast; al is mij niet duidelijk hoe dit moet gebeuren. Eventueel kan hier een nieuwe worm voor worden losgelaten.[...]
Zie trouwens ook nieuws: NewScientist komt met details over Sobig.F-worm
Maar als ik het goed begrijp, zijn het juist de servers die de URL (gaan) bevatten; en dan helpt de broncode van de client (het virus) niet - of in ieder geval niet zonder de broncode van de servercomponent.
Maar die servers van het net gooien lijkt me dan wel weer een voor de hand liggende oplossing?
---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate
de maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.
klaarblijkelijk willen we niets leren van wat er in het verleden is gebeurd, waardoor de maker steeds verder komt met het bereiken van zijn doel.
klaarblijkelijk willen we niets leren van wat er in het verleden is gebeurd, waardoor de maker steeds verder komt met het bereiken van zijn doel.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.Verwijderd schreef op 21 August 2003 @ 13:42:
Wat ik trouwens nog steeds niet begrijp is dat mensen nog steeds niet hebben geleerd om NIET te dubbelklikken op een attachment. Is dat nu nog niet doorgedrongen tot al die eindgebruikers?
Het is wel leuk om een forum als dit erover te praten, maar degene die dit steeds weer voor elkaar krijgen bereik je er kennelijk niet mee.
Mijns inziens is het tijd voor hardere acties bij zowel mail-programma's als providers, laat standaard al die stomme attachments blokkeren dan zijn we van de meeste problemen af.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Verwijderd
Er zat toch wel wat tijd tussen sobig.c en sobig.e, er zat toch flink wat tijd tussen sobig.e en sobig.fde maker is bezig om zijn virus te perfectioneren. kijkend naar de history is het aannemelijk dat er 11 september weer een nieuwe (verbeterde) versie gaat rondwaren.
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
Raar, begin dit jaar gingen er ook een aantal virussen rond. Deze kreeg ik dan ook zeer veel en mijn mailboxen. Maar nu heb ik er nog geen één ontvangen, terwijl je de laatste tijd wel heel veel leest over virussen die zich razendsnel verspreiden.
Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?k-oz schreef op 25 August 2003 @ 16:28:
[...]
idd ; het lijkt mij ook logisch dat berichten bij de ISP worden gescant, cq worden gestript (dit gebeurt oa bij AOL). Ik ben zeker voor privacy, maar ik denk dat het blokkeren van pif attachments geen inbreuk maakt op de privacy. Mogelijk een idee om standaard deze 'service' te bieden en stel je hier geen prijs op, dan weet je vaak wel wat je doet, dan kun je aangeven dat berichten niet worden gefilterd. Een soortgelijke optie die Microsoft nu naar alle waarschijnlijkheid wil gaan implementeren, maar dan met hun software-updates.
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.
Verwijderd
Ik heb het over de andere, tenzij je de coder zelf bent kun je er echt niet veel zinnigs over zeggen..k-oz schreef op 25 augustus 2003 @ 18:51:
c volgde direct na beeindiging van b , daarnaast lijkt 11/9 een voor de hand liggende datum voor mogelijk een zeer 'hardnekkige' versie
alle executables zou je dan moeten blokkeren. Het versturen van een exe of welke executable dan ook zou je kunnen doen door de extensie te hernoemen (._xe)WimB schreef op 25 August 2003 @ 19:04:
[...]
Bijlagen blokkeren ligt misschien wat moeilijk. Wat doe je dan met een .exe?
Ik vind dat ISP's de binnenkomende mails moeten scannen op virussen. Niemand heeft er (volgens mij) iets op tegen wanneer een virus uit zijn mailbox wordt verwijderd.
...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...
The space between is where you'll find me hiding, waiting for you
Verwijderd
Het vernietigt zich niet, het stopt met verspreiden..
Het virus blijft wel actief op de pc's waar het op gerund wordt.
Het virus blijft wel actief op de pc's waar het op gerund wordt.
Kijk in de headers van de mail via welke server ze gestuurd worden. Stuur dan 1 complete mail met header naar abuse@gevondenserver.xx met de vraag als ze die gebruiker aan kunnen pakken.BaRF schreef op 03 September 2003 @ 22:06:
klopt het trouwens nou dat het virus zichzelf vernietigd op de 10e? ik hoop het, want mn zeelandnet account zit elke dag vol met 2399 mails... ik krijg nu dammit zon 20 mails per minuut die mij er op wijzen dat ik het virus rondstuur, terwijl dat uiteraard niet zo is. Maar het blijft erg vervelend...
Ik heb een week terug een dezelfde situatie gehad en het kwam bij WXS vandaan, na 15 min kreeg ik een bevestiging en aan het einde van de dag was het over.
Ik wordt er ook echt stront ziek van. Elke keer als ik Outlook start heb ik weer een stuk of 5 van die krengen. Virusscanner gelijk blaten als een gek natuurlijk. Wat kan ik er nou wezenlijk tegen doen. De afzender is iedere keer dit:
Return-path: <admin@duma.gov.ru>
ff dat adres door google halen levert niet veel op behalve dan hoe je de worm moet verwijderen, maar niet hoe ik die mailtjes stop.
Wat kan ik nu nog doen?
Return-path: <admin@duma.gov.ru>
ff dat adres door google halen levert niet veel op behalve dan hoe je de worm moet verwijderen, maar niet hoe ik die mailtjes stop.
Wat kan ik nu nog doen?
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Kijken naar het ip adres, opzoeken welke isp daar bij hoort.
Mail sturen naar abuse afdeling.
Mail sturen naar abuse afdeling.
Ok, maar wat is dan het IP adres?
Return-path: <admin@duma.gov.ru>
Received: from smtp09.wxs.nl ([195.121.5.24])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HKN0054R4GW7B@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
03 Sep 2003 14:36:32 +0100 (WEST)
Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
by smtp09.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HKN00BNL4FUSC@smtp09.wxs.nl> for xxxxxxxxxxxxx@planet.nl
(ORCPT xxxxxxxx@planet.nl); Wed, 03 Sep 2003 15:35:56 +0200 (MEST)
Date: Wed, 03 Sep 2003 15:35:54 +0200 (MEST)
Date-warning: Date header was inserted by smtp09.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxxxxx@planet.nl
Message-id: <0HKN00BNM4FUSC@smtp09.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc822;xxxxxxx@planet.nl
Ik neem uit bovenstaande headers aan dat het van WXS afkomt. Klopt dit? Sorry als dit een beetje een stomme vraag is.
Ik haal die headers zo wel weer weg.
Return-path: <admin@duma.gov.ru>
Received: from smtp09.wxs.nl ([195.121.5.24])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HKN0054R4GW7B@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
03 Sep 2003 14:36:32 +0100 (WEST)
Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
by smtp09.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HKN00BNL4FUSC@smtp09.wxs.nl> for xxxxxxxxxxxxx@planet.nl
(ORCPT xxxxxxxx@planet.nl); Wed, 03 Sep 2003 15:35:56 +0200 (MEST)
Date: Wed, 03 Sep 2003 15:35:54 +0200 (MEST)
Date-warning: Date header was inserted by smtp09.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxxxxx@planet.nl
Message-id: <0HKN00BNM4FUSC@smtp09.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc822;xxxxxxx@planet.nl
Ik neem uit bovenstaande headers aan dat het van WXS afkomt. Klopt dit? Sorry als dit een beetje een stomme vraag is.
Ik haal die headers zo wel weer weg.
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Dat is 'm..maar als ik heb trace dan krijg ik:Received: from localhost (xxxxxxxxx.speed.planet.nl [145.53.203.25])
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]
Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..
Iig, dit is trouwens geen sobig, maar dumaru..
Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank
Tuurlijk wil ik zo lief zijn...Verwijderd schreef op 03 september 2003 @ 23:45:
[...]
Dat is 'm..maar als ik heb trace dan krijg ik:
ip9135cb19.adsl-surfen.hetnet.nl [145.53.203.25]
Apart? Misschien dat planet/hetnet ip's gezamenlijke ip's hebben oid?
Geen idee hoe dynamisch ip's zijn bij adsl hier in Nederland.
En ook al WXS dingetje..
Iig, dit is trouwens geen sobig, maar dumaru..
Zou je zo lief willen zijn om de sample naar me te sturen?
Ik heb tot nu toe alleen nog maar de mails mogen ontvangen, want de files werden gecleaned door de mailscanner... Bij voorbaat dank
Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?
Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.
[ Voor 6% gewijzigd door jagermeister op 03-09-2003 23:56 ]
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)
Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
Idd vaag ja. In iedergeval heb ik een mailtje naar WXS en naar Planet gestuurd, maar volgens mij is het beide de Planet Media groep aangezien ik dezelfde autoreply terug krijg.Verwijderd schreef op 04 September 2003 @ 00:05:
Heb de trace nu eens laten doorlopen, eerst alleen gekeken naar dns naam en het lijkt dus een wxs user te zijn..(het zou vooral niet handig zijn dat ook gewoon in de dns naam te gooien..)
Het moet van 145.53.203.25 zijn afgekomen(correct me if I am wrong), alleen zo raar dat dat in de header een andere dns naam staat..
- specs - Download mijn custom BF2 map HIER NIET MEER
Verwijderd
Bedankt dat was een goede tip. Ik heb gedaan:jagermeister1 schreef op 03 September 2003 @ 23:55:
[...]
Tuurlijk wil ik zo lief zijn...ik mail hem zodra ik er weer 1 heb, want ik heb ze net verwijderd ( Ook uit de quarantined-items ). Ik krijg er ongetwijfeld nog een berg binnen. Dat zal morgenmiddag wel weer zijn. Meestal duurt het ff, maar dan krijg ik er meteen een stuk of 5.
Uh...ik zit zelf bij planet. Zo te zien wordt het via wxs haar SMTP server gestuurd, of zie ik dat verkeerd?
Ik wist dat het een W32.Dumaru@mm is, maar dacht dat het een sobig variant was.
jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....
Dat betekent denk ik dat er een spammer besmet is, veel spam loopt via de servers van pacbellVerwijderd schreef op 05 September 2003 @ 08:39:
[...]
Bedankt dat was een goede tip. Ik heb gedaan:
jochen@debianserver# whois xxx.xxx.xxx.xxx en kreeg daar een bedrijf PACBELL uit...heb hun abuse afdeling gemaild. Hopelijk reageren ze snel....
Verwijderd
Ik heb hem al gemaild, maar krijg die mail terug met de boodschap dat zijn mailbox vol is.
Kennelijk heeft hij zelf ook overlast.
Ik heb Wanadoo ook al gemaild abuse@wanadoo.nl over mijn probleem.
Wat zou ik er verder nog aan kunnen doen...ik wordt er doodmoe van...ben net 3 uur wegeweest van me PC...en weer heb ik 150 berichten in me mailbox...12,3 MB...
Kennelijk heeft hij zelf ook overlast.
Ik heb Wanadoo ook al gemaild abuse@wanadoo.nl over mijn probleem.
Wat zou ik er verder nog aan kunnen doen...ik wordt er doodmoe van...ben net 3 uur wegeweest van me PC...en weer heb ik 150 berichten in me mailbox...12,3 MB...
Sorry voor het schoppen van dit topic, maar ik wordt nog steeds gespammed met die virusmailtjes. Zij het dat ik er zo'n 5 a 6 per dag in mijn mailbox aantref. Ik heb die honden van de abuse afdeling @ planet al een stuk of 5 x gemaild. 1x (1,5 weken geleden) kreeg ik dit antwoord:
Toch vaag dat deze geïnfecteerde berichten gewoon vrolijk door de SMTP servers heen wandelen. Ik las ergens dat deze worm een SMTP server op het besmette systeem aanmaakt, maar dat betekend dan toch niet dat de provider er niets aan kan doen? Ik zal nogmaals een header posten, misschien dat 1 van jullie nog iets ontdekt.
Excuses voor de lap text
Ik heb ze, voor deze reactie, meerdere malen een mailtje inclusief headers en uitleg van het probleem gemaild. Nu zijn we weer een tijd verder , dus ik dacht een paar dagen geleden.."Kom laat ik Planet nog eens mailen aangezien ik g1 verandering heb gemerkt en laat ik ze dan meteen ff weten dat ik het vreemd vind dat ze me geen verdere terugkoppeling over het probleem geven" Wat denk je .... géén reactie, maar de stroom mailtjes gaat onverhinderd door.Planet Abuse Medewerker schreef:
Geachte heer/mevrouw,
Bedankt voor uw bericht. In onze auto-reply heeft u kunnen lezen dat wij nooit een terugkoppeling geven op zaken die u ons mailt. Naar aanleiding van onderstaande informatie nemen wij gepaste maatregelen tegen onze gebruiker.
Met vriendelijke groeten,
Abuse - Planet Media Group
abuse@planet.nl / abuse@hetnet.nl
Toch vaag dat deze geïnfecteerde berichten gewoon vrolijk door de SMTP servers heen wandelen. Ik las ergens dat deze worm een SMTP server op het besmette systeem aanmaakt, maar dat betekend dan toch niet dat de provider er niets aan kan doen? Ik zal nogmaals een header posten, misschien dat 1 van jullie nog iets ontdekt.
Ik heb vorige week ook een n00b-proof mailtje gestuurd naar iedereen in mijn adresboek (BCC om anderen deze ellende te besparen) met het volgende verhaal:Header van de besmette mailtjes:
Return-path: <admin@duma.gov.ru>
Received: from smtp02.wxs.nl ([195.121.5.16])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003))
with ESMTP id <0HLD00EZQB2FNS@po08.wxs.nl> for xxxxxxx@ims-ms-daemon; Wed,
17 Sep 2003 17:56:39 +0100 (WEST)
Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.14 (built Mar 18 2003)) with SMTP id
<0HLD00KD7BBTNI@smtp02.wxs.nl> for xxxxxxxxxx@planet.nl
(ORCPT xxxxxxxxx@planet.nl); Wed, 17 Sep 2003 19:02:20 +0200 (MEST)
Date: Wed, 17 Sep 2003 19:02:18 +0200 (MEST)
Date-warning: Date header was inserted by smtp02.wxs.nl
From: Microsoft <security@microsoft.com>
Subject: Use this patch immediately !
To: xxxxxxxx@planet.nl
Message-id: <0HLD00KDABBUNI@smtp02.wxs.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary=xxxx
Original-recipient: rfc8232;xxxxxxx@planet.nl
Ik heb volgens mij nu zowat alles gedaan wat binnen mijn kunnen ligt. Iemand nog andere tips...Beste mensen,
Ik wordt de laatste tijd continu bestookt met e-mailtjes waaraan een bestand Patch.exe is bijgevoegd. Dit bestand bevat een zeer vervelende worm, de zogenaamde W32.dumaru worm. Uit de headers van het bericht valt niet precies te herlijden van wie dit afkomstig is, maar het vermoeden bestaat dat het afkomstig is van iemand die mij in zijn/haar adresboek heeft staan en zelf is geinfecteerd met het virus. Zelf ben ik gelukkig niet geinfecteerd, omdat ik mijn virusscanner up 2 date houdt en windows regelmatig update. Om te voorkomen dat na dit mailtje andere mensen uit mijn adresboek geinfecteerd worden doordat de besmette computer adressen uit dit bericht toevoegt heb ik alle mensen uit mijn adresboek in het BCC vak gezet, zodat dit geen problemen zal geven. Ik heb al tig mailtjes richting de Abuse afdeling van Planet en WXS gestuurd, maar ze hebben er tot nog toe niks aan gedaan.
Op de volgende site vindt je info over deze worm: http://www.symantec.com/a...c/data/w32.dumaru@mm.html
Hier vindt je uiteraard ook hoe je het virus zou moeten verwijderen. Er is ook een removaltool te vinden op die pagina (voor de wat luiere personen onder ons... :-) )
(Voor de mensen die minder bekend zijn met computers)
Als je vermoedt dat je besmet bent, maar je hebt geen (of geen up 2 date) virusscanner
klik dan even op deze link: http://security.symantec....3&pkj=ZVOKPRSFLJMVHNMITLP
Als je op de Rode Start knop drukt, dan wordt je computer gescanned op eventueel aanwezige virussen/trojans/wormen. Maak je gebruik van een Firewall op je computer, zet die dan even uit anders werkt de scan niet.
Om sneller te zien of je besmet bent:
In de windows directory kijken of je het bestand winload.log -------------- dllreg.exe of windrv.exe kunt vinden. Dus bijvoorbeeld: C:\Windows of C:\Winnt (hangt van de versie van Windows af)
Je kan ook je computer laten zoeken naar 1 van deze bestanden door bovenstaande bestandsnamen in te voeren in de search van windows, te vinden via Start>Zoeken of Start>Search.
Heb je 1 van bovenstaande bestanden, ga er dan maar vanuit dat je PC is besmet en dan adviseer ik je om even die Removal Tool te downloaden. Hieronder staat een link naar die Tool.
http://www.symantec.com/avcenter/FxDumaru.exe
Windows ME en XP gebruikers: Het is belangrijk dat je de Systeem Herstel functie even uitzet als je de tool gaat gebruiken!
Klik op 1 van onderstaande links om stap voor stap te lezen hoe dat moet:
ME gebruikers klik hier:
http://service1.symantec....sf/docid/2001012513122239
XP gebruikers klik hier:
http://service1.symantec....sf/docid/2001111912274039
Ik hoop dat jullie bereid zijn even te kijken of jullie besmet zijn. Ik wordt namelijk knettergek van die mailtjes.
Alvast bedankt.
Excuses voor de lap text
- specs - Download mijn custom BF2 map HIER NIET MEER
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.
Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.
Als ik dit mag geloven, komt het uit veldhoven?
en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).Received: from localhost (ip9135cb19.speed.planet.nl [145.53.203.25])
by smtp02.wxs.nl
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.
Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.
Als ik dit mag geloven, komt het uit veldhoven?
[ Voor 11% gewijzigd door blackd op 18-09-2003 06:35 ]
9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen
^^eventueele typfouten zijn als vermaak bedoeld
Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokkenniwreG schreef op 18 September 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen
Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren
Thanks. Op Planet reken ik iig niet meer. Tja...als ik mijn IP trace op die whois site, dan zou ik uit Amsterdam moeten komen. Dat is dus niet zo. Ik ga idd eens opzoek naar headers met dat IP in mijn mail geschiedenis. Je hoort het nogblackd schreef op 18 September 2003 @ 06:33:
Tja, het lijkt erop dat die mails inderdaad van een Planet klant af komen:
[...]
en gaan ook vrolijk door de mailservers van Planet (smtp0x.wxs.nl).
Je zou eigenlijk moeten kijken welke mensen jij hebt gemailed, die een Planet abo hebben. Eventueel al je vorige mails van Planet klanten doorkijken en daar de headers van vergelijken.
Het komt van een ADSL aansluiting dus het IP adres is fixed. Als je deze host in een eerdere mail kan vinden, heb je zo de klant gevonden die verantwoordelijk is voor deze mails.
Als ik dit mag geloven, komt het uit veldhoven?
EDIT: Gespit en niks gevonden helaas. Ook geen IP's die met 145 beginnen.
[ Voor 5% gewijzigd door jagermeister op 18-09-2003 08:13 ]
- specs - Download mijn custom BF2 map HIER NIET MEER
Alleen outlook geheel van je harde schijf gooien en iets anders gebruiken doet al heel veelniwreG schreef op 18 september 2003 @ 07:40:
mmmmm ik denk dat ik zo langzamerhand maar is overstap op linux ofzo minder gevoelig voor virussen
sorrySH007 schreef op 18 September 2003 @ 07:47:
[...]
Zou je dit soort replies in het vervolg willen laten? Het voegt niets toe aan een topic en het kan een linux vs windows flamewar uitlokken
Zie Algemene regels hoe je op het forum te gedragen (Netiquette) #reageren

^^eventueele typfouten zijn als vermaak bedoeld