[VirusAlert] Mydoom

wildhagen schreef op 28 januari 2004 @ 19:19:
[...]

Dat lijkt me ook nogal logisch, aangezien het niet te testen valt met zo'n release-schema. Eer dat zoiets goed getest is ben je weer een dag verder, en loop je weer een dag achter.

[ Voor 30% gewijzigd door Anoniem: 55140 op 28-01-2004 19:27 ]

Anoniem: 55140 schreef op 27 januari 2004 @ 19:59:
[...]

Sinds wanneer komen alle virussen via de mail binnen?
Lees een post hierboven over IE nog maar eens, het is mogelijk een spammachine van je te maken zonder ergens op ja te hoeven klikken met security settings @ high.
We gebruiken natuurlijk een dll, want dat valt stukken minder op.
Daarnaast hebben virussen die op andere manieren binnenkomen dan mail meestal ook een ietswat minder leuke payload.

Welke scanners gebruik je? Trend kon nog niet eens na 1,5 jaar klez.h fatsoenlijk detecteren.
PAV is waarschijnlijk meest overrated AV die het geeft.
Laat dat net de twee bekendste online scanners zijn..

En dan nog, een week is méér dan genoeg tijd om 1000en(spam)mails te versturen.

Anoniem: 39303 schreef op 28 januari 2004 @ 18:21:
Dit is minder grappig


[...]

IorGie schreef op 28 januari 2004 @ 21:15:
Woei dit is weer eens een echt serieus virus! Ze hebben zelfs het 20:00 jounaal gehaald. Gelukkig gaven ze daar het goede voorbeeld door een CD-tje van (het hoplesoos verouderde) Norton AV 2000 in een PC te stoppen

Maar tsja, misschien helpt de aandacht op het Journaal een klein beetje om mensen zich ietsje pietsje meer bewust te laten worden van de gevaren en vooral de gevolgen.

ThePerfectCell schreef op 28 januari 2004 @ 21:21:
[...]
Als je je scanner up-to-date houdt, kan elke scanner elk virus vinden hoor Daar is nou juist dat LiveUpdate voor...

wildhagen schreef op 28 januari 2004 @ 21:23:
[...]

Dus jij beweert dat een virusscanner zelfs virussend vind terwijl er geen updates zijn? Onzin. Waarom zouden er andere iedere dag/week updates uitkomen, als je virusscanner toch alles al zou zien, zoals jij beweert?

Je hebt wel veel fantasie, dat moet ik je absoluut nageven!

wildhagen schreef op 28 januari 2004 @ 21:38:
[...]

Dus als er over 5 minuten een nieuw virus gevonden is, maar daar nog geen update voor is, maar jij wel de laatste beschikbare versie hebt (met andere woorden: je bent up-to-date), dan beweer jij dat een virusscanner het virus toch vind? Maar waarom doen die AV-bedrijven dan moeite om updates te maken?

Dit in het kader van je opmerking "Als je je scanner up-to-date houdt, kan elke scanner elk virus vinden hoor".

Om een lang verhaal kort te maken: je verhaal klopt niet...

sewer schreef op 28 januari 2004 @ 21:44:
Even een noob vraag over SMTP.

Als ik NAV installeer en op uitgaande mail laat controleren, dan is dat toch gekoppeld aan een bepaald programma (outlook bijv.), en toch niet aan het protocol? Dus als een virus zelf een smtp engine heeft, dan ziet NAV dit toch niet als uitgaande mail?

Anoniem: 55140 schreef op 28 januari 2004 @ 21:48:
[...]

De nieuwere NAV versies(2k3/2k4 geloof ik), scannen poort 25 voor traffic.
Losstaand van het programma.

Dus dan zie je(meestal)"scanning outgoing mail" of iets in die richting staan.
Verhaaltje gaat natuurlijk niet op als het virus NAV(mailscanner)heeft uitgeschakeld.
Dus echt heel betrouwbaar is het nou ook weer niet.

Anoniem: 55140 schreef op 28 januari 2004 @ 21:48:
[...]

De nieuwere NAV versies(2k3/2k4 geloof ik), scannen poort 25 voor traffic.
Losstaand van het programma.

Dus dan zie je(meestal)"scanning outgoing mail" of iets in die richting staan.
Verhaaltje gaat natuurlijk niet op als het virus NAV(mailscanner)heeft uitgeschakeld.
Dus echt heel betrouwbaar is het nou ook weer niet.

Virusalert: twee gevaarlijke virussen

Momenteel besmetten twee virussen in hoog tempo computers met Microsoft Windows. Alle versies van Windows lopen gevaar besmet te worden.
Beide virussen, MyDoom (of Novarg.A) en twee nieuwe varianten van Dumaru (varianten Y en Z) verspreiden zich zeer snel per e-mail. Eenmaal besmet met de virussen, loopt u het risico dat persoonlijke of financiële gegevens publiek gemaakt worden. Ook kan uw PC door hackers overgenomen worden.

Vilenin schreef op 29 januari 2004 @ 11:14:
Haha.. maak je een virus dat gevoelige info van slachtoffers naar jou mailt, word je helemaal platgebombardeerd door info. Ik bedoel: krijg je ineens een miljard bestanden met bank-info van slachtoffers Ga dan nog maar eens zoeken wat je nodig hebt...

BazP schreef op 29 januari 2004 @ 12:40:
[...]


LOL, dan werkt jouw email adres al lang niet meer, weten ze meteen wie ze moeten hebben

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

ThePerfectCell schreef op 28 januari 2004 @ 21:21:
[...]
Als je je scanner up-to-date houdt, kan elke scanner elk virus vinden hoor Daar is nou juist dat LiveUpdate voor...

Anoniem: 39303 schreef op 29 januari 2004 @ 23:24:
iedereen kan trouwens weer zijn virussscanner updaten:

W32/Mimail.s@MM

release 4321 van mcafee

Anoniem: 90005 schreef op 01 februari 2004 @ 01:27:
Dus dat houd in dat ik hem niet heb??

Justice schreef op 01 februari 2004 @ 01:36:
yup

1
2
3
4
5
6

****** Message from InterScan E-Mail VirusWall NT ******
** WARNING! Attached file data.zip contains:
     WORM_MYDOOM.A virus in compressed file data.htm.scr
   Attempted to clean the file but it is not cleanable.
   It has been deleted.
*****************     End of message     ***************

[ Voor 6% gewijzigd door ericck op 01-02-2004 12:16 ]

ericck schreef op 01 februari 2004 @ 12:15:
Ik krijg steeds e-mails met de volgende strekking:

code:

1 2 3 4 5 6

****** Message from InterScan E-Mail VirusWall NT ****** ** WARNING! Attached file data.zip contains: WORM_MYDOOM.A virus in compressed file data.htm.scr Attempted to clean the file but it is not cleanable. It has been deleted. ***************** End of message ***************

Ik gebruik Eudora en mijn virusscanner (Norman) geeft geen kick. Blijkbaar verstuur ik besmette e-mailtjes, maar als ik in mijn registry kijk dan zie ik niks verdachts.
Zijn deze berichten gewoon onzin of heb ik toch stiekem het MyDoom.A virus te pakken?

[ Voor 6% gewijzigd door Anoniem: 31556 op 01-02-2004 12:23 ]

ericck schreef op 01 februari 2004 @ 12:15:
Ik krijg steeds e-mails met de volgende strekking:

code:

1 2 3 4 5 6

****** Message from InterScan E-Mail VirusWall NT ****** ** WARNING! Attached file data.zip contains: WORM_MYDOOM.A virus in compressed file data.htm.scr Attempted to clean the file but it is not cleanable. It has been deleted. ***************** End of message ***************

Het zou ook kunnen dat dergelijke mail gewoon door iemand anders naar jou verstuurd wordt. Zit er een attachment bij?

Anoniem: 55140 schreef op 01 februari 2004 @ 12:25:
[...]
Lees dit eens.
http://www.attrition.org/security/rant/av-spammers.html

RafEdit: *knip* een plaatje waar het IP adres van een pr0ncam site 10 keer op staat posten is niet helemaal de bedoeling

[ Voor 29% gewijzigd door Rafe op 01-02-2004 12:54 ]

ericck schreef op 01 februari 2004 @ 12:39:
[...]


[...]

Maar bij mij zit er geen attachment bij. Het lijkt dus om een reguliere waarschuwing te gaan. En inmiddels krijg ik zoveel van die mailtjes dat ik er bijna in ga geloven

Als ik dat artikel goed begrijp(heb het maar deels gelezen) is het punt bij jou gewoon dat jouw mailadres toevallig gebruikt is om die virus mailtjes te versturen. Dat wil echter niet zeggen dat de mailtjes van jouw pc komen.

Anoniem: 31556 schreef op 01 februari 2004 @ 12:22:
[...]
PS. SCO.com is inmiddels al lang niet meer bereikbaar zie ik. Ik heb begrepen dat MS dinsdag aan de beurt is?

anandus schreef op 01 februari 2004 @ 12:51:
[...]

offtopic:
Inderdaad, het virus doet goed z'n werk... (of SCO heeft zelf zijn site offline gehaald).

Ben benieuwd hoe dit bij Microsoft gaat, die hebben wat meer 'ervaring' met ddosjes..

Anoniem: 31556 schreef op 01 februari 2004 @ 13:13:
[...]

Ja, die ervaring is leuk, maar wat heb je eraan?

Ze komen er haast niet onderuit, of ze moeten in een paar dagen tijd een super capaciteit weten te regelen. Volgens mij is verder niet aan te doen. Uitgezonderd van het feit dat ze misschien via een andere domeinnaam of op een ander ip bereikbaar zijn.

Als dat virus www.microsoft.com aanvalt is er weinig aan te doen. Als het echter het IP van www.microsoft.com aanvalt kunnen ze nog gauw microsoft.com naar een ander ip verplaatsen en dan hopen dat alle DNS servers op tijd up-to-date zijn.

anandus schreef op 01 februari 2004 @ 13:24:
[...]
De vorige keer (ik weet niet meer welk virus dat was), toen werd Windowsupdate geddost, en toen hebben ze het ook weten op te vangen door het op een of ander serverpark te parkeren. Iets met de A, ben de naam kwijt.
Dat bedoelde ik met ervaring

As of August 16, 2003 Lovesan will launch DDoS attacks on the Windowsupdate.com server.

Microsoft deemed it a success. F-Secure called it a draw. Others are calling it a disaster. The controversial solution Microsoft employed to thwart the MSBlaster's threatened DoS attack was to no longer resolve windowsupdate.com to windowsupdate.microsoft.com.

[ Voor 39% gewijzigd door Anoniem: 31556 op 01-02-2004 14:04 ]

anandus schreef op 01 februari 2004 @ 13:24:
[...]
De vorige keer (ik weet niet meer welk virus dat was), toen werd Windowsupdate geddost, en toen hebben ze het ook weten op te vangen door het op een of ander serverpark te parkeren. Iets met de A, ben de naam kwijt.
Dat bedoelde ik met ervaring

Blocking the worm on the mail server

Considering the large volume of the infected emails sent by Mydoom.A mail server administrators might want to block the worm from entering their mail servers as early as possible.

The ZIP versions of the worm can be detected by matching the first line of the MIME encoded attachment against one of the following regular expressions

'^UEsDBAoAAAAAA.{6}zy5egAlgAAAJYAA'
'^UEsDBAoAAAAAA.{6}KJx\+eAFgAAABYAA'

Please note that the '+' sign might or might not need the \ escaping depending on the regular expression implementation.

If either of the expressions match the email contains the ZIP compressed version of the worm and can be rejected.

The EXE version can be detected with the presence of the following four consecutive lines in the MIME body:

'QWRuwhLeZHJyFsetbllrtEilOBwrJ8OYMXsTGWAEvKwwhG6qzQlpQXePs2GNRklxNWtlZBN2agul'
'YxILFUnSmWGSblIi5FUzNsGwsPXUQpMmSx2FFJx5orXascf4NmeMS2V5DE9wTd069+gLRSQOOlaN'
'dWVhBwCGDyQRCTN3KaZ1bTAMr63ZbLM/ZMIIAW2j7rQ1zHNlomp3QxDz2N8MAwdpc2RpZ2kZdXBw'
'c83NthF4EglmWwg4zVb4c3BhS0/NLFjA/nubVS9CdWZmQQ8LZ9qOPExvd3d2OXK2I1GYbdh3CkfY'

Falcon schreef op 02 februari 2004 @ 23:27:
dat is al gebeurd jah.. we zijn net beginnend, dus de virusscanner draait nog niet..
maar weet iemand hoe ik het weg zou kunnen krijgen?

Mike Jarod schreef op 02 februari 2004 @ 23:28:
[...]

Nou begin maar eens met een virusscanner installeren, welk virus je hebt is nu nog onduidelijk toch?

Anoniem: 39303 schreef op 03 februari 2004 @ 09:50:
@Devian,

heb je al gecheckt of je per ongeluk een open relay hebt?

verder heeft het mydoom virus geen "unknown" als afzender maar een gelding emailadres, alleen bounces en postmaster meldingen hebben geen emailadres, dan komt er iets te staan ala: Sender: <> From: mailer-daemon@youdomain

(ps in case you don't noticed, the Sender en het from adres zijn 2 totaal verschillender dingen, sender is het echte adres gebruikt tijdens de smtp sessie, from is het adres wat je in je Mailclient te zien krijgt)

wildhagen schreef op 04 februari 2004 @ 23:38:
LOL, de DDOS-functionaliteit van de .B-variant op de Microsoft-site lijkt niet eens te werken:


[...]


Bron: http://vil.nai.com/vil/content/v_100988.htm

Binnenkort een bugfix?

Kaspersky Labs has detected a potentially dangerous new worm in the wild. Doomjuice uses computers infected by Mydoom to spread. It is also set to launch a DoS attack on the Microsoft site.

[ Voor 4% gewijzigd door Anoniem: 55140 op 09-02-2004 19:17 ]

NOTE: A new minor variant of Mydoom was found on 10th of February 2004. We detect it automatically as "Mydoom.A". Some other products might detect it as "Mydoom.D". It's the original Mydoom with a different packer applied to it.

Anoniem: 105018 schreef op 11 februari 2004 @ 10:00:
Het virus maakt z'n eigen mailserver op de 1 of andere manier (geimplementeerde smtp server of zoiets).

Er zijn nu ongeveer zo'n 2 variaties op de worm a, b en c dus zal er ook wel een broncode ergens op het web aanwezig zijn. Als iemand die heeft zou diegene dat stukje brondcode van die smtp server kunnen posten, ik zou de werking van het virus graag willen zien en onderzoeken.

Bedankt Alvast.

offtopic:
Laten we dat maar niet via het forum doen --> met wat pech lezen grappenmakers kindjes mee die leuk denken te zijn en een eigen versie aanpassen en de wereld in helpen. Zal wel meevallen hier op GoT en hierbuiten is er al zat over te vinden, maar laten we het hen niet nog makkelijker maken

Maar er zijn vele "echte" open source smtp servers, je kunt het beste een van die bekijken om achter de werking hiervan te komen, alleen al omdat je waarschijnlijk andere wensen en eisen hebt dan zo'n virusbouwer

This worm spreads via the Internet, using computers infected by I-Worm.Mydoom.a and I-Worm.Mydoom.b to propagate.
Installation
On launching, the worm copies itself to the Windows system directory under the name regedit.exe and registers this file in the system registry auto-run key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NeroCheck = %system%\regedit.exe

The worm creates the unique identifier _sncZZmtx_133 to show its presence in memory.

[ Voor 66% gewijzigd door Anoniem: 55140 op 11-02-2004 15:41 ]

quote: FSAV

A new variant of MyDoom worm - Mydoom.F was found on February 20th, 2004

It is functionally similar to the original variant but it does not attack www.sco.com. Mydoom.F tries to perform a Distributed Denial-of-Service attack on www.microsoft.com and also www.riaa.com.

More information on Mydoom.F will be available later

Payload

In addition to the Distributed Denial-of-Service attack the worm tries to delete several file types from the victim's hard drive such as pictures, movies and MS Office documents.

[ Voor 6% gewijzigd door Anoniem: 55140 op 20-02-2004 12:54 ]

wildhagen schreef op 23 februari 2004 @ 23:39:
[...]


En om het leuk te maken: NAI heeft hem een uur geleden qua risk geupgrade van Low Risk naar Medium Risk, en er is inmiddels ook een EXTRA.DAT uitgebracht om dit virus te detecteren.

Meer info: http://vil.nai.com/vil/content/v_101038.htm

edit:
En de LU is beschikbaar.

[ Voor 13% gewijzigd door Anoniem: 55140 op 24-02-2004 03:39 ]

[ Voor 6% gewijzigd door Anoniem: 74359 op 25-02-2004 10:43 ]

It will add an entry in the registry in:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

or, if failed in

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

containing:

= %sysdir%\.exe

Anoniem: 74359 schreef op 25 februari 2004 @ 10:41:
Zegt het bij ons draaiende proces "NotificationTom" jullie iets? Het heeft volgens ons iets te maken met het variant op MyDoom -> MyDoom.F

We krijgen het proces niet weg, ook al is men ingesteld op administrator niveau

[ Voor 12% gewijzigd door Anoniem: 55140 op 03-03-2004 08:57 ]

wildhagen schreef op 03 maart 2004 @ 20:39:
En weer een nieuwe, W32/Mydoom.H.

Write-up McAfee/NAI @ http://vil.nai.com/vil/content/v_101075.htm

edit:
Niet alleen flauw, nog dom ook

[ Voor 16% gewijzigd door Anoniem: 28221 op 04-03-2004 14:26 ]

Anoniem: 28221 schreef op 04 maart 2004 @ 14:09:
En bij Sophos doen ze inmiddels ook een duit in het zakje
Anti-virusfabrikant stuurt virus naar duizenden klanten

Beetje flauw en offtopic, ik weet het

[ Voor 17% gewijzigd door Anoniem: 28221 op 04-03-2004 14:31 ]

[ Voor 23% gewijzigd door Lancer op 08-03-2004 14:46 ]

quote: http://www.f-secure.com/weblog

First we had the new Netsky.X variant (matching nicely the Bagle.X found yesterday) - which talks nine different languages in the emails it send. Then a new Mimail variant (Mimail.V) was found, and we just got a report of a new Mydoom variant. This will be Mydoom.J.

Interestingly, this new Mydoom has code parts resembling the Bugbear variants...which might mean one of two things: Mydoom authors are recycling code from Bugbear - or both these viruses are done by the same author. The great Mydoom-Bugbear conspiracy!

Worm belaagt zoekmachines internet


SAN FRANCISCO Zoekmachines op internet
worden belaagd door een virus.Het gaat
om een zogeheten worm die onder meer
Google in Groot-Brittannië,Frankrijk en
de VS aanvalt.Mensen die de zoeksites
bezoeken,krijgen een foutmelding.

De worm,een nieuwe variant op 'MyDoom',
kan zich nestelen in de e-mail en zich
vanaf die plek verder verspreiden via
het adressenbestand.

Dagelijks gebruiken 200 miljoen mensen
alleen al Google.De nieuwe worm doemt
op op het moment dat het Californische
bedrijf de verwachting uitsprak dat de
naderende beursgang bijna drie miljard
euro zal opleveren.

Anoniem: 113565 schreef op 27 juli 2004 @ 20:33:
Dat is dus weer een nadeel van Outlook, je hebt het binnen voordat je er wat aan kan doen

Kaspersky Labs is seeing an upsurge in the number of I-Worm.Mydoom.t samples in the wild.

nu.nl schreef @ 17 februari 2005

Nieuwe variant van Mydoom-virus breekt grootschalig uit

Uitgegeven: 17 februari 2005 10:41
Laatst gewijzigd: 17 februari 2005 11:13

AMSTERDAM - Mydoom.ax, een nieuwe variant van het bekende e-mailvirus W32.Mydoom.a@mm is grootschalig uitgebroken. De belangrijkste direct schadelijke eigenschap is de installatie van een backdoor. De virusschrijver kan via dit programma, werkend op poort 1034 (TCP) inbreken op het getroffen systeem en daarbij verschillende acties uitvoeren, zoals het verwijderen van bestanden en openen van programma's, zo meldt VirusAlert.

Na infectie zoekt het e-mailadressen uit het adressenboek en verstuurt het zich naar deze contacten door gebruik te maken van zijn eigen SMTP server. Daarnaast stuurt het zich totaal willekeurig naar e-mailadressen die het verzamelt via 4 verschillende zoekmachines (altavista, google, lycos en yahoo). De kans dat een e-mailgebruiker het virus daardoor meermalen ontvangt is groot.


De eigenschappen van het e-mailbericht variëren behoorlijk, waardoor het lastig te herkennen is.

[ Voor 21% gewijzigd door Anoniem: 100386 op 17-02-2005 22:01 ]

As of February 16, 2005, 05:31 PM (GMT - 08:00, Pacific Standard Time) TrendLabs has declared a Medium Risk Virus Alert to control the spread of WORM_MYDOOM.BB. Trendlabs received numerous infection reports indicating that this malware is spreading in Singapore and U.S. This worm was previously detected as WORM_MYDOOM.M.

It has very similar characteristics as with WORM_MYDOOM.M. However, this new MYDOOM worm comes compressed with MEW compression tool, whereas WORM_MYDOOM.M is compressed using UPX.

Like earlier MYDOOM variants, this worm spreads via email through SMTP (Simple Mail Transfer Protocol), gathering target recipients from the Windows Address Book, the Temporary Internet Files folder, and certain fixed drives. It uses social engineering techniques by sending out email messages with a spoofed sender's name and poses as a failure delivery notification. The email message it sends has varying subjects, message bodies, and attachment file names.

Apart from simply spreading via email, this worm also carries backdoor functionalities that leaves the infected machine vulnerable to remote access. It drops a backdoor component named SERVICES.EXE in the Windows folder, which opens TCP port 1034 and waits for outside connections. This routine virtually hands over control of the affected machine to a remote attacker.

TrendLabs will be releasing the following EPS deliverables:

TMCM Outbreak Prevention Policy 149
Official Pattern Release 2.416.00
Damage Cleanup Template 520


For more information on WORM_MYDOOM.BB, you can visit our Web site at:

http://www.trendmicro.com....asp?VName=WORM_MYDOOM.BB

You can modify subscription settings for Trend Micro newsletters at:

http://www.trendmicro.com/subscriptions/default.asp

pasta schreef op donderdag 17 februari 2005 @ 14:34:
Even voor de duidelijkheid, [url=http://www,kaspersky.com]Kaspersky[/] detecteert deze als MyDoom.bb. Hij verschilt niet van andere MyDoom varianten, omdat deze alleen een andere packer gebruikt.

[ Voor 25% gewijzigd door pasta op 17-02-2005 15:03 ]

pasta schreef op donderdag 17 februari 2005 @ 15:02:
Eventjes mergen met het Centrale MyDoom topic (en nog even een titeledit )

[ Voor 5% gewijzigd door Anoniem: 100386 op 17-02-2005 15:29 ]