[VirusAlert] Bagle varianten lijken o.a. van ISP af te komen - Privacy en beveiliging

dinsdag 17 februari 2004 16:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

MAJOR UPDATE: LEES DIT

Sinds een paar dagen doen nieuwe varianten de ronde.
Deze lijken o.a. van je ISP af te komen, waar een password protected zipfile bijzit, dit om het echter te laten lijken.
Dit is dus geen echt bericht van je ISP, maar een virus.
Note:De mail zal(bijna)altijd eruitzien alsof het van je eigen ISP afkomt, dus als je Demon gebruikt staat er wat over Demon in de mail, bij bijvoorbeeld @home, dus iets over @home.

Voorbeeldmail: ISP was yahoo
Subject: Email account utilization warning
Attach: Attach.zip
Message:

Dear user, the management of Yahoo.com mailing
system wants to let you know that,

Your e-mail account will be disabled because of
improper using in next
three days, if you are still wishing to use it,
please, resign your
account information.

For details see the attached file.

For security purposes the attached file is
password protected. Password is "07364".

Cheers,
The Yahoo.com team

Nogmaals: dit is een voorbeeldmail, karakteristieken kunnen dus afwijken.

Oude originele post naar onder geschoven:

We've got a spreader..
KL: Severe Risk
Symantec: Cat3
NAI: Medium

Infected emails have the following characteristics:
Message header:

ID x... thanks

with "x" being a string of random characters.
Message body:

Yours ID x
--
Thank

with "x" being a string of random characters.
Attachment:
The attachment has a random name and is 11KB in size.

A detailed description of I-Worm.Bagle.b will be available in the near future.

Wat write-ups:
http://www.viruslist.com/eng/alert.html?id=983343
http://www.f-secure.com/v-descs/bagle_b.shtml
http://vil.nai.com/vil/content/v_101030.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.alua@mm.html

edit:
En dat in de korte tijd dat ik buiten was...
I will never go outside again!!

Nuttige edit:
Removal tool: http://www.f-secure.com/tools/f-bagle.zip
http://www.f-secure.com/tools/f-bagle.exe

Found on 17th of February 2004, Bagle.B is a variant of the successful Bagle. As its predecessor it is mass-mailing worm. The worm sends messages with the subject 'ID [random string]... thanks' and random EXE attachment names. It also installs a backdoor. Bagle has been programmed to stop spreading on 25th of February.

[ Voor 63% gewijzigd door Verwijderd op 04-03-2004 15:13 ]

dinsdag 17 februari 2004 19:17

Acties:

0 Henk 'm!

Dupje

Zijn die exe bestanden schadelijk (bevatten ze het virus

) en worden ze getedecteerd als virus zijnde door de antivirussen?

dinsdag 17 februari 2004 19:20

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

duponjan schreef op 17 februari 2004 @ 19:17:
Zijn die exe bestanden schadelijk (bevatten ze het virus ) en worden ze getedecteerd als virus zijnde door de antivirussen?

Ik kan aannemen, dat dat onder andere .exe files zijn. Zou me niet verbazen, als het ook .scr of andere extensies zouden zijn...

Als je virusdefinities de nieuwste zijn, neem ik aan van wel...

Of snap ik nu je vraag niet zo goed?

[ Voor 18% gewijzigd door CH4OS op 17-02-2004 19:23 ]

dinsdag 17 februari 2004 19:29

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

duponjan schreef op 17 februari 2004 @ 19:17:
Zijn die exe bestanden schadelijk (bevatten ze het virus ) en worden ze getedecteerd als virus zijnde door de antivirussen?

Welke exe bestanden?
Die bij de verzonden mail zitten?
Dat zijn replica's.

Alle vendors hebben inmiddels een update uitgebracht afaik.

woensdag 18 februari 2004 10:42

Acties:

0 Henk 'm!

Verwijderd

is er al een aantal beinfecteerde pc's bekend?

woensdag 18 februari 2004 10:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op 18 februari 2004 @ 10:41:
[...]

sorry, idd Bagle.b daar vroeg ik het me over af.

We gaan hier maar verder.

Dat zullen nu nog wel hele grove schattingen zijn..
Zal vanmiddag eens navragen.

woensdag 18 februari 2004 14:53

Acties:

0 Henk 'm!

0xDEADBEEF

Verwijderd schreef op 18 februari 2004 @ 10:42:
Zal vanmiddag eens navragen.

Zijn de exacte aantallen van besmetting niet _online beschikbaar of is dat "bedrijfsgeheim"

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

woensdag 18 februari 2004 14:55

Acties:

0 Henk 'm!

Verwijderd

Ik kreeg ook al een waarschuwing via m'n Virusscanner (McAfee Personal) , heel handig... meteen de laatste definities ophalen.

woensdag 18 februari 2004 14:58

Acties:

0 Henk 'm!

Bas Jansen

Ik heb er gisteren eentje binnen gekregen en die werd niet herkend door Norton Antivirus 2003 Professional met de definities van 16 februari. Met de definities van 17 februari vond 'ie 'm wel.

woensdag 18 februari 2004 15:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

LaLaLand schreef op 18 februari 2004 @ 14:53:
[...]

Zijn de exacte aantallen van besmetting niet _online beschikbaar of is dat "bedrijfsgeheim"

Waarom zouden ze bedrijfsgeheim zijn?
Als er keuze is tussen virusanalyse en wat getalletjes online zetten, gaat het eerste voor.
Net zoals KL eerst een update uitbrengt voordat ze gaan beginnen aan de write-up.
Exacte aantallen kun je natuurlijk nooit geven.

En we hebben nóg een Severe risk worm zie ik nu...
Maw: Genoeg andere dingen te doen.

woensdag 18 februari 2004 15:19

Acties:

0 Henk 'm!

wildhagen

Blablabla

Verwijderd schreef op 18 februari 2004 @ 15:15:
[...]

En we hebben nóg een Severe risk worm zie ik nu...
Maw: Genoeg andere dingen te doen.

Laat me raden: W32/NetSky.B? Damn, wat een kreng, die gaat écht loeihard. Zojuist de EXTRA.DAT van NAI geinstalleerd... McAfee gaat meteen als een gek tekeer met detecties... gaat nog sneller dan Mydoom een tijdje terug, op dit moment althans....

Virussen? Scan ze hier!

woensdag 18 februari 2004 15:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

wildhagen schreef op 18 februari 2004 @ 15:19:
[...]

Laat me raden: W32/NetSky.B? Damn, wat een kreng, die gaat écht loeihard. Zojuist de EXTRA.DAT van NAI geinstalleerd... McAfee gaat meteen als een gek tekeer met detecties... gaat nog sneller dan Mydoom een tijdje terug, op dit moment althans....

Yup.

[rml][ VirusAlert] Moodown.b / Netsky.B[/rml]

woensdag 18 februari 2004 15:31

Acties:

0 Henk 'm!

Sluuut

Ik moet wel zeggen dat ik blij ben dat de virussen tegenwoordig massmailers zijn.. aangezien ik geen onbekende attachments open... Vroeger had je virussen die zowat alle .exe's aanpaste waardoor ze corrupt worden.. dat was nogal vervelend.

57696520646974206c65657374206973206e657264

zaterdag 28 februari 2004 00:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bagle.c is gesignaleerd.
NAI ziet het atm als een medium risk.

Voorlopige write-up: http://vil.nai.com/vil/content/v_101059.htm

_{[Bagle.c added to title]}

Edit:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.c@mm.html
http://www.f-secure.com/v-descs/bagle_c.shtml
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.C

Nogmaals edit:
Het lijkt erop dat zo ongeveer alle vendors hebben geupdate, opvallend: NAV nog niet.
Wederom is AVG (free)sneller met de(automatische)update dan NAI/NAV, wat toch wel raar is eigenlijk.

En nog een keer!

quote: Symantec
Note: Virus definitions version 60217w (extended version 2/17/2004 rev 23) detect this sample as W32.Beagle.A@mm.

False positive die goed uitpakt deze keer.

(Dit komt niet vaak genoeg voor om geen toeval te zijn imo).

[ Voor 88% gewijzigd door Verwijderd op 28-02-2004 03:27 ]

zaterdag 28 februari 2004 15:54

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Title-edit: added Bagle.d

I-Worm.Bagle.d is ITW, ben benieuwd.

zaterdag 28 februari 2004 16:55

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 28 februari 2004 @ 00:51:
Bagle.c is gesignaleerd.
Het lijkt erop dat zo ongeveer alle vendors hebben geupdate, opvallend: NAV nog niet.
Wederom is AVG (free)sneller met de(automatische)update dan NAI/NAV, wat toch wel raar is eigenlijk.

En nog een keer!

[...]

False positive die goed uitpakt deze keer.
(Dit komt niet vaak genoeg voor om geen toeval te zijn imo).

NAV Corporate had gisteren al definitie tegen bagle.c

zaterdag 28 februari 2004 17:03

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 28 februari 2004 @ 15:54:
Title-edit: added Bagle.d

I-Worm.Bagle.d is ITW, ben benieuwd.

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.D

Doet iets met Cloud (MS/IBM)

zaterdag 28 februari 2004 17:09

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

quote: http://www.f-secure.com/v-descs/bagle_d.shtml
There are very few differences in the C and D variants; they have the same sizes and same functionality, and the emails sent by them are identical. Mostly the virus has been modified to avoid detection by some antivirus programs.

Lijkt populair te worden om kleine aanpassingen te doen..

zaterdag 28 februari 2004 17:10

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 28 februari 2004 @ 17:09:
[...]

Lijkt populair te worden om kleine aanpassingen te doen..

aha
ik vatte het al ff niet

iig heeft trend vanacht 2 patterns gereleased, dus dan zit het verder wel snor

Doet iets met Cloud (MS/IBM)

zaterdag 28 februari 2004 17:22

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

D2k schreef op 28 februari 2004 @ 17:10:
[...]

aha
ik vatte het al ff niet

iig heeft trend vanacht 2 patterns gereleased, dus dan zit het verder wel snor

1 @ 1:10 onze tijd
2 @ 5:40 onze tijd

Dan neem ik aan dat die tweede was voor 'bagle.d', dan was Trend rap hiermee.

zaterdag 28 februari 2004 17:37

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ja gvd...

I-Worm.Bagle.e is ITW.

Title-enhancement: generic sig.

zaterdag 28 februari 2004 17:39

Acties:

0 Henk 'm!

wildhagen

Blablabla

ROFLOL, gaat hard zo

Maar waarom melden zowel Sophos, Symantec als NAI nog niks over .D, laat staan .E? Worden die niet misleid door die minieme verschillen oid?

Virussen? Scan ze hier!

zaterdag 28 februari 2004 17:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Volgens mij werken die allemaal met string-based sigs, hoewel ik het bij Sophos niet durf te zeggen.
Dit maakt het gericht ondetecteerbaar maken supereasy, maar die strings zitten(vaak)in een gedeelte wat niet wordt gepackt, waardoor zo'n AV dus weer meer kans heeft, behalve als de author daar natuurlijk ook op heeft gelet.

Deze Worm lijkt een beetje anti-KAV te zijn..
(Check maar waarnaar hij geen mail zal sturen, alleen avp wordt geblockt).

quote: http://www.f-secure.com/v-descs/bagle_e.shtml
Yet another new variant of the Bagle worm, Bagle.E was found in the wild on February 28th, 2004.

This variant is packed with PeX packer instead of UPX used by C and D variants. So the file is a bit larger.

KAV ondersteunt Pex, dus dat zou het probleem eigenlijk niet mogen zijn..
Tenzij het een modified version is.

Het kan natuurlijk ook gewoon zijn dat KAV eerder is met detectie dan de andere vendors.
Sowieso overdag is die kans redelijk groot.

edit:
Maar normaal zie je bijvoorbeeld bij NAI staan van:
"new variant detected blablabla"
Dat mis ik nu een beetje

[ Voor 7% gewijzigd door Verwijderd op 28-02-2004 17:59 ]

zaterdag 28 februari 2004 18:46

Acties:

0 Henk 'm!

wildhagen

Blablabla

Oké, NAI heeft nu in ieder geval een pagina voor Bagle.D aangemaakt: http://vil.nai.com/vil/content/v_101060.htm

Op dit moment staat er niks op, maar dat kan elk moment veranderen. Kennelijk zijn ze hem aan het analyzen.

Edit (19:14): ook voor Bagle.E is nu een page aangemaakt: http://vil.nai.com/vil/content/v_101061.htm . Deze is nog leeg. De page van .D is nu wel gevuld (link zie hierboven)

Edit (20:48): De site van Bagle.e (zie hierboven) is nu ook geupdate

[ Voor 39% gewijzigd door wildhagen op 28-02-2004 20:49 ]

Virussen? Scan ze hier!

zaterdag 28 februari 2004 18:56

Acties:

0 Henk 'm!

D2k

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.E
trend heeft al een pagina, en hij zit in de controlled release. nog niet in de algemene pattern.

Doet iets met Cloud (MS/IBM)

zaterdag 28 februari 2004 20:22

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Schaamteloze c/p van online friend.

Dikgedrukte zut is clickable.
Vaag @ Trend wel, want nu staat er weer wel een write-up mbt. Bagle.d

Swiss AVP: I-Worm.Bagle.c and I-Worm.Bagle.d
{not the same Site as Kaspersky Virus Encyclopedia}

Panda: Bagle.C
{no matches to Bagle.D in their Virus Encyclopedia yet}

Trend: WORM_BAGLE.D and WORM_BAGLE.C
{they are on the ball with detailed writeups on both variants}

Sophos: W32/Bagle-C
{no hits on "D" variant yet at their site}

Computer Associates: Win32.Bagle.C
{nothing on "D" variant listed by CA yet either}

BitDefender: Win32.Bagle.{C-E}@mm
{BD, like Kaspersky, has the 'C' through 'E' covered}

VSAntivirus {English Transl}: W32/Bagle.C
"It opens notepad and it shows icon of Excel"
{nothing listed for 'D' variant yet}

Norman: W32/Bagle.C@mm and W32/Bagle.D@mm
{like Kaspersky & Trend, they are on the ball with writeups on 'C', 'D'}

VisNetic: I-Worm.Bagle.c and I-Worm.Bagle.d
{they too are on the ball with both 'C' and 'D'}

F-Secure: Bagle.C, Bagle.D, and Bagle.E
{last but not least - perhaps the best vendor writeups}

offtopic:
Wildhagen, je link naar Bagle.e is niet helemaal correct.

zaterdag 28 februari 2004 20:24

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 28 februari 2004 @ 20:22:
Vaag @ Trend wel, want nu staat er weer wel een write-up mbt. Bagle.d

whehe idd vaag
pattern 784 was die eerste van vanacht iig. Dus ze waren er vlotjes bij.

Doet iets met Cloud (MS/IBM)

zaterdag 28 februari 2004 20:49

Acties:

0 Henk 'm!

wildhagen

Blablabla

Verwijderd schreef op 28 februari 2004 @ 20:22:

offtopic:
Wildhagen, je link naar Bagle.e is niet helemaal correct.

Fixed. Hij nam de punt mee in de URL, dat moet natuurlijk niet

Virussen? Scan ze hier!

zaterdag 28 februari 2004 21:02

Acties:

0 Henk 'm!

D2k

Pattern: 787
Version: 00
Release Type: New Malware Threat
Notes:
WORM_BAGLE.D and WORM_BAGLE.E

net gereleased. Trends 3e pattern van vandaag.

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 02:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Een LiveUpdate op zaterdag(USA), dat zie je ook niet vaak.
Symantec heeft dus IU/LU ge-issued voor Bagle.e.
Niet gepland aan write-up te zien.(Ga je je toch afvragen of er nu weer FP issues komen)

zondag 29 februari 2004 13:40

Acties:

0 Henk 'm!

eborn

Ik verbaas me er weer enkele keer over hoe snel ClamAV (ook gratis) is met het uitbrengen van updates. Onze mailserver gebruikt het als mailscanner en met alle nieuwe virussen werkt het als een trein.

zondag 29 februari 2004 17:36

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Beetje late reactie. _{Ook ik heb nog wel eens een social-life}

I-Worm.Bagle.f is ITW.

zondag 29 februari 2004 17:40

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 29 februari 2004 @ 17:36:
Beetje late reactie. _{Ook ik heb nog wel eens een social-life}

I-Worm.Bagle.f is ITW.

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.F

trend is nog aan het onderzoeken

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 17:41

Acties:

0 Henk 'm!

wildhagen

Blablabla

* wildhagen zucht nog maar eens diep... je word er toch niet goed van....

Vannacht trouwens een exemplaar van Bagle.E gehad, maar niet afgevangen door McAfee (nog geen nieuwe DAT-files). Gemaild naar het AVERT en binnen 5 minuten een EXTRA.DAT gekregen. Deze werkt, want daarna is hij wel een paar keer afgevangen. Beetje slordig dat die Extra.DAT niet op de site stond...

Mensen die deze EXTRA.DAT ook willen hebben kunnen me mailen (adres: zie profile). Let op: deze werkt dus alleen tegen de .E-variant, niet tegen de .D en de .F.

Virussen? Scan ze hier!

zondag 29 februari 2004 17:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Quasi write-up.(Bij gebrek aan beter)

quote: http://www.viruslist.com/eng/alert.html?id=1064232
4 new variants of I-Worm.Bagle
[ 02/29/2004 19:25, GMT +03:00, Moscow ]
Danger : moderate risk

Kaspersky Lab reports four new variants of the Bagle mass-mailing Internet worm that were detected on february 28-29. These variants are named C, D, E, F and are all present in the e-mail traffic now.

All variants have minor differences and are packed with various packer utilities (UPX, Pex). They contain a backdoor routine acting on the port 2745.

The new variants of the Bagle worm are detected with the current Kaspersky Anti-Virus base set.

You can get more information on the I-Worm.Bagle.c and the I-Worm.Bagle.d worms in the "Virus Encyclopedia". The descriptions of the other worm's variants will be available soon.

Ben benieuwd of bepaalde andere vendors vandaag ook gaan updaten, verwacht het eigenlijk wel.

zondag 29 februari 2004 19:33

Acties:

0 Henk 'm!

wildhagen

Blablabla

Bagle.F at McAfee/NAI: http://vil.nai.com/vil/content/v_101062.htm

En we gaan gewoon door, Bagle.G is inmiddels óók alweer gevonden...

.G @ McAfee/NAI: http://vil.nai.com/vil/content/v_101063.htm

Virussen? Scan ze hier!

zondag 29 februari 2004 20:27

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hmm, ik moet nog een bevestiging krijgen, maar ik vermoed dat NAI's Bagle.F en Bagle.G een en dezelfde zijn voor KAV.

KAV VA:

what NAI detects as .g we detect as .f

zondag 29 februari 2004 20:55

Acties:

0 Henk 'm!

D2k

D2k schreef op 29 februari 2004 @ 17:40:
[...]

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.F

trend is nog aan het onderzoeken

trend heeft een writeup gedaan iig

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 20:57

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

D2k schreef op 29 februari 2004 @ 20:55:
[...]

trend heeft een writeup gedaan iig

Had dan ook direct deze even genoemd.

http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G

zondag 29 februari 2004 21:00

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 29 februari 2004 @ 20:57:
[...]

Had dan ook direct deze even genoemd.
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G

ah ff gemist

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 22:06

Acties:

0 Henk 'm!

D2k

Verwijderd schreef op 29 februari 2004 @ 20:57:
[...]

Had dan ook direct deze even genoemd.
http://www.trendmicro.com...t5.asp?VName=WORM_BAGLE.G

writeup

This memory-resident worm mass-mails copies of itself using its own SMTP (Simple Mail Transfer Protocol) engine. It sends out email messages with a spoofed return address to addresses that it gathered from an infected system. The email message it sends out has varying details.

Below is a sample email message that it sends out:

This new BAGLE variant is very similar to WORM_BAGLE.F. Its main difference is that it appends additional text strings in the body of the email message it sends out.

It also spreads by dropping malicious files in folders that have the text string ‘shar’ in its name.

It may update its malware copy by opening port 2745 and attempts to execute PHP files in the Web. It also terminates certain running proceses.

It runs on Windows 95, 98, ME, NT, 2000 and XP.

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 22:16

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

http://us.mcafee.com/viru...escription&virus_k=101063

This variant of W32/Bagle functions almost identically to the .F variant. There are two differences:

* The executable has been repackaged
* One of the processes the virus attempts to terminate has been altered
o OUTPOST.EXE -> OUTPOS1T.EXE

Spreekt Trend(een beetje)tegen dus.
\o/ @ KAV unpackers + code based sigs \o/

maandag 1 maart 2004 12:30

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Update:
NAI en Symantec hebben vannacht een weekly/LU gereleased voor de nieuwe Bagle varianten.

offtopic:
Lijkt erop dat we alleen maar extra sig hebben gemaakt voor Bagle.d voor de 'handigheid':
# Win32.Bagle.D (Also known as I-Worm.Bagle.c (Kaspersky), WORM_BAGLE.D (Trend), Win32/Bagle.D.Worm, W32/Bagle.d@MM (McAfee))

maandag 1 maart 2004 18:25

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Nieuwe variant gesignaleerd:

Bagle.h

voorlopige write-up: http://vil.nai.com/vil/content/v_101068.htm

Edit:
Nog wat meer write-ups:
http://www.f-secure.com/v-descs/bagle_h.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.h@mm.html

Generic sig die eerder vandaag gemaakt is, bewijst nu al z'n nut.

The next new Bagle variant - Bagle.H, arrived at the evening on March 1st, 2004. This variant spreads in password protected ZIPs. The password is a random number included at the end of the email message.

Op password protected malware was ik al een hele tijd aan het wachten..

[ Voor 75% gewijzigd door Verwijderd op 01-03-2004 18:31 ]

maandag 1 maart 2004 18:35

Acties:

0 Henk 'm!

wildhagen

Blablabla

Verwijderd schreef op 01 maart 2004 @ 18:25:

Op password protected malware was ik al een hele tijd aan het wachten..

Je bent te lang aan het wachten, Bagle.F had ook al password-protected ZIP files (NAI tagged ze als W32/Bagle.f!pwdzip)

Virussen? Scan ze hier!

maandag 1 maart 2004 18:38

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

wildhagen schreef op 01 maart 2004 @ 18:35:
[...]

Je bent te lang aan het wachten, Bagle.F had ook al password-protected ZIP files (NAI tagged ze als W32/Bagle.f!pwdzip)

Mja, ik las het, maar nu kreeg ik die quote voor m'n neus terwijl ik aan het posten was, dus dacht ik: laat ik dat er eens bijgooien.

dinsdag 2 maart 2004 10:33

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

The joy.

I-Worm.Bagle.h is ITW, hoewel de meeste andere vendors deze als Bagle.i detecteren.

Edit:

http://us.mcafee.com/viru...escription&virus_k=101069
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.i@mm.html

offtopic:
Zie nu pas dat het een hoofdletter 'i' is die Symantec gebruikte, dacht eerst 'l'

[ Voor 96% gewijzigd door Verwijderd op 02-03-2004 10:54 ]

dinsdag 2 maart 2004 15:09

Acties:

0 Henk 'm!

wildhagen

Blablabla

Ok, McAfee/NAI heeft voor de .H en de .I-varianten nu een EXTRA.DAT gereleased. Te downloaden op http://a64.g.akamai.net/7...mcafee-avert/101068-a.exe

Edit: en om circa 18:00 is er een emergency DAT-release gekomen, versie 4331, te downloaden op http://a64.g.akamai.net/7...nglish/intel/sdat4331.exe

*******************IMPORTANT*******************

4331 Emergency Dat release due to:

W32/BAGLE.H@MM

**********************************************

[ Voor 52% gewijzigd door wildhagen op 02-03-2004 18:37 ]

Virussen? Scan ze hier!

dinsdag 2 maart 2004 21:50

Acties:

0 Henk 'm!

wildhagen

Blablabla

Joepie!!! Feesten we allemaal mee? Bagle.J is er ook alweer....... *puke*

McAfee/NAI-page (nu nog leeg, still being analysed): http://vil.nai.com/vil/content/v_101071.htm

Virussen? Scan ze hier!

dinsdag 2 maart 2004 22:04

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

FYI:
De methode die NAI gebruikt om Passwordprotected Bagle-zips te detecteren is nogal twijfelachtig.

NAI detects Bagle psw-ZIPs - but they detect ANY ZIP with psw-protected EXE file in it if:

- compression method = stored
- ZIP is password protected
- file size is about 20K

Omdat nogal veel mensen om soortgelijke detectie hebben gevraagd bij KL, bieden we die nu ook.
Alleen scant KAV de mail, die wel viruslike chars moet hebben voor deze methode, extract daaruit het password en gebruikt dat om de archive te kunnen unpacken waardoor er dus een postive ID gegeven kan worden.

woensdag 3 maart 2004 10:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Und nogmahls:

I-Worm.Bagle.j is ITW

Voor de andere vendors dus Bagle.k.
Er lijkt een gevecht gaande tussen de authors van Bagle en die van NetSky.
Wat ze natuurlijk moeten uitvechten door zoveel mogelijk worms te releasen.

woensdag 3 maart 2004 11:09

Acties:

0 Henk 'm!

wildhagen

Blablabla

Zouden ze het record van I Love You/LoveLetter gaan halen? Daar waren uiteindelijk iets van 50-60 varianten van ofzo

Virussen? Scan ze hier!

woensdag 3 maart 2004 11:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

wildhagen schreef op 03 maart 2004 @ 11:09:
Zouden ze het record van I Love You/LoveLetter gaan halen? Daar waren uiteindelijk iets van 50-60 varianten van ofzo

We gaan volgens mij wel vandaag een updaterecord halen.

KL heeft vandaag al 6 updates uitgebracht.

woensdag 3 maart 2004 11:17

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 02 maart 2004 @ 22:04:
Omdat nogal veel mensen om soortgelijke detectie hebben gevraagd bij KL, bieden we die nu ook.
Alleen scant KAV de mail, die wel viruslike chars moet hebben voor deze methode, extract daaruit het password en gebruikt dat om de archive te kunnen unpacken waardoor er dus een postive ID gegeven kan worden.

Door NAI alleen op bestandsgrootte afgaan is wat eng --> even zoeken op mijn eigen HDD levert diverse zips op van +- 20kb

Al zijn die natuurlijk niet encrypted.

Maar dat is handig gedaan in KAV

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 3 maart 2004 12:57

Acties:

0 Henk 'm!

wildhagen

Blablabla

Verwijderd schreef op 03 maart 2004 @ 10:58:
Und nogmahls:

I-Worm.Bagle.j is ITW

McAfee/NAI write-up @ http://vil.nai.com/vil/content/v_101074.htm

Voor de andere vendors dus Bagle.k.
Er lijkt een gevecht gaande tussen de authors van Bagle en die van NetSky.
Wat ze natuurlijk moeten uitvechten door zoveel mogelijk worms te releasen.

Nou, als ik de write-up van McAfee/NAI zie:

The following string is present inside the virus body:

Skynet AntiVirus - Bagle - you are a looser!!!!

(zie http://vil.nai.com/vil/content/v_101073.htm)

Dan zou je het wel gaan denken ja....

[ Voor 29% gewijzigd door wildhagen op 03-03-2004 13:49 ]

Virussen? Scan ze hier!

woensdag 3 maart 2004 19:21

Acties:

0 Henk 'm!

eborn

Hebben al die mensen niets beters te doen?
NetSky.F
Beagle.K
MyDoom.H

Zucht... gelukkig zie ik dat ClamAV twee generieke signatures voor toekomstige B(e)agle's heeft toegevoegd. Dus met een beetje geluk pakt die er de komende dagen de meeste variaties uit.

[ Voor 3% gewijzigd door eborn op 03-03-2004 19:21 . Reden: Twee signatures ]

donderdag 4 maart 2004 02:50

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Dit ontving ik zojuist in mijn mail:

subject: E-mail account disabling warning.

Dear user of "Demon.nl" mailing system,

Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

For further details see the attach.

Kind regards,
The Demon.nl team http://www.demon.nl

Fijn. Nu ook al hoaxes die zich op gebruikers van bepaalde ISP's richten. Ik zit toevallig bij demon en wordt dus geacht hier in te stinken. Mooi niet dus...

_{(Overigens wordt het mailtje vergezeld van MoreInfo.pif van 12Kb.)}

Wat heb ik een hekel aan hoaxes!

Ik plaats het hier als "waarschuwing" / "mededeling". Een gewaarschuwd mens telt voor 2

[ Voor 11% gewijzigd door RobIII op 04-03-2004 02:51 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 4 maart 2004 03:41

Acties:

0 Henk 'm!

Verwijderd

Dat is dus geen hoax, maar gewoon een virus. Het virus zet gewoon de domeinnaam in de mail om te laten lijken of het van je provicer komt.
http://securityresponse.s...data/w32.beagle.j@mm.html

donderdag 4 maart 2004 03:53

Acties:

0 Henk 'm!

Verwijderd

Gelukkig is het virus nog niet zo ver om op basis van TLD's de juiste taal te kiezen

Als die e-mail in het nederlands zou zijn, zou > 95% er in stinken namelijk.

donderdag 4 maart 2004 09:30

Acties:

0 Henk 'm!

gomaster

Deze had ik net binnen maar dan van het hetnet.nl mailing system

. Dit wordt echt te erg dus

donderdag 4 maart 2004 09:35

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Whuh? Oh... Ik had eigenlijk geen idee dat beagle dit soort berichten stuurde. Ik had er wel van gehoord maar wist er verder weinig van om eerlijk te zijn.

Excuses voor mijn spuit 11 actie

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 4 maart 2004 10:06

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Wat een tekst ook...

Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information.

Oftewel inclusief alle fouten:

Uw emailaccount zal onklaar gemaakt worden wegens fout gebruik in volgende drie dagen, als je er nog gebruik van wil maken, alstublieft, zeg uw accountinformatie op.

Als Demon me dat soort mailtjes gaat sturen ga ik toch echt eerst in discussie over dat ze een paar mensen in dienst moeten nemen die wel Engels kennen

Professionele website nodig?

donderdag 4 maart 2004 10:08

Acties:

0 Henk 'm!

Verwijderd

Virusje ofzo. Ik kreeg hem ook binnen van administration@het-domein-wat-ik-beheer.nl.

En ik weet van niks natuurlijk. Daarnaast stuurt onze organisatie geen mails in het Engels en bestaat er geen account "administration".

Edit:

Dan kan ik niet achterblijven natuurlijk:

Subject: E-mail account security warning.

Dear user of *******.nl gateway e-mail server,

Your e-mail account has been temporary disabled because of unauthorized access.

Advanced details can be found in attached file.

Sincerely,
The *******.nl team http://www.*******.nl

En daarbij natuurlijk een pif-je: TextDocument.pif

Ik heb de geavanceerde details nog niet bekeken hoor....

[ Voor 57% gewijzigd door Verwijderd op 04-03-2004 10:29 ]

donderdag 4 maart 2004 10:20

Acties:

0 Henk 'm!

Miki

Lijkt wel of dat engels al eerder is vertaald van een andere taal, bablefish hoXar

Daarnaast mailt Demon.nl altijd standaard in het Nederlands en een engelse vertaling in hetzelfde mailtje daaronder. Dus das een andere reden om het niet te vertrouwen. Vind het wel knap dat het steeds meer en meer op echte meldingen begint te lijken.

donderdag 4 maart 2004 10:23

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Deze wil ik jullie niet onthouden:

Thu, 04 Mar 2004 07:38:47 +0100
From: support@tweakers.net
To: gathering@tweakers.net
Subject: E-mail account disabling warning.
Part(s): 2 Readme.zip application/octet-stream 16.63 KB

Dear user of Tweakers.net,

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.

Further details can be obtained from attached file.

For security purposes the attached file is password protected. Password is "50238".

Best wishes,
The Tweakers.net team
http://www.tweakers.net

Professionele website nodig?

donderdag 4 maart 2004 10:24

Acties:

0 Henk 'm!

Nielsz

donderdag 4 maart 2004 10:28

Acties:

0 Henk 'm!

Miki

Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.

[ Voor 22% gewijzigd door Miki op 04-03-2004 10:29 ]

donderdag 4 maart 2004 10:32

Acties:

0 Henk 'm!

Voutloos

curry684 schreef op 04 maart 2004 @ 10:23:
Deze wil ik jullie niet onthouden:

[...]

Trouwens ook wel stom dat het subject niet geheel overeen komt met de inhoud.

{signature}

donderdag 4 maart 2004 10:33

Acties:

0 Henk 'm!

wildhagen

Blablabla

Miki schreef op 04 maart 2004 @ 10:28:
Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.

Nu trappen er nog steeds mensen in... ik kon gisteren nog net op tijd mijn vader van de PC wegrukken voor hij de .EXE ging openen (de ZIP was al geopend).

Hij: "Ja, maar die mail is toch van mijn provider, dan is het toch goed?"
Ik: *zucht*...

En ik voel aan mijn theewater dat hij echt de enige niet zal zijn die zo denkt...

Virussen? Scan ze hier!

donderdag 4 maart 2004 10:36

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Miki schreef op 04 maart 2004 @ 10:28:
Die is helemaal goed zeg, zie zo vluchtig geen spelfouten. Je krijgt er ook het gevoel bij dat ze zogenaamd het toolje goed bedoelt is inclusief password en al.
Ik denk dat als ie in het nederlands was geschreven, er een heleboel zouden instinken.

'Ammount' staat niet in mijn woordenboek hoor

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten

Professionele website nodig?

donderdag 4 maart 2004 10:39

Acties:

0 Henk 'm!

Verwijderd

curry684 schreef op 04 maart 2004 @ 10:36:
[...]

'Ammount' staat niet in mijn woordenboek hoor

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten

Bij ons was hij gericht aan het account "ant" (vertaal: mier).

donderdag 4 maart 2004 10:41

Acties:

0 Henk 'm!

Miki

curry684 schreef op 04 maart 2004 @ 10:36:
[...]

'Ammount' staat niet in mijn woordenboek hoor

Maar ik vind 'm wel erg stoer dat een niet-bestaand supportadres het echte supportadres zou willen afsluiten

Ik zei toch vluchtig doorgelezen te hebben

donderdag 4 maart 2004 10:45

Acties:

0 Henk 'm!

_fool

Helemaal zo gek nog niet

[schaam] Ik ben bang dat ik hier misschien wel gewoon ingetrapt was

[/schaam]

Oftewel: TS, nuttige waarschuwing!

specs

donderdag 4 maart 2004 10:45

Acties:

0 Henk 'm!

TRON

Password zal wel op de zip-file zitten. Hierdoor herkent een virusscanner geen virus in een packed-file.

En? Tooltje al geprobeerd?

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

donderdag 4 maart 2004 10:50

Acties:

0 Henk 'm!

curry684

left part of the evil twins

TRON schreef op 04 maart 2004 @ 10:45:
Password zal wel op de zip-file zitten. Hierdoor herkent een virusscanner geen virus in een packed-file.

En? Tooltje al geprobeerd?

Kaspersky doet volgens Schouw sinds kort z'n best om password-protected zips te checken, iig goed genoeg voor Bagle

Professionele website nodig?

donderdag 4 maart 2004 10:54

Acties:

0 Henk 'm!

TRON

En hoe zal dat dan mogelijk zijn? Password-protected zips zijn gecodeerd en alleen te decoderen door een wachtwoord in te geven. Er blijven dus toch bepaalde signatures zichtbaar.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

donderdag 4 maart 2004 10:55

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

curry684 schreef op 04 maart 2004 @ 10:50:
[...]

Kaspersky doet volgens Schouw sinds kort z'n best om password-protected zips te checken, iig goed genoeg voor Bagle

En hoe willen ze dat doen dan? De zips gaan brute-forcen? Of hebben de password protected zips van bagle allemaal hetzelfde password? Dan moet je al signatures van de zip files gaan herkennen ipv van het virus zelf.

Overigens belabberde grammatica dat mailtje.

[ Voor 18% gewijzigd door Bor op 04-03-2004 10:58 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 4 maart 2004 10:57

Acties:

0 Henk 'm!

wildhagen

Blablabla

Bor_de_Wollef schreef op 04 maart 2004 @ 10:55:
[...]

En hoe willen ze dat doen dan? De zips gaan brute-forcen? Of hebben de password protected zips van bagle allemaal hetzelfde password?

Het wachtwoord staat in de mail, dus dat kan een AV er mooi uitfilteren en gebruiken

Virussen? Scan ze hier!

donderdag 4 maart 2004 10:59

Acties:

0 Henk 'm!

Sick Nick

Drop the top!

Dear user of "Chello.nl" mailing system,

We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.

For more information see the attached file.

Sincerely,
The Chello.nl team http://www.chello.nl

Deze kreeg ik nog op m'n oude chello email account, daar verstuur ik dus nooit mail mee

Overigens is de bijlage netjes door norton gepakt toen ie binnen kwam en verwijderd.

Norton AntiVirus heeft de bijlage: Readme.pif verwijderd.
De bijlage was geïnfecteerd met het virus W32.Beagle.A@mm.

donderdag 4 maart 2004 11:00

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Wel grappig want ik kan mij niet voorstellen dat een bedrijf al chello etc zijn klanten gaan mailen in het engels. Erg geloofwaardig is het dan al niet meer.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 4 maart 2004 11:09

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Bor_de_Wollef schreef op 04 maart 2004 @ 11:00:
Wel grappig want ik kan mij niet voorstellen dat een bedrijf al chello etc zijn klanten gaan mailen in het engels. Erg geloofwaardig is het dan al niet meer.

Ik denk ook niet dat de 10 miljoen Nederlandse internetters het belangrijkst beoogde slachtoffer zijn maar de 300 miljoen Engelstalige...

Professionele website nodig?

donderdag 4 maart 2004 11:12

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

wildhagen schreef op 04 maart 2004 @ 10:57:
Het wachtwoord staat in de mail, dus dat kan een AV er mooi uitfilteren en gebruiken

Inderdaad, als er een paar honderd woorden en getallen staan is het heel veel, terwijl die in no-time allemaal zijn te proebren.

Overigens wordt dit misschien wel erg vervelend voor scanners op mailservers die vele vele van die berichten langs zien komen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 4 maart 2004 11:15

Acties:

0 Henk 'm!

curry684

left part of the evil twins

F_J_K schreef op 04 maart 2004 @ 11:12:
[...]

Inderdaad, als er een paar honderd woorden en getallen staan is het heel veel, terwijl die in no-time allemaal zijn te proebren.

Overigens wordt dit misschien wel erg vervelend voor scanners op mailservers die vele vele van die berichten langs zien komen.

Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor

Professionele website nodig?

donderdag 4 maart 2004 11:17

Acties:

0 Henk 'm!

TRON

curry684 schreef op 04 maart 2004 @ 11:15:
[...]

Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor

Aha, best slim

.

Je moet er niet vreemd van opkijken als er binnenkort dan ook mailtjes gestuurd worden waar het wachtwoord in een image staat. Dan wordt het practisch onmogelijk. Wat natuurlijk niet inhoudt dat het geen goed initiatief is van Kaspersky

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

donderdag 4 maart 2004 11:19

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

curry684 schreef op 04 maart 2004 @ 11:15:
Met simpele regels als 'begin met de woorden uit de zin waarin "password" staat' kom je al heel ver hoor

Dat maakt het inderdaad weer nog makkelijker --> tot er kleine variaties gaan komen zoals 'type this code' of 'the password is given at the end of this message' of zoiets

Het wordt trouwens pas echt vervelend als ze slim worden en technieken gaan gebruiken die er zijn om bijvoorbeeld botjes niet te laten registreren op websites. Zoals omdat het (text-only moet zijn) optellen of zo. _{Al zal dat dan weer te ingewikkeld worden voor de doelgroep en wordt het slimme buurjochie van 11 er bij geroepen om het te openen}

edit:
Grrrrr TRON

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 4 maart 2004 11:36

Acties:

0 Henk 'm!

Voutloos

De mail bevat al de woorde 'free' en 'large' en zal als er een plaatje inkomt voor het wachtwoord, ook html worden en zo waarschijnlijk wel genoeg opvallen in spamfilters.

_{aub niet zeggen dat dat plaatje attached kan worden, danwel een link naar kan zijn...}

{signature}

donderdag 4 maart 2004 11:59

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 04 maart 2004 @ 03:53:
Als die e-mail in het nederlands zou zijn, zou > 95% er in stinken namelijk.

Eigenlijk niet

Demon stuurt altijd mails die beginnen met een Nederlandse mededeling waarna deze ook nog eens vertaald wordt naar het Engels. Ook op de website is dat zo, zo doen die lui het altijd

donderdag 4 maart 2004 13:41

Acties:

0 Henk 'm!

Miki

Verwijderd schreef op 04 maart 2004 @ 11:59:
[...]

Eigenlijk niet Demon stuurt altijd mails die beginnen met een Nederlandse mededeling waarna deze ook nog eens vertaald wordt naar het Engels. Ook op de website is dat zo, zo doen die lui het altijd

Read the whole topic

Miki schreef op 04 maart 2004 @ 10:20:
Lijkt wel of dat engels al eerder is vertaald van een andere taal, bablefish hoXar

Daarnaast mailt Demon.nl altijd standaard in het Nederlands en een engelse vertaling in hetzelfde mailtje daaronder. Dus das een andere reden om het niet te vertrouwen. Vind het wel knap dat het steeds meer en meer op echte meldingen begint te lijken.

Dat van het nederlands was bedoelt van een zogenaamd mailtje dat van www.tweakers.net af kwam zie post van Curry 684 op pagina no. 1.

[ Voor 9% gewijzigd door Miki op 04-03-2004 13:43 ]

donderdag 4 maart 2004 13:43

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

FYI: http://kaspersky.com/news.html?id=146100010

Zie het als spam, maar het blijft interessant.

donderdag 4 maart 2004 13:48

Acties:

0 Henk 'm!

Ed.

Ik heb 'm hier ook binnen, vond 't wel grappig dat ze namens mij mijn mailadres wouden sluiten

donderdag 4 maart 2004 13:50

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 04 maart 2004 @ 13:43:
FYI: http://kaspersky.com/news.html?id=146100010

Zie het als spam, maar het blijft interessant.

Die hele aanpak is natuurlijk zo te omzeilen. Laat bv het virus het password van internet downloaden (of uit een ander mailtje halen). Tegen de tijd dat deze feature gereleased is is hij ook al weer verouderd. Ik krijg het gevoel dat de anti-virus firma's de "strijd" tegen de virussen steeds verder aan het verliezen zijn jammer genoeg. Maar dat is een hele andere discussie.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 4 maart 2004 13:51

Acties:

0 Henk 'm!

Vaudtje

Ik vind de inhoud van de virusmailtjes eigenlijk erg komisch, want er wordt helemaal niet gelogen (De vertalingen zijn van mijn hand, voor zover ik weet is er geen NL variant, geen paniek!):

Uw email wordt binnenkort afgesloten vanwege een virus"

Als je die exe opent is dat best waarschijnlijk

Vanwege beveiliging zit er een wachtwoord op de zip

Is absoluut waar, het wachtwoord is bedoeld om de beveiliging te omzeilen, maar toch

In deeze zin staan drie fauten

donderdag 4 maart 2004 13:56

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bor_de_Wollef schreef op 04 maart 2004 @ 13:50:
[...]

Die hele aanpak is natuurlijk zo te omzeilen. Laat bv het virus het password van internet downloaden (of uit een ander mailtje halen). Tegen de tijd dat deze feature gereleased is is hij ook al weer verouderd.

Lees voor de gein even hele PR.

Feature is dus al released.

En als je pw wilt laten downen, daar valt ook wel wat op te verzinnen.

donderdag 4 maart 2004 13:59

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 04 maart 2004 @ 13:56:
[...]

Lees voor de gein even hele PR.
Feature is dus al released.

En als je pw wilt laten downen, daar valt ook wel wat op te verzinnen.

Er valt inderdaad wel wat op te verzinnen maar er kan beter een generieke oplossing gevonden worden imho. Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 4 maart 2004 14:00

Acties:

0 Henk 'm!

Verwijderd

Kreeg vanochtend een w32/bagle.gen!pwdzip binnen terwijl de laatste dats van gisteravond 20.00 zijn. Echter met de 4332 dats zou dit bericht ook gevonden moeten worden... Ik heb er hier maar 1 van gehad. Maar rond diezelfde tijd kwamen er vanaf hetzelfde ip adres 6x Bagle.K berichten. Er zijn in de tussentijd geen extra.dats of nieuwe dats geplaatst...

Wat zou er aan de hand kunnen zijn? Ik heb dat 1ene bericht gesubmit naar Webimmune en daar wordt hij herkend als w32/bagle.gen!pwdzip.

Bugje in Mcafee of iets anders?

Ik gebruik de command line versie met de volgende parameters:

/ALL /SUB /NOMEM /NOBOOT /NOBEEP /UNZIP /MIME /ANALYZE /NOEXPIRE /REPORT "{reportfile}"

Deze instelling is de afgelopen 2 maanden niet gewijzigd en heeft tot op heden perfect gewerkt

donderdag 4 maart 2004 14:03

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bor_de_Wollef schreef op 04 maart 2004 @ 13:59:
[...]

Er valt inderdaad wel wat op te verzinnen maar er kan beter een generieke oplossing gevonden worden imho. Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig.

Ehh, volgens mij is dit juist een generic methode.(in een zekere mate)
Pwp zips flaggen die aan bepaalde criteria voldoen is lame, hoewel we dat nu ook ondersteunen.

Alles is te omzeilen, als je zo gaat denken kun je net zo goed geen AV/AS gebruiken, want het is toch te omzeilen...

donderdag 4 maart 2004 14:09

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op 04 maart 2004 @ 14:00:
Kreeg vanochtend een w32/bagle.gen!pwdzip binnen terwijl de laatste dats van gisteravond 20.00 zijn. Echter met de 4332 dats zou dit bericht ook gevonden moeten worden... Ik heb er hier maar 1 van gehad. Maar rond diezelfde tijd kwamen er vanaf hetzelfde ip adres 6x Bagle.K berichten. Er zijn in de tussentijd geen extra.dats of nieuwe dats geplaatst...

Wat zou er aan de hand kunnen zijn? Ik heb dat 1ene bericht gesubmit naar Webimmune en daar wordt hij herkend als w32/bagle.gen!pwdzip.

Bugje in Mcafee of iets anders?

Misschien dat ik nog niet helemaal wakker ben, maar ik snap de strekking van je verhaal eigenlijk niet.

Misschien dat dit heel duidelijk is voor andere NAI users, maar zelf zou ik wat meer info leuk vinden.

Gokje: NAI heeft pwdzip sig niet aangepast.
Daarnaast is die methode/sig ook niet echt secuur.

donderdag 4 maart 2004 14:25

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 04 maart 2004 @ 14:03:
[...]

Ehh, volgens mij is dit juist een generic methode.(in een zekere mate)

Oke, ik bedoelde natuurlijk een generic methode die ook een beetje haalbaar is en niet voor een onacceptabele performance decrease zorgt.

Alles is te omzeilen, als je zo gaat denken kun je net zo goed geen AV/AS gebruiken, want het is toch te omzeilen...

Het gaat er mij niet om dat alles te omzeilen is of niet maar het simpelweg lezen van een mailje en bv alles achter "password" te filteren en te gebruiken als zip password is gewoon TE gemakkelijk te omzeilen.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 4 maart 2004 14:28

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bor_de_Wollef schreef op 04 maart 2004 @ 14:25:
[...]

Oke, ik bedoelde natuurlijk een generic methode die ook een beetje haalbaar is en niet voor een onacceptabele performance decrease zorgt.

Waar lees jij het laatste? Vind dat een beetje uit de lucht gegrepen hoor.
Scannen van zulke mails gaat hier niet merkbaar langzamer dan van andere mails.

donderdag 4 maart 2004 14:30

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 04 maart 2004 @ 14:28:
[...]

Waar lees jij het laatste? Vind dat een beetje uit de lucht gegrepen hoor.
Scannen van zulke mails gaat hier niet merkbaar langzamer dan van andere mails.

Ik had het over "Als we straks ook nog eens al het netwerkverkeer moeten controlleren op virussen (straks wordt er een password gedownload) dan zijn we verkeerd bezig."

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Pagina: 1 2 3 Volgende Laatste

Reageer