[VirusAlert] Bagle varianten lijken o.a. van ISP af te komen - Privacy en beveiliging

woensdag 7 april 2004 18:46

Acties:

0 Henk 'm!

wildhagen

Blablabla

Oeps, sorry, iets te snel op die knop gedrukt zonder lezen

Nu komt Netsky binnenkort zeker ook weer met nieuwe versies? Ze beginnen daar achter te lopen qua aantal t.o.v. Bagle

Voor mensen met een firewall is dit misschien ook wel nuttig:

Users should block HTTP access to the following domains:

* http://(remove this)bohema.amillo.net
* http://(remove this)abc517.net
* http://(remove this)www.abc986.net

[ Voor 45% gewijzigd door wildhagen op 07-04-2004 18:48 ]

Virussen? Scan ze hier!

woensdag 7 april 2004 18:47

Acties:

0 Henk 'm!

Miki

Ik heb 5 minuten geleden handmatig Panda geupdate, toen is er 1 virus signature bij gekomen.

W32/Bagle.X.worm grootte 7824kb -> zelfde zoals NAI write-up. Panda is er gewoon lekker vroeg bij. Beetje meer vetrouwen Schouw!

[ Voor 15% gewijzigd door Miki op 07-04-2004 19:01 ]

woensdag 7 april 2004 19:53

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Een mens mag toch sceptisch zijn?

FSAV write-up: http://www.f-secure.com/v-descs/mitgl_ai.shtml

woensdag 7 april 2004 21:40

Acties:

0 Henk 'm!

Miki

Goed inmiddels heeft Panda ook een write-up gemaakt: link

Kans is groot dat de link straks het niet meer doet. Reden hiervoor is dat deze link nog niet is opgenomen in de aankondigingspagina maar al wel in zoekfunctie van de database. De virus-signature update is al rond 18.30 vanavond uitgebracht.

Heel toevallig is alleen zweden het land waar de meeste infecties zijn op dit moment volgens Panda. In nederland is Netsky.P lijst aanvoeder met 3,59%

[ Voor 20% gewijzigd door Miki op 07-04-2004 21:44 ]

woensdag 7 april 2004 21:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Geen idee of het verschil nog altijd zo groot is, maar vergelijk Panda eens met Trend's world map.
Toen ik die een tijd geleden bekeek, kreeg je echt compleet verschillende resultaten uit.
Maw: die maps zijn wel leuk en aardig, maar echt heel veel zegt het nou ook weer niet.

Dan zijn MessagaLabs' metingen misschien nog het betrouwbaarste denk ik zo.

woensdag 7 april 2004 22:16

Acties:

0 Henk 'm!

Miki

Die van trend en panda kan ik dus niet vergelijken en ik denk dat jij dat ook niet kon een tijd geleden

Panda geeft hun getallen in procenten weer, Trend doet dat in geinfecteerde computers of bestanden. Das dus appels met peren vergelijken, tenzij je één van de eenheden hebt lopen omrekenen, maar dat lijkt me stug

Maar ik begrijp je punt, de gegevens zijn per vendors anders en ook logisch.

donderdag 8 april 2004 00:02

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

I-Worm.Bagle.v renamed naar TrojanProxy.Win32.Mitglieder.ai
Het is van de ene kant ook maar raar dat ze het ding eerst Bagle genoemd hebben, dat werd ook niet gedaan met de TrojanProxies van eerdere versies gedaan.

maandag 26 april 2004 20:32

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

En het is weer raak..

We received several reports about a new Bagle variant: Bagle.Y. This variant has some new features, it uses encryption for its entire file and adds random garbage to the end of its file as a decoy.

Hij gaat redelijk hard atm.
FSAV rate hem Level 2
McAfee rate hem Medium.

http://www.f-secure.com/v-descs/bagle_y.shtml
http://us.mcafee.com/viru...escription&virus_k=122415
http://securityresponse.s...data/w32.beagle.w@mm.html

maandag 26 april 2004 20:43

Acties:

0 Henk 'm!

wildhagen

Blablabla

Verspreid deze zich ook als VBS-script? Ik zag namelijk in de EXTRA.DAT detectie voor twee items: de reguliere W32/Bagle.z@MM, maar ook W32/Bagle.z!vbs...

Heb hem op dit moment nog slechts één maal mogen ontvangen...

Virussen? Scan ze hier!

maandag 26 april 2004 21:18

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Van F-Secure write-up:

The worm spreads itself in e-mails. It composes several different types of e-mail messages. The worm can attach itself as an executable file with COM, EXE, SCR and CPL extension (see below), as a ZIP archive (password-protected) and also as an HTA and VBS files that contain a script dropper for the worm's binary file.

The HTA file that the worm sends in e-mails looks like windows update and is minimized and closed quickly. It creates the VBS file named QQ.VBS that drops the BBBS.EXE file - the worm's executable file. The VBS file that the worm sends just drops and runs the BBBS.EXE file.

dinsdag 27 april 2004 11:59

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Vendor's naming frenzy \o/ \o/

Mind you: Dit gaat allemaal over dezelfde variant

Bagle.Y
I-Worm.Bagle.y
I-Worm/Bagle.AA
W32.Beagle.W@mm
W32/Bagle-W
W32/Bagle.AA.worm
W32/Bagle.Y@mm
W32/Bagle.z@MM
Win32.Bagle.W
Win32/Bagle.X
WORM_BAGLE.X

Maar goed dat het niet verwarrend is.

woensdag 28 april 2004 13:57

Acties:

0 Henk 'm!

wildhagen

Blablabla

Oké, en hier gaan we ook in de dubbele letters: Bagle.AA is gesignaleerd.

Enige write-up die ik tot nu toe kan vinden is die van NAI, en die is nog voorlopig ook: http://vil.nai.com/vil/content/v_124875.htm

Virussen? Scan ze hier!

woensdag 28 april 2004 14:10

Acties:

0 Henk 'm!

D2k

trend komt met een .Z
http://nl.trendmicro-euro...ia.php?VName=WORM_BAGLE.Z

Doet iets met Cloud (MS/IBM)

woensdag 28 april 2004 14:13

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Het is weer feest vandaag.

Deze gaat aardig hard..

woensdag 28 april 2004 14:16

Acties:

0 Henk 'm!

0xDEADBEEF

F-Secure flagged m .Y

Bagle.Y attaches pictures too

Summary

Another new Bagle variant was found on April 26th, 2004. This variant differs from the ones that we've seen before. The worm sends itself in several different types of e-mails. Also the worm copies itself to shared folders with different names and opens a backdoor on an infected computer.

The worm's executable file icon looks like a cherry

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

woensdag 28 april 2004 14:20

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

0xDEADBEEF schreef op 28 april 2004 @ 14:16:
F-Secure flagged m .Y

Bagle.Y attaches pictures too

[...]

Nope, F-Secure flagt hem .Z

http://www.f-secure.com/weblog/

We have received many reports about a new variant of Bagle worm - Bagle.Z. This new variant is similar to the previous one, but it does not send pictures in e-mails.

woensdag 28 april 2004 14:20

Acties:

0 Henk 'm!

wildhagen

Blablabla

0xDEADBEEF schreef op 28 april 2004 @ 14:16:
F-Secure flagged m .Y

Bagle.Y attaches pictures too

[...]

Dat lijkt me eerder Bagle.Z (van andere vendors), van 2 dagen geleden, qua descriptie en het icoon. Bagle.AA heeft namelijk of geen icoon, of een andere, en is pas vandaag ontdekt, en niet al de 26e, zoals in jouw quote staat.

[ Voor 3% gewijzigd door wildhagen op 28-04-2004 14:20 ]

Virussen? Scan ze hier!

woensdag 28 april 2004 15:26

Acties:

0 Henk 'm!

D2k

Trend heeft een pattern gereleased 875.

Doet iets met Cloud (MS/IBM)

donderdag 29 april 2004 23:13

Acties:

0 Henk 'm!

Verwijderd

Deze gaat erg hard.
McAfee biedt bescherming met def. 4354 van 28 april, maar wordt gekilled vóórdat de automatische update kan draaien.
Een voorlopige schatting: ongeveer 75% van onze klanten besmet (600 werkplekken)

We moeten ze handmatig de sdat laten uitvoeren en daarna McAfee zijn werk laten doen.

Komende maandag is het dus feest

donderdag 29 april 2004 23:16

Acties:

0 Henk 'm!

wildhagen

Blablabla

Compeutje: kan je die sdat niet forceren in jullie loginscript?

Gewoon SDAT4354.EXE /F /SILENT uit laten voeren.

/F = Force, altijd installeren
/SILENT = installeren zonder het normale schermpje, hidden dus.

Virussen? Scan ze hier!

donderdag 29 april 2004 23:37

Acties:

0 Henk 'm!

Verwijderd

wildhagen schreef op 29 april 2004 @ 23:16:
Compeutje: kan je die sdat niet forceren in jullie loginscript?

Gewoon SDAT4354.EXE /F /SILENT uit laten voeren.

/F = Force, altijd installeren
/SILENT = installeren zonder het normale schermpje, hidden dus.

We hebben het er vanmiddag al even over gehad, maar ik begreep dat het voor wat problemen kon zorgen via KIX.

Ik heb in ieder geval even je info naar mijn collega doorgesluist, hij zou dit weekend proberen om vóór maandag, als onze klanten weer gaan inloggen, alles geregeld te hebben.

Dank voor je tip

maandag 31 mei 2004 22:47

Acties:

0 Henk 'm!

Verwijderd

Ik krijg de hele tijd een mailtje op mijn hotmail account...

Delivery Agent - Translation failed

------------- failed message -------------
Z6#JEnßsV+d1>äK8g&D?kVHt:Fqvö18qaIxVTFD~GaH
PIm;N.utHs8!d3KkqL+vwB&Oi3üsC4)&ßB:i_aNlzWiD,bY
Pdö.NK<;YvjD!o54IFß7NI7A1NsOOFfQZvhHy7M7j2
!ASPGuFM;Jdh4HEIü3$'Fk<-_raq,2!h5

Received message has been attached.

met als attatchment: message.pif

en dit ongeveer 10 keer per dag

hoe los ik dit op (of ligt dit niet aan mij)
volgens mij wel namelijk

woensdag 2 juni 2004 19:33

Acties:

0 Henk 'm!

Verwijderd

Weet niemand hoe dit te verhelpen is ??

krijg nu ook deze:
This Message was undeliverable due to the following reason:

The following destination addresses were unknown (please check
the addresses and re-mail the message):

SMTP <onacct07@terra.es>

Please reply to <postmaster@teleline.es>
if you feel this message to be in error.

From: <pieter_mensink@hotmail.com>
To: onacct07@terra.es
Subject: Re: Free porn
Sent: woensdag 2 juni 2004 18:22:11
Here is the website. ;-)

woensdag 2 juni 2004 20:41

Acties:

0 Henk 'm!

0xDEADBEEF

heArtbeAt: kijk eens in je headers naar "X-Return-Path:" oid.

Dat is vrijwel altijd de afzender.

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 5 juli 2004 12:09

Acties:

0 Henk 'm!

D2k

http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AD

trend heeft net een yellow alert afgekondigd, dus ik verwacht snel een patternfile update.

Doet iets met Cloud (MS/IBM)

maandag 5 juli 2004 20:14

Acties:

0 Henk 'm!

wildhagen

Blablabla

Ah, nee, da's een héle fijne... die stuurt zijn eigen sourcecode mee... kunnen we de komende dagen weer wat nieuwe OpenSource varianten van dit virus gaan verwachten

De eerste is al gesignaleerd: Bagle.AE

McAfee heeft inmiddels ook rated als Medium Risk en een Emergency DAT uitgebracht (versie 4373), write-up is op http://vil.nai.com/vil/content/v_126562.htm te vinden...

[ Voor 7% gewijzigd door wildhagen op 05-07-2004 20:14 ]

Virussen? Scan ze hier!

vrijdag 16 juli 2004 01:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Nieuwe Baglevariant is ITW..en flink.
Medium on watch: http://vil.nai.com/vil/content/v_126792.htm
Cat 3: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ab@mm.html
http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AF

Waren de eerste write-ups die ik zo snel kon vinden, nog geen detectie door hen gereleased echter..

vrijdag 16 juli 2004 10:25

Acties:

0 Henk 'm!

Verwijderd

Kreeg net een sms van www.waarschuwingsdienst.nl :

Waarschuwing voor gebruikers Microsoft. Nieuwe variant Bagle worm verspreidt zich zeer snel.

zondag 18 juli 2004 13:09

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

En weer een kickje..

Gisteren later op de avond is I-Worm.Bagle.ag ontdekt, een paar uur daarna werd I-Worm.Bagle.ah alweer gevonden..
Beiden lijken nog niet echt heel hard te gaan.

maandag 19 juli 2004 23:02

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

And again a kick...

De nieuwe baglevariant waar ik het in een ander topic over had, gaat erg hard..
Beestje is I-Worm.Bagle.ai gedoopt - ja, in de tussentijd was er nog een variant.

Summary:

The worm file is between 20 - 30 KB in size and is packed using PEX.

Bagle.ai spreads via the Internet as an attachment to infected mail messages. It also spreads via P2P networks. The file attached to infected messages can be an executable file, or a password protected archive.

Infected messages have the following subject:

Re:

When launched, the worm copies itself to the Windows system directory as winxp.exe. It then registers this file in the system registry to ensure that this file is launched each time the system is started.

Wat write-ups:
http://www.viruslist.com/eng/alert.html?id=1887620
http://www.f-secure.com/v-descs/bagle_ai.shtml
http://us.mcafee.com/viru...escription&virus_k=126798
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ag@mm.html

maandag 9 augustus 2004 21:08

Acties:

0 Henk 'm!

wildhagen

Blablabla

Weer een kick. Nieuwe variant: Bagle.AQ

Naar eigen ervaring kan ik melden dat hij redelijk hard lijkt te gaan, ik heb hem zelf al een paar keer gehad, en de mailservers van mijn werk hebben er al enkele tientallen afgevangen.

De enige write-up die ik momenteel kan vinden is die van NAI/McAfee: http://vil.nai.com/vil/content/v_127423.htm

Zij raten hem Medium Risk (in de link hierboven staat Low, maar in de Recently Updated Threats is hij Medium, dus dat is een foutje van hun). Ik vermoed dat binnen nu en een uur ofzo er wel een Emergency DAT gaat komen.

Symantec en Sophos meldden nog niets, maar dat zal denk ik niet lang duren...

Edit: voor de McAfee-users: het is me zojuist opgevallen dat SOMMIGE (maar niet ALLE!) van deze mails al worden afgevangen, als JS/Illwill (http://vil.nai.com/vil/content/v_99242.htm)

[ Voor 13% gewijzigd door wildhagen op 09-08-2004 21:12 ]

Virussen? Scan ze hier!

maandag 9 augustus 2004 21:20

Acties:

0 Henk 'm!

wildhagen

Blablabla

Aha. Kunnen we meteen kijken of SP2 voor WinXP idd helpt tegen dit soort virus-verspreiding.

Hoewel het denk ik nog te vroeg is, niet veel mensen zullen al SP2 hebben geinstalleerd...

Virussen? Scan ze hier!

maandag 9 augustus 2004 21:26

Acties:

0 Henk 'm!

D2k

D2k schreef op 09 augustus 2004 @ 21:14:
Ik denk trouwens dat ik hem al gehad heb wildhagen, heb al wat aan schouw geforward een uur of 2 geleden.

..

dat is dus het geval
heb um al gehad. (net ff de write-up gelezen)

pfoe, was er wel snel bij dan dit keer. Niet geopend. ik verwacht uiteraard geen "prices"

.edit:
net ff die exe geupload naar de jottiscan

code:

File:  price.exe  
AntiVir  No viruses found (5.39 seconds taken) 
BitDefender  No viruses found (11.91 seconds taken) 
ClamAV  Worm.Bagle.AI (25.33 seconds taken) 
Dr.Web  Win32.HLLM.Price.14848 (16.44 seconds taken) 
F-Prot Antivirus  dropper for W32/Mitglieder.W (0.81 seconds taken) 
F-Secure Anti-Virus  No viruses found (8.99 seconds taken) 
Kaspersky Anti-Virus  I-Worm.Bagle.al (8.41 seconds taken) 
Norman Virus Control  Sandbox: W32/Malware; [ General information ]

* Attemps to open C:\WINDOWS\SYSTEM\WINdirect.exe NULL.
* **Locates window "NULL [class Shell_TrayWnd]" on desktop.
* Creating several executable files on hard-drive.
* File length: 14848 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\WINdirect.exe.
* Creates file C:\WINDOWS\SYSTEM\_dll.exe.

[ Changes to registry ]
* Creates value "win_upd2.exe"="C:\WINDOWS\SYSTEM\WINdirect.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "win_upd2.exe"="C:\WINDOWS\SYSTEM\WINdirect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]
* Modifies other process memory.
* Creates a remote thread. (10.26 seconds taken)

[ Voor 68% gewijzigd door D2k op 09-08-2004 21:30 ]

Doet iets met Cloud (MS/IBM)

maandag 9 augustus 2004 21:39

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

D2k schreef op 09 augustus 2004 @ 21:14:
Ik denk trouwens dat ik hem al gehad heb wildhagen, heb al wat aan schouw geforward een uur of 2 geleden.

..

Ik heb niets gekregen van je

Iig:

price.html: Exploit.CodeBaseExec
price.exe: I-Worm.Bagle.al

maandag 9 augustus 2004 21:43

Acties:

0 Henk 'm!

D2k

schouw@tnet issie heen gegaan

Doet iets met Cloud (MS/IBM)

maandag 9 augustus 2004 22:02

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De serverdudes zijn niet zo'n fan van executables etc.

Dus volgende keer aub op ander adres.

Maar genoeg off-topic lijkt me.

dinsdag 28 september 2004 21:26

Acties:

0 Henk 'm!

wildhagen

Blablabla

Even een kick, want het gaat weer lekker. Nieuwe variant ontdekt: Bagle.AZ (McAfee) a.k.a. Bagle.AS (KAV).. heb hem nu in een halfuur tijd zo'n 10x mogen ontvangen (privé)...

McAfee rate hem meteen op Medium Risk, lekkere binnenkomer dus.

Write-up: http://vil.nai.com/vil/content/v_128582.htm

Bij mijn weten zijn McAfee en KAV op dit moment de enige (bekende) AV's die hem detecteren...

Virussen? Scan ze hier!

dinsdag 28 september 2004 22:03

Acties:

0 Henk 'm!

Jordi

#1#1

Was klein uurtje geleden nog niet zo, maar AntiVir en Dr. Web zien em nu ook.

Het zal wel niet, maar het zou maar wel.

vrijdag 29 oktober 2004 11:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

*kick*

I-Worm.Bagle.at is massaal gespammed, en flink...
I-Worm.Bagle.au ook al gespot.

Edit: http://www.viruslist.com/en/weblog
Medium @ http://vil.mcafeesecurity.com/vil/content/v_129509.htm

[ Voor 37% gewijzigd door Verwijderd op 29-10-2004 11:43 ]

vrijdag 29 oktober 2004 11:52

Acties:

0 Henk 'm!

wildhagen

Blablabla

Kolere die gaat hard hier!

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 12:57

Acties:

0 Henk 'm!

mrsar

waar een sar is,is een wodka

mja,kreeg inderdaad een warning voor deze

http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AT

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

vrijdag 29 oktober 2004 13:00

Acties:

0 Henk 'm!

Verwijderd

Officiele waarschuwing uitgegeven door ministerie van economische zaken:

http://www.waarschuwingsdienst.nl/render.html?it=1014

http://www.f-secure.com/v-descs/bagle_at.shtml
http://www3.ca.com/securi...sinfo/virus.aspx?id=40589
http://www.pandasoftware....aspx?IdVirus=53891&sind=0
http://hq.mcafeeasap.com/dispVirus.asp?virus_k=129509
http://www.trendmicro.com...5.asp?VName=WORM_BAGLE.AT

[ Voor 58% gewijzigd door Verwijderd op 29-10-2004 13:01 ]

vrijdag 29 oktober 2004 14:08

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

En nóg een variant - zoals al op F-Secure's weblog gemeld - kijkend naar Jotti's scanding kun je stellen dat 50% van de AVs deze variant detecteren als Bagle.at, de andere 50% detecteerde hem op het moment van eerste ontvangst niet.

vrijdag 29 oktober 2004 20:21

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Nieuwe Bagle speciaal gericht op string based signature AVs/McAfee?

The interesting thing about the latest Bagle variants is that they modify themselves before spreading: they search for applications on a hard disk and "borrow" their icons. Then these icons are attached to Bagle's files together with some garbage data (used as a decoy) and then these files are mailed out. So you might see Bagle variants with quite interesting icons...

Dat vroeg ik me dus af nav. bovenstaande.

AV engines/analysten die hun signatures baseren op strings, gebruiken daarvoor de resource-section.
Die resource-section verandert zodra je een ander icon gebruikt, waarmee detectie vaak/altijd vervliegt.

Voornamelijk McAfee komt hierbij ter sprake, deze staat hierom het meest bekend, dus ik vraag me dan ook af of deze varianten op McAfee zijn 'gericht'.

Die garbage code hebben we al eerder gezien bij Baglevarianten.

Ik heb nog geen detectionrates van McAfee gezien, maar Norman detecteert nog geen 80% van alle Bagle.at samples...

Code-based signatures zullen normaal gesproken ook mogelijk moeten zijn(de engine zou het gewoon moeten kunnen slikken), maar deze zijn een stuk lastiger om te maken, zeker als het niet gebruikelijk is.

vrijdag 29 oktober 2004 20:30

Acties:

0 Henk 'm!

wildhagen

Blablabla

Detectieratio's kan ik ook niet geven, maar McAfee Groupshield op onze mailservers staat roodgloeiend van de detectie-meldingen van W32/Bagle, W32/Bagle.dd@MM (verreweg de meesten) en W32/Bagle.bd@MM. En met roodgloeiend bedoel ik dus tientallen tot honderden meldingen per minuut (zonder overdrijven) die naar Epolicy worden gerapporteerd.

Dus het word wel degelijk detected.

Hoeveel er doorglipt weet ik niet, helaas...

Virussen? Scan ze hier!

vrijdag 29 oktober 2004 20:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Mja ik nam niet echt aan dat McAfee er (lang) problemen mee zou hebben, maar dat het problematisch is/was voor sommigen, blijkt wel uit de statistieken van Norman.

maandag 1 november 2004 14:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Zoals bekend proberen de nieuwe Baglevarianten files te downloaden van een aantal sites, deze sites waren inactief tot nu.

De file die gedownloadt wordt, is een TrojanDownloader.
Beestje is redelijk buggy - er worden twee files gedropt in %sysdir%, waarvan eentje er corrupt is.
Atm lijken de sites waar deze downloader wat moet downloaden allemaal down te zijn.

Verder was ik tussendoor nog even met Bagle.at aan het spelen en keek ook eens met HijackThis om te zien wat deze er van maakte...HT ziet wingo.exe(Bagle.at)niet als running process...

Niet echt de eerste keer dat ik dit zie bij HT, buggy code of niet, als er geen nieuwere versies meer komen, is dit wederom een bevestiging - voor mij iig - dat HT's tijd over is.

maandag 8 november 2004 20:44

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Und wieder einen kick.

Site(s) waar een van de TrojanDownloaders die Bagle downloadde probeerde te downloaden is up.

File die gedownload wordt heet zoo.jpg en is ~3500 bytes groot, FSG packed.
Unpacked size ~12800 bytes.

Eerste analyse die ik ondernomen heb indiceert dat het nu weer om een I-Worm gaat...