Toon posts:

[VirusAlert] NetSky varianten - Discussie Only

Pagina: 1 2 3 4 5 Laatste
Acties:
  • 1.448 views sinds 30-01-2008
  • Reageer

donderdag 19 februari 2004 18:47

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
tijn.online schreef op 19 februari 2004 @ 18:45:
Owke, m'n broertje heeft dus met z'n stomme hoofd dit virus op m'n pc gehaald (ik zag dat m'n firewall vroeg om services.exe toegang tot internet te geven), dus ik Stinger van Network Associates draaien. Services.exe inderdaad geïnfecteerd, maar ik zie dat Stinger het bestand ook meteen maar heeft verwijderd. Kan iemand mij vertellen of ik dit bestand nodig heb, en hoe ik het opnieuw kan krijgen?
Heb je niet nodig.
Moodown: %Windir%\services.exe
Windowsfile: %Systemdir%\services.exe

donderdag 19 februari 2004 18:48

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

tijn.online schreef op 19 februari 2004 @ 18:45:
Owke, m'n broertje heeft dus met z'n stomme hoofd dit virus op m'n pc gehaald (ik zag dat m'n firewall vroeg om services.exe toegang tot internet te geven), dus ik Stinger van Network Associates draaien. Services.exe inderdaad geïnfecteerd, maar ik zie dat Stinger het bestand ook meteen maar heeft verwijderd. Kan iemand mij vertellen of ik dit bestand nodig heb, en hoe ik het opnieuw kan krijgen?
Deze services.exe heb je idd niet nodig hoor, die staat in x:\WINNT

De echte services.exe, die van Windows zelf dus, staat in x:\WINNT\System32.

Die kán een AV-pakket niet eens verwijderen, want die is in use. Als je die zou verwijderen (theoretisch dan) zou Windows dus niet meer werken, is namelijk nogal een essentieel onderdeel van het OS.

Virussen? Scan ze hier!

donderdag 19 februari 2004 18:54

Acties:
  • 0 Henk 'm!

Verwijderd

Bij ons op de zaak, begon het gistermiddag met veel zipfiles in ons filter ter controle. Maar Mcafee gaf geen krimp. Update draaien ver 43.24, nog niks. kom thuis update m'n pc 43.25 :r inbellen servers updaten. Vanmorgen weer een update 43.26. inmiddels hebben de scanners gemiddeld 50 tot 60 keer per uur dat mailtje voor hun kiezen. Nu maar ingesteld dat hij elk uur update i.p.v. 4. Dankzij onze controle op zips geen problemen gehad gelukkig. (strengbeleid heeft dit keer goed gewerkt)

donderdag 19 februari 2004 18:57

Acties:
  • 0 Henk 'm!

Verwijderd

jeeej m'n ouders hebben dit virus ookal binnen, nu krijgen ze elke dag mailtjes van andere mensen: 'hello' en 'i have your password' en 'lol'
Norton herkende hem wel meteen, niet te reparen dus maar in de kwarantène ( :P )gedaan.

donderdag 19 februari 2004 18:59

Acties:
  • 0 Henk 'm!

Verwijderd

tijn.online schreef op 19 februari 2004 @ 18:45:
Owke, m'n broertje heeft dus met z'n stomme hoofd dit virus op m'n pc gehaald (ik zag dat m'n firewall vroeg om services.exe toegang tot internet te geven), dus ik Stinger van Network Associates draaien. Services.exe inderdaad geïnfecteerd, maar ik zie dat Stinger het bestand ook meteen maar heeft verwijderd. Kan iemand mij vertellen of ik dit bestand nodig heb, en hoe ik het opnieuw kan krijgen?
Als hij hem heeft verwijderd uit de winnt / windows dir, maakt het niet uit.
De echte services.exe staat in system / system32.

donderdag 19 februari 2004 19:39

Acties:
  • 0 Henk 'm!
  • tijn.online
  • Registratie: April 2001
  • Laatst online: 17-09 10:10

tijn.online

hier had uw tekst kunnen staan

Men, volgens mij is m'n HD straks de helft leger, wat een bestanden worden er verwijderd door Stinger zeg... Wat is eigenlijk normaal (ik heb zeker al een paar honderd filenames voorbij zien fietsen, vooral in C:\System Volume Information)?

[ Voor 11% gewijzigd door tijn.online op 19-02-2004 19:39 ]

donderdag 19 februari 2004 19:43

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Dan word het toch eens tijd om een virusscanner te installeren, als er echt 100-en files al gedelete zijn, dan zit je PC kennelijk onder de virussen.

Normaal is uiteraad 0 (geen virussen actief op de PC).

Virussen? Scan ze hier!

donderdag 19 februari 2004 19:44

Acties:
  • 0 Henk 'm!
  • tijn.online
  • Registratie: April 2001
  • Laatst online: 17-09 10:10

tijn.online

hier had uw tekst kunnen staan

Nee maar goed, Netsky had z'n werk al gedaan. En al die bestanden zijn daar blijkbaar mee geïnfecteerd...

donderdag 19 februari 2004 19:47

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
tijn.online schreef op 19 februari 2004 @ 19:44:
Nee maar goed, Netsky had z'n werk al gedaan. En al die bestanden zijn daar blijkbaar mee geïnfecteerd...
Moodown is geen file infector.

donderdag 19 februari 2004 19:50

Acties:
  • 0 Henk 'm!
  • tijn.online
  • Registratie: April 2001
  • Laatst online: 17-09 10:10

tijn.online

hier had uw tekst kunnen staan

Oke, een heel stel bestanden zijn erbij gezet in directories met shared in de naam (dus niet geïnfecteerd maar aangemaakt). Maar nu loopt Stinger ook een hele lijst bestanden uit C:\System Volume Information te deleten. Is dit normaal (voor zover een virus hebben normaal kan zijn, wildhagen :))?

[ Voor 8% gewijzigd door tijn.online op 19-02-2004 19:50 . Reden: duidelijkheid... ]

donderdag 19 februari 2004 19:54

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

In principe horen er in System Volume Information geen files te staan (muv tracking.log), maar het is wel een bekende locatie waar virussen zich nog wel eens willen verstoppen.

Virussen? Scan ze hier!

donderdag 19 februari 2004 19:56

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Oke, een heel stel bestanden zijn erbij gezet in directories met shared in de naam (dus niet geïnfecteerd maar aangemaakt).
Dat zijn allemaal replica's van het virus hoor, dus zijn ze(op een manier)wel geïnfecteerd.
Iig niet runnen. :+

Afaik gebruikt Moodown geen System restore..
maw: je hebt nog meer crap op je bak.
Draai maar eens een volledige virusscan.

donderdag 19 februari 2004 19:58

Acties:
  • 0 Henk 'm!
  • Entity
  • Registratie: Oktober 2000
  • Laatst online: 09:06

Entity

9000rpm

Haha, vandaag nog een gebruiker geholpen met desinfecteren van z'n PC. Het virus kopieert zich naar alle mappen met "share" in de naam, of subfolders daarvan. En laat die gebruiker nou behoorlijk wat mappen hebben binnen een "share" map. Resultaat: elke subdir stond vol met alle mogelijke bestandsnamen van dit virus. In totaal ruim 4000 (!) files :P

donderdag 19 februari 2004 20:00

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

tijn.online: en houd er rekening mee dat Stinger geen volwaardige virusscanner is, het zoekt alleen de 40-50 (ofzo, weet niet precies) meest bekende virussen.

Virussen? Scan ze hier!

donderdag 19 februari 2004 20:14

Acties:
  • 0 Henk 'm!
  • Aurelium
  • Registratie: Mei 2003
  • Laatst online: 22-09 20:02

Aurelium

WOEHOOO :D! Ik heb em ook gekregen in mn email. Mn 2e virus waarmee ik in contact ben gekomen sinds 10 jaar intensief pc gebruik. Blaster virus was het eerste virus dat ik ooit heb gekregen :9 die kwam wel op mn pc. Majah viel ook niet veel aan te doen. Zet internet aan en je hebt het (jaja windows update blabla daar doen we niet aan:{ )
Onderwerp is Hi
Body: from the chatter
Bijlage: Ranking.zip 21 kb :)
woei :+

donderdag 19 februari 2004 20:15

Acties:
  • 0 Henk 'm!

Verwijderd

Al gehad :) En PCChillin onderschepte hem netjes, ik ben er niet bang voor...

Maar wat is het doel van dit virus? Net zoiets als MyDoom?

donderdag 19 februari 2004 20:17

Acties:
  • 0 Henk 'm!
  • Aurelium
  • Registratie: Mei 2003
  • Laatst online: 22-09 20:02

Aurelium

Verwijderd schreef op 19 februari 2004 @ 20:15:
Al gehad :) En PCChillin onderschepte hem netjes, ik ben er niet bang voor...

Maar wat is het doel van dit virus? Net zoiets als MyDoom?
Ik heb ergens gelezen dat het zelfs het mydoom virus probeert onschadelijk te maken als je dat ook op je pc hebt.

donderdag 19 februari 2004 20:20

Acties:
  • 0 Henk 'm!
  • Kix@$$
  • Registratie: December 2001
  • Laatst online: 24-09 22:47

Kix@$$

Ik had net iemand daar deed Internet het niet meer. Symantac Moodown-scanner er overheen en 20 bestanden gevonden.

Daarna deed internet et weer... heel vaag

donderdag 19 februari 2004 20:21

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Aurelium schreef op 19 februari 2004 @ 20:17:
[...]


Ik heb ergens gelezen dat het zelfs het mydoom virus probeert onschadelijk te maken als je dat ook op je pc hebt.
Dat klopt, maar helemaal nieuw is dat niet, het is al eerder voorgekomen dat een virus andere virussen probeert de nek om te draaien. Denk aan Nachi/Welchia dat Blaster ongedaan maakte (maar zelf 10x meer overlast veroorzaakte).

Virussen? Scan ze hier!

donderdag 19 februari 2004 20:27

Acties:
  • 0 Henk 'm!
  • TeringJantje
  • Registratie: Juni 2003
  • Laatst online: 20-09 11:02

TeringJantje

Ik heb al 3 auto-reply mailtjes van bedrijven gehad. Alle 3 zeggen ze dat ik een mailtje gestuurd heb met dit virus. En ik ken die bedrijven niet eens. Laat staan hun email-adressen.

donderdag 19 februari 2004 20:29

Acties:
  • 0 Henk 'm!
  • Aurelium
  • Registratie: Mei 2003
  • Laatst online: 22-09 20:02

Aurelium

TeringJantje schreef op 19 februari 2004 @ 20:27:
Ik heb al 3 auto-reply mailtjes van bedrijven gehad. Alle 3 zeggen ze dat ik een mailtje gestuurd heb met dit virus. En ik ken die bedrijven niet eens. Laat staan hun email-adressen.
Misschien je pc eens scannen dan?

donderdag 19 februari 2004 20:31

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

TeringJantje schreef op 19 februari 2004 @ 20:27:
Ik heb al 3 auto-reply mailtjes van bedrijven gehad. Alle 3 zeggen ze dat ik een mailtje gestuurd heb met dit virus. En ik ken die bedrijven niet eens. Laat staan hun email-adressen.
De reden is al zeker 10x genoemd in dit topic: het virus doet aan spoofing van de afzender.

Virussen? Scan ze hier!

donderdag 19 februari 2004 20:48

Acties:
  • 0 Henk 'm!
  • Westereen
  • Registratie: September 2003
  • Laatst online: 20-09 23:44

Westereen

Ik heb um ook al 1x op me pc gekregen, gister namelijk, ut was van een duitse afzender weet nie meer welke, ik gebruik norton antivirus 2004 met laatste liveupdate en die herkent um perfect.
Mijn pa, heeft um 2x gekregen 1x van een @home adres en 1x van een @chello adres, mijn pa heeft mcafee te draaien die mot nog ff worden upgedate want die herkent um niet.

donderdag 19 februari 2004 20:56

Acties:
  • 0 Henk 'm!

Verwijderd

Waarom onthouden mensen gewoon niet;

E-mail van bedrijven die je niet kent = SPAM, of een virus
E-mail van bedrijven die je niet kent = niet openen = deleten
* vervang bedrijven door personen

Klaar, minder virussen in je mailbox...

Naast dat, Xs4All en Planet hebben virusscanner op de mail staan, dus nog minder problemen

donderdag 19 februari 2004 20:56

Acties:
  • 0 Henk 'm!
  • TeringJantje
  • Registratie: Juni 2003
  • Laatst online: 20-09 11:02

TeringJantje

Aurelium schreef op 19 februari 2004 @ 20:29:
[...]


Misschien je pc eens scannen dan?
Heb ik gedaan. Kaspersky gedraait en de removaltool van symantec. Beide hadden niks gevonden.
wildhagen schreef op 19 februari 2004 @ 20:31:
[...]

De reden is al zeker 10x genoemd in dit topic: het virus doet aan spoofing van de afzender.
Ja da snap ik, maar hoe komt dat virus dan aan mijn emailadres?

[ Voor 37% gewijzigd door TeringJantje op 19-02-2004 20:58 ]

donderdag 19 februari 2004 21:04

Acties:
  • 0 Henk 'm!
  • Westereen
  • Registratie: September 2003
  • Laatst online: 20-09 23:44

Westereen

Je staat bij anderen in het adresboek

donderdag 19 februari 2004 23:29

Acties:
  • 0 Henk 'm!
  • Henk
  • Registratie: Februari 2003
  • Laatst online: 14-09 10:18

Henk

Whehehe, netsky :+ vliegen dr hier nou strax ook nuclear warheads ongecontroleerd door de lucht? :P (het virus uit terminator 1,2 en 3 heet skynet, verspreidt zich ook razendsnel en infecteert ook militaire netwerken waardoor het allemaal kernkoppen door de lucht schiet en de hele wereld verwoest. is een virus met AI. ) De naam is wel goed gekozen dus :P het virus is écht razendsnel

Kheb dr trouwens nog geen last van gehad :)

[ Voor 15% gewijzigd door Henk op 19-02-2004 23:33 ]

vrijdag 20 februari 2004 11:34

Acties:
  • 0 Henk 'm!
  • Elteor
  • Registratie: April 2000
  • Laatst online: 18-12-2021

Elteor

doet wat met computers ....

Sinds de uitbraak 348 Netsky's onderschept.

Wat is het toch lekker als je gelukkig alle zip bestanden automatisch al inquarantaine gooit (levert wel weer extra controle op voor wel door te sturen mail, maar dat neem ik dan maar op de koop toe).

Distributed Computing - TEB - Elteor-statspage

vrijdag 20 februari 2004 15:38

Acties:
  • 0 Henk 'm!

Verwijderd

Ik word echt helemaal wouws van al die lui die klakkeloos attachments openen! Er moeten maar gauw spotjes op tv komen waarin aan Jan met de Pet vertelt wordt dat je niet zomaar een attachment moet openen, een soort politieberichten ofzo.

Dit soort crap zorgt (tezamen) met Spam echt voor een belachelijke hoeveelheid BullSh*t e-mailverkeer en kosten de wereldeconomie miljarden Euro's.

Zucht, waar zijn de tijden toch gebleven dat computers alleen door mensen gebruikt werden die er verstand van hadden.

vrijdag 20 februari 2004 22:20

Acties:
  • 0 Henk 'm!
  • Aurelium
  • Registratie: Mei 2003
  • Laatst online: 22-09 20:02

Aurelium

Verwijderd schreef op 20 februari 2004 @ 15:38:
Zucht, waar zijn de tijden toch gebleven dat computers alleen door mensen gebruikt werden die er verstand van hadden.
Die tijd is gelukkig al lang voorbij.

vrijdag 20 februari 2004 22:47

Acties:
  • 0 Henk 'm!
  • danslo
  • Registratie: Januari 2003
  • Laatst online: 15:15

danslo

Ik was 2 dagen geblokt van demon omdat ze niet wilden dat dit virus zich verder verspreidde.. Ik heb f*cking anderhalf uur (gelukkig gratis) moeten wachten tot ik een medewerker aan de telefoon kreeg. Die man gelijk van: Je hebt skynet dit dat, terwijl ik dat virus in die offline tijd allang handmatig had gedelete. Ik heb geen suspicious mailtjes geopent, helemaal niks btw, maar volgens die man @ demon opent dit virus zichzelf :? ... Het programma zette gewoon zijn registersleutels in 1keer terug als je deze delete in regedit.. Ik ben naar veilige modus geboot, ejxenue.exe (oid?) beindigt, zn keys gedelete, exe van C:\WINDOWS\system32\ verwijdert. Ik heb hem nooit meer terug gezien, en gelukkig weer online :D

vrijdag 20 februari 2004 22:59

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb geen suspicious mailtjes geopent, helemaal niks btw, maar volgens die man @ demon opent dit virus zichzelf
Nope, je hebt de file zelf moeten executen.

Tip: Draai een goede AV. :)

vrijdag 20 februari 2004 23:17

Acties:
  • 0 Henk 'm!
  • danslo
  • Registratie: Januari 2003
  • Laatst online: 15:15

danslo

Verwijderd schreef op 20 februari 2004 @ 22:59:
[...]

Nope, je hebt de file zelf moeten executen.

Tip: Draai een goede AV. :)
Kheb helemaal niks open gemaakt geloof me nou maar ;) Ik heb net een nieuw email adres, en dat werkt (helaas) alleen met outlook. Ik heb daarop maar 1 mailtje ontvangen, namelijk van mezelf :/

zaterdag 21 februari 2004 00:36

Acties:
  • 0 Henk 'm!
  • NoBody
  • Registratie: Juni 2001
  • Laatst online: 12-12-2024

NoBody

www.gentoo.org

Ik kan er met mijn verstand niet bij wat voor motieven deze zieke geesten hebben bij het maken van dit soort doelloze viri (ze richten geeneens schade aan! Alleen maar pure bandbreedte verspilling).

Van Netsky of Moodown nog niets gemerkt, verwacht ik eigenlijk ook niet op mijn LAN, gezien er bijvoorbeeld al geen outlook (brak) gebruikt wordt maar Mozilla Mail en Hotmail voor de bijbehorende adressen voor zover gezinsleden die hebben :)

Hoi

woensdag 25 februari 2004 18:43

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Kicked up.

Inmiddels is W32/Netsky.C dus alweer gedetecteerd.

Risk Assessment van NAI/McAfee is voorlopig: Medium

Meer info: http://vil.nai.com/vil/content/v_101048.htm

Er is, in afwachting van de weekly DAT van vanavond, alvast een EXTRA.DAT beschikbaar, en wel hier: http://a64.g.akamai.net/7...mcafee-avert/101048-a.exe

Virussen? Scan ze hier!

woensdag 25 februari 2004 18:43

Acties:
  • 0 Henk 'm!

Verwijderd

offtopic:
Je bent me net voor wildhagen

woensdag 25 februari 2004 18:55

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Die is er toch al heel wat uren..
Symantec listte hem vannacht al op de site, hoewel ze er geen detectie voor hebben uitgebracht.
Cat 3 nu.

Opvallend is dat Kaspersky een nieuwe Dumaru variant urgenter beschouwde dan Moodown.c.
(Beide dmv. zelfde update gedetecteerd).

edit:
Title etwas aangepast.


Nog wat write-ups:
http://www.f-secure.com/v-descs/netsky_c.shtml
http://www.trendmicro.com...5.asp?VName=WORM_NETSKY.C
http://www3.ca.com/virusinfo/virus.aspx?ID=38406
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.c@mm.html

[ Voor 45% gewijzigd door Verwijderd op 25-02-2004 19:02 ]

woensdag 25 februari 2004 20:00

Acties:
  • 0 Henk 'm!

Verwijderd

Symantec heeft wel een definitie nu (en had hem al in de beta definitie):

code:
1

ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/static/symcdefsx86.exe


Zou niet weten of liveupdate hem ook al heeft.

woensdag 25 februari 2004 20:04

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Jawel, LU is inmiddels ook uit.
De Waarschuwingsdienst heeft ook een mail de deur uitgedaan zie ik.

woensdag 25 februari 2004 20:17

Acties:
  • 0 Henk 'm!

Verwijderd

McAfee heeft de weekly dat nog niet gereleased, voorlopig draaien we ff op de extra.dat (wel irritant dat je dan niet kan zien welke versie het is, hij geeft alleen maar W32/Netsky ED weer ipv a,b of c

woensdag 25 februari 2004 20:21

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 25 februari 2004 @ 20:17:
McAfee heeft de weekly dat nog niet gereleased, voorlopig draaien we ff op de extra.dat (wel irritant dat je dan niet kan zien welke versie het is, hij geeft alleen maar W32/Netsky ED weer ipv a,b of c
O, inmiddels is 4328 wel gereleased hoor :)

Ze hebben alleen hun site nog niet bijgewerkt, maart 4328 is hier te downloaden: http://a64.g.akamai.net/7...nglish/intel/sdat4328.exe

Dan zal er later vanavond nog wel eentje komen, die de échte weekly is. Zoiets was vorige week ook an de hand.

Virussen? Scan ze hier!

woensdag 25 februari 2004 20:25

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
wildhagen schreef op 25 februari 2004 @ 20:21:
[...]
Dan zal er later vanavond nog wel eentje komen, die de échte weekly is. Zoiets was vorige week ook an de hand.
Volgens mij waren er toen twee breakouts op een avond.
Die extra update was iig nodig, niet omdat die ene niet als echte weekly fungeerde.
Althans zo zag het eruit. :P

Misschien als ze de nieuwe Welchia variant nog niet coveren dat zoiets het geval kan zijn.

[ Voor 11% gewijzigd door Verwijderd op 25-02-2004 20:25 ]

donderdag 26 februari 2004 00:43

Acties:
  • 0 Henk 'm!

Verwijderd

Nu blijkt toch weer hoe stom de mensen zijn die weer gewoon een onbekende bijlage openen...

ik heb hiervoor weleens een virus toegestuurd gekregen, maar dit is echt erg! ik heb de afgelopen 2 dagen al 17 mailtjes met hetzelfde w32.NetSky.B virus erin gekregen! hebben jullie daar ook last van of ben ik gewoon ineens zo populair?

donderdag 26 februari 2004 09:27

Acties:
  • 0 Henk 'm!
  • Steve
  • Registratie: Juli 2002
  • Laatst online: 06-09 19:00

Steve

Krokodil \o/

Ik heb er even een nieuwsje over geschreven :) : nieuws: Netsky-varianten B en C bezig aan opmars
offtopic:
Woei, m'n eerste post in B&V :Y)

donderdag 26 februari 2004 09:32

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

Trend heeft um een Red Alert status gegeven. das wel pittig dan

hebbum zelf alleen nog nergens gezien?
Jupiler schreef op 26 februari 2004 @ 09:27:
Ik heb er even een nieuwsje over geschreven :) : nieuws: Netsky-varianten B en C bezig aan opmars
offtopic:
Woei, m'n eerste post in B&V :Y)
gemiste kans je artikel. Je had ook gelijk de C variant mee moeten nemen. En er staat een tikfout in.

[ Voor 63% gewijzigd door D2k op 26-02-2004 09:33 ]

Doet iets met Cloud (MS/IBM)

donderdag 26 februari 2004 09:49

Acties:
  • 0 Henk 'm!
  • Steve
  • Registratie: Juli 2002
  • Laatst online: 06-09 19:00

Steve

Krokodil \o/

D2k schreef op 26 februari 2004 @ 09:32:
gemiste kans je artikel. Je had ook gelijk de C variant mee moeten nemen.
Ik had 'm aanvankelijk niet meegenomen omdat de verspreiding en schade nog niet even groot was als die van Netsky.B, en omdat hij veel minder z'n weg had gevonden naar Nederland. Maar het kan natuurlijk geen kwaad, dus heb ik maar even de opzet van het nieuwsje gewijzigd en er een extra alinea over Netsky.C aan toegevoegd.

donderdag 26 februari 2004 09:51

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

Jupiler schreef op 26 februari 2004 @ 09:49:
[...]

Ik had 'm aanvankelijk niet meegenomen omdat de verspreiding en schade nog niet even groot was als die van Netsky.B, en omdat hij veel minder z'n weg had gevonden naar Nederland. Maar het kan natuurlijk geen kwaad, dus heb ik maar even de opzet van het nieuwsje gewijzigd en er een extra alinea over Netsky.C aan toegevoegd.
d:)b

Doet iets met Cloud (MS/IBM)

donderdag 26 februari 2004 10:14

Acties:
  • 0 Henk 'm!
  • Spearhead
  • Registratie: November 2001
  • Laatst online: 14-08 19:09

Spearhead

Kan het zijn dat geinfecteerde PC's inmiddels bezig zijn met een DDOS attack op de diverse blacklists ? Mijn mailserver heeft bijvoorbeeld moeite om sorbs en en nog een paar andere te bereiken.

donderdag 26 februari 2004 10:28

Acties:
  • 0 Henk 'm!

Verwijderd

Sorbs is down, er wordt door Netsky C tussen 6 en 9 een aantal dns request gedaan naar:
145.253.2.171
151.189.13.35
193.141.40.42
193.189.244.205
193.193.144.12
193.193.158.10
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.185.252.73
212.185.253.70
212.44.160.8
212.7.128.162
212.7.128.165
213.191.74.19
217.5.97.137
62.155.255.16
Zou best met elkaar te maken kunnen hebben

donderdag 26 februari 2004 10:53

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Nieuwe update, iig relevant voor users van McAfee:
-- Update Feb 26th 01:21 PST --
A new UPX packed sample of W32/Netsky.c@MM has been received. This sample is detected exactly as W32/Netsky.c@MM - however Compressed File scanning must be enabled.
Bron: http://vil.nai.com/vil/content/v_101048.htm

Virussen? Scan ze hier!

donderdag 26 februari 2004 12:49

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

is het een muterend virus?
Pattern: 782
Version: 00
Release Type: Pattern Enhancement
Notes: WORM_NETSKY.C
pattern is voor de 2e keer aangepast. en dit is een buitengewone snelle release, nog geen 3 uur na de vorige.

* D2k denkt dat dit virus wel es heeeeeeeeeel snel zou tot een nieuwe "topper" zou kunnen leiden.

Doet iets met Cloud (MS/IBM)

donderdag 26 februari 2004 12:50

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

D2k: misschien dat die extra update is voor de nieuwe variant op deze variant op het origineel.

Zie ook [rml]wildhagen in "[ VirusAlert] Moodown.b / Netsky.B + Mood..."[/rml]

Virussen? Scan ze hier!

donderdag 26 februari 2004 12:54

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
D2k schreef op 26 februari 2004 @ 12:49:
is het een muterend virus?

[...]

pattern is voor de 2e keer aangepast. en dit is een buitengewone snelle release, nog geen 3 uur na de vorige.

* D2k denkt dat dit virus wel es heeeeeeeeeel snel zou tot een nieuwe "topper" zou kunnen leiden.
quote: NAI
25,353 bytes (Petite packed)
28,160 bytes (Aspack packed)
24,064 (UPX packed)
(may have appended garbage)
Trend heeft resourcebased sigs, waar de garbage(zeer waarschijnlijk)terecht komt.
Dat samen met de gepackte varianten..

Geen idee of NAI een extra update nou heeft gelanceerd of alleen dat in de write-up heeft vermeld, maar dat zit er dik in omdat ook NAI resourcebased sigs gebruikt.

donderdag 26 februari 2004 13:50

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

heb jij um zelf al gehad Schouw?
ik heb er nog geen 1 gezien?

Doet iets met Cloud (MS/IBM)

donderdag 26 februari 2004 13:55

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Zelf nog geen, maar krijg nooit meer dan 1-2 niet-express verstuurde mails van hetzelfde.
Volgens mij is het vooral USA..
Opvallend dat Trend een High Risk Rating geeft, dat doen ze niet zo vlug.

Edit: Owja, kan alleen maar infected mails krijgen op yahoo adres, de rest zit allemaal potdicht. Ook geen notificatie van 'received infected mail' of iets in die richting.

[ Voor 31% gewijzigd door Verwijderd op 26-02-2004 13:56 ]

donderdag 26 februari 2004 14:02

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

Verwijderd schreef op 26 februari 2004 @ 13:55:
Zelf nog geen, maar krijg nooit meer dan 1-2 niet-express verstuurde mails van hetzelfde.
Volgens mij is het vooral USA..
Opvallend dat Trend een High Risk Rating geeft, dat doen ze niet zo vlug.

Edit: Owja, kan alleen maar infected mails krijgen op yahoo adres, de rest zit allemaal potdicht. Ook geen notificatie van 'received infected mail' of iets in die richting.
heb net ff bij wat klanten gekeken. ook nix.
In de virusmap van trend kon ik heb ook nog niet ontdekken daarstrax. Dat high risk vat ik dus nog niet helemaal.

Doet iets met Cloud (MS/IBM)

donderdag 26 februari 2004 14:04

Acties:
  • 0 Henk 'm!

Verwijderd

D2k schreef op 26 februari 2004 @ 13:50:
heb jij um zelf al gehad Schouw?
ik heb er nog geen 1 gezien?
Ik heb er eik ook nog geen 1 gehad, terwijl ik de B variant echt binnen no-time heel vaak binnen heb gehad, op panda kan ik ook nog geen overzicht zien van de spreiding, mcafee heeft hem iig verhoogd naar medium due to prevalence, dus hij zwerft wel in grote aantallen rond, alleen niet hier

donderdag 26 februari 2004 14:05

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

D2k schreef op 26 februari 2004 @ 14:02:
[...]

heb net ff bij wat klanten gekeken. ook nix.
In de virusmap van trend kon ik heb ook nog niet ontdekken daarstrax. Dat high risk vat ik dus nog niet helemaal.
Ik heb hem wel geteld één keer gehad (in mijn privé-mailbox).

Ter vergelijking: Netsky.B had ik een keer of 300, Mydoom.F een keer of 50-75.

Lijkt dus redelijk verwaarloosbaar te zijn.

Virussen? Scan ze hier!

donderdag 26 februari 2004 14:08

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
wildhagen schreef op 26 februari 2004 @ 14:05:
[...]


Ik heb hem wel geteld één keer gehad (in mijn privé-mailbox).

Ter vergelijking: Netsky.B had ik een keer of 300, Mydoom.F een keer of 50-75.

Lijkt dus redelijk verwaarloosbaar te zijn.
En ik ken mensen in USA die hadden hem ~450 keer in een kwartier, in het begin.
Daar was Netsky.b, iig in het begin, stukken minder te merken als hier.

Ligt er net aan op welk tijdstip zo'n ding gereleased wordt/doorbreekt.

vrijdag 27 februari 2004 13:49

Acties:
  • 0 Henk 'm!

Verwijderd

offtopic:
Er stond trouwens vanmorgen in de Telegraaf weer een viruswaarschuwing voor MyDoom.F en Netsky.c waarbij werd gezegd dat het laatste virus voornamelijk in Nederland erg veel problemen heeft veroorzaakt en zich hier snel verspreidde... I haven't seen one yet.... Waar halen ze die info vandaan?

vrijdag 27 februari 2004 14:00

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 27 februari 2004 @ 13:49:
Waar halen ze die info vandaan?
Vendors/Mailscanners.

Kleine titlefix omdat ook Kaspersky heeft gerenamed naar I-Worm.NetSky.c, wat volgens mij de enige(grote)vendor was die het ding nog Moodown noemde.

vrijdag 27 februari 2004 15:01

Acties:
  • 0 Henk 'm!
  • Bee.nl
  • Registratie: November 2002
  • Niet online

Bee.nl

zoemt

Ik had net ook Netsky.B binnen gekregen op me prive-adres. Hij was afkomstig van een <onbekend> hotmailadres (zal wel een nietbestaande zijn) met subject: hello en bijlage friend.zip. Nav2003 zag het meteen al bij het ophalen en is gelijk verwijderd.
Vroeger was ik niet zo voor virusscanners, tegenwoordig kan je niet meer zonder en heb me les wel geleerd ;).

Edit: ze blijven maar binnenstromen, das irri

[ Voor 8% gewijzigd door Bee.nl op 27-02-2004 15:11 ]

maandag 1 maart 2004 11:46

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

http://www.trendmicro.com...5.asp?VName=WORM_NETSKY.D

D variant :{

Doet iets met Cloud (MS/IBM)

maandag 1 maart 2004 12:33

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Symantec heeft ook al een minieme write-up
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.d@mm.html

KL is bezig met het testen van de sig voordat update released wordt.

Titelfixorz.

maandag 1 maart 2004 12:52

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

NAI/McAfee heeft ook al een writeup over de .D-variant: http://vil.nai.com/vil/content/v_101064.htm

Detectie zit er al in vanaf DAT4328, van 25 februari j.l.

Virussen? Scan ze hier!

maandag 1 maart 2004 13:18

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
FYI
Van KAV VA:
NetSky.D - new diffirent variant. We detect it as NetSky.c
.C - have size 25352, .D - 17424

packed with trivial Petite.
En evengoed nu al een update. :P

Edit:
Was gewoon normale 3uurlijkse update, geen urgent update.
Maar hij lijkt wel redelijk hard te gaan.

[ Voor 34% gewijzigd door Verwijderd op 01-03-2004 13:23 ]

maandag 1 maart 2004 13:21

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

D2k schreef op 01 maart 2004 @ 11:46:
http://www.trendmicro.com...5.asp?VName=WORM_NETSKY.D

D variant :{
writeup:
As of March 1, 2004, 12:51 AM PST, TrendLabs has received several infection reports of this new NETSKY variant spreading in France, US, and Japan.

This memory-resident worm uses its own SMTP engine to propagate via email, which has the following details:

This malware :

Subject: (any of the following)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Message Body:(any of the following)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Attachment:(any of the following)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

Below is a sample screenshot of the email that it sends out:


It drops a copy of itself as the file WINLOGON.EXE in the Windows folder.

(Note: On Windows NT, 2000 and XP, there is a normal application named WINLOGON.EXE in the Windows system folder.)

This malware arrives as a Petite-compressed executable file and is written using Microsoft Visual C++, a high level programming language.

It runs on Windows 95, 98, ME, NT, 2000, and XP.
trend heeft nu ook een nieuwe pattern gereleased (791)

Doet iets met Cloud (MS/IBM)

maandag 1 maart 2004 14:13

Acties:
  • 0 Henk 'm!
  • Pjotrik
  • Registratie: Juli 1999
  • Laatst online: 26-08 23:07

Pjotrik

Wat ben je aan het doen?

Het is nu al de 2e keer dat zowel norman en Sophos net 30 minuten te laat zijn met updates. Netsky-A en Netsky-D zijn beide in eerste instantie niet herkend bij ons.
Onze mailserver houd nu alweer enkele tientalen Netsky-d's tegen. Persoonlijk zou ik graag willen weten welke janl*l toch steeds zijn pc als eerste infecteert?

maandag 1 maart 2004 15:15

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Symantec heeft LU/IU gereleased.

maandag 1 maart 2004 15:29

Acties:
  • 0 Henk 'm!
  • Hans.Solo
  • Registratie: November 2000
  • Laatst online: 01-09 13:00

Hans.Solo

Tank n00bje :P

Jay! de eerste NetSky-D's komen hier nu ook binnenstuiteren vanuit onze branches in Azie...

:( :( :(

99 bugs in the code , 99 bugs in the code
Take on down and patch it up...
117 bugs in the code.

maandag 1 maart 2004 15:32

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Hoe kan je in McAfee nu het verschil zien tussen de .C en de .D variant? :?

Beiden worden gedetecteerd als .C.... maar het valt wel op dat er de laatste anderhalf uur VEEL en VEEL meer .C's zijn dan voorheen, dus dat zullen dan de .D's wel zijn neem ik maar aan...

[ Voor 4% gewijzigd door wildhagen op 01-03-2004 15:32 ]

Virussen? Scan ze hier!

maandag 1 maart 2004 15:35

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
wildhagen schreef op 01 maart 2004 @ 15:32:
Hoe kan je in McAfee nu het verschil zien tussen de .C en de .D variant? :?

Beiden worden gedetecteerd als .C.... maar het valt wel op dat er de laatste anderhalf uur VEEL en VEEL meer .C's zijn dan voorheen, dus dat zullen dan de .D's wel zijn neem ik maar aan...
Ik neem aan dat ze nog wel met een update komen, dit is niet echt handig.
Ik verwacht de update eigenlijk nog wel vandaag, want hij lijkt echt flink rond te gaan.

maandag 1 maart 2004 15:44

Acties:
  • 0 Henk 'm!
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 20-09 16:06

TD-er

Deze gaat echt vrij hard.
Van de vorige had ik er indirect 1 a2 op mijn prive adres binnen gekregen, maar van deze heb ik nu al ongeveer 20 binnen in het afgelopen uur.
Lijkt allemaal van bekenden te komen :( (afzender gespoofed)

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

maandag 1 maart 2004 15:46

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 01 maart 2004 @ 15:35:
[...]

Ik neem aan dat ze nog wel met een update komen, dit is niet echt handig.
Ik verwacht de update eigenlijk nog wel vandaag, want hij lijkt echt flink rond te gaan.
Hoop dat ze idd nog met een extra update komen ja. Maargoed, hij word iig afgevangen, da's toch het belangrijkste.

En hij lijkt idd erg hard te gaan... ePolicy Orchestrator (de management console van McAfee) begint behoorlijk overspannen te worden hier, hij trekt het nauwelijks meer, al die detecties :P

Volgens mij komt hij qua snelheid aardig in de buurt van NetSky.B en Mydoom...

Virussen? Scan ze hier!

maandag 1 maart 2004 15:47

Acties:
  • 0 Henk 'm!
  • D2k
  • Registratie: Januari 2001
  • Laatst online: 22-09 14:35

D2k

hmm
heb er nog geen 1? :'(

Doet iets met Cloud (MS/IBM)

maandag 1 maart 2004 15:51

Acties:
  • 0 Henk 'm!
  • WHiZZi
  • Registratie: Januari 2001
  • Nu online

WHiZZi

Museumdirecteurtje

Wat is je mailadres D2K :P

Kheb inmiddels (sinds vanmorgen) op een van de mailservers 500 Netsky.B, 1 Netsky.C en 7 Netsky.D opgevangen (F-prot)

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

maandag 1 maart 2004 16:02

Acties:
  • 0 Henk 'm!

Verwijderd

Er is trouwens ook een variant in omloop die niet gedetecteerd wordt door de oude defs, ik heb hem net gesubmit naar webimmune en die zegt Netsky.D maar minimale dat 4330 ipv 4328... De meeste werden overigens wel door 4328 tegen gehouden, maar een enkeleling niet... Was overigens qua size wel hetzelfde 17.424 bytes

maandag 1 maart 2004 16:04

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Verwijderd schreef op 01 maart 2004 @ 16:02:
Er is trouwens ook een variant in omloop die niet gedetecteerd wordt door de oude defs, ik heb hem net gesubmit naar webimmune en die zegt Netsky.D maar minimale dat 4330 ipv 4328... De meeste werden overigens wel door 4328 tegen gehouden, maar een enkeleling niet... Was overigens qua size wel hetzelfde 17.424 bytes
Maar 4330 is ook al uit (vannacht uitgekomen). Dan had die hem toch moeten afvangen? :?

Virussen? Scan ze hier!

maandag 1 maart 2004 16:05

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 01 maart 2004 @ 16:02:
Er is trouwens ook een variant in omloop die niet gedetecteerd wordt door de oude defs, ik heb hem net gesubmit naar webimmune en die zegt Netsky.D maar minimale dat 4330 ipv 4328... De meeste werden overigens wel door 4328 tegen gehouden, maar een enkeleling niet... Was overigens qua size wel hetzelfde 17.424 bytes
Hmm, daar wil ik ook wel graag een sample van hebben eigenlijk.
Mind sending?
Zie sig voor mail.

edit:
Even quote erbij gegooid, had niet verwacht dat wildhagen me voor zou zijn :P

[ Voor 73% gewijzigd door Verwijderd op 01-03-2004 16:12 ]

maandag 1 maart 2004 16:13

Acties:
  • 0 Henk 'm!

Verwijderd

wildhagen schreef op 01 maart 2004 @ 16:04:
[...]

Maar 4330 is ook al uit (vannacht uitgekomen). Dan had die hem toch moeten afvangen? :?
Ja vreemd, die is wel geinstalleerd (automatisch)

@Schouw;

Als ik hem trouwens nu naar jou verstuur dan wordt hij zowel door de normale dat als de extra dat afgevangen (NetSky.C@MM respectievelijk NetSky ED)

Ik denk dat het een bugje in de (command line) virusscanner is, ga daar even naar opzoek :{

Sample laat ik dus even achterwegen...

maandag 1 maart 2004 16:16

Acties:
  • 0 Henk 'm!

Verwijderd

Vandaag zijn hier ook de eerste Netsky.D binnengekomen, bovendien is Netsky.B ook nog actief.

Ik vind dit wel een beetje extreem worden, hopelijk duurt deze tendens niet lang stand, en kunnen we binnenkort onze mailbox weer openen zonder 500 virusmeldingen voor onze neus te krijgen.

maandag 1 maart 2004 16:17

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Ik vind dit wel een beetje extreem worden, hopelijk duurt deze tendens niet lang stand, en kunnen we binnenkort onze mailbox weer openen zonder 500 virusmeldingen voor onze neus te krijgen.
Die hoop heb ik al opgegeven sinds Melissa en I Love You...

Virussen? Scan ze hier!

maandag 1 maart 2004 16:18

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 01 maart 2004 @ 16:16:
Ik vind dit wel een beetje extreem worden, hopelijk duurt deze tendens niet lang stand, en kunnen we binnenkort onze mailbox weer openen zonder 500 virusmeldingen voor onze neus te krijgen.
Verwachtingen zijn dat het alleen nog maar erger gaat worden. :/

maandag 1 maart 2004 16:21

Acties:
  • 0 Henk 'm!

Verwijderd

Ja ik snap niet dat er mailadmins die viruswaarschuwingen blijven versturen aangezien 90% daarvan vals is... Maar wat doe je ertegen? Ieder bericht met het woord virus er in bouncen?

Wat ik ook erg irritant vindt zijn de emails waarbij de attachment maar half wordt verwijderd. De header blijft er dan nog instaan, waardoor iemand wel een bestand binnen krijgt met de naam me.zip maar verder geen bestand bijgevoegd. Zo krijgen de klanten het idee dat ze toch een virus binnen krijgen, terwijl ze dat niet krijgen. Ik kan vooralsnog niet scannen op bijlagen van 0b groot...

hier zo'n voorbeeld:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

--73358831
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit

ok

--73358831
Content-Type: application/x-zip-compressed; name="me.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="me.zip"


--73358831--

.

maandag 1 maart 2004 17:06

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
FEEST

I-Worm.Netsky.e is ITW

maandag 1 maart 2004 17:16

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 01 maart 2004 @ 17:06:
FEEST

I-Worm.Netsky.e is ITW
Write up van McAfee

Wordt ook geblokt door de 4328 dat...

maandag 1 maart 2004 20:23

Acties:
  • 0 Henk 'm!

Verwijderd

Oké ik krijg dus steeds mailtjes, van (heel soms bekende) onbekende afzender ... mijn norton, verwijdert ze wel altijd netjes... ik krijg dan de volgende report (ipv bijlage)

Norton AntiVirus removed the attachment: dinner.exe.
The attachment was infected with the W32.Netsky.B@mm virus.


ben ik nu zelf ook geïnfecteerd? ivm dat ik steeds (en bijvoorbeeld mijn oude hotmail adres niet) die mailtjes krijg? helpp ohja, scanner, ziet niets op full system scan

maandag 1 maart 2004 20:24

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Nee, je bent zelf niet geinfecteerd, maar iemand die jou in zijn/haar adresboek heeft staan is dat wel...

Virussen? Scan ze hier!

maandag 1 maart 2004 20:27

Acties:
  • 0 Henk 'm!

Verwijderd

en al die onbekende afzenders? die heb ik nooit me gemailt, en maar steeds van die rare tekstjes erbij van, hello?
fake

enzo, gaat gewoon adressen af ofzo?

maandag 1 maart 2004 20:50

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Nou, de maker kan trots zijn op zichzelf.
Zowel Netsky.b als Netsky.d Cat 4 aldus Symantec.

@ Darkhacker: lees eens een write-up door, dat zal veel verduidelijken. :)

maandag 1 maart 2004 20:51

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Cat4, is dat de hoogste risico-klasse? Ik ben niet zo bekend met Symantec-ranking etc.

Virussen? Scan ze hier!

maandag 1 maart 2004 20:53

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
wildhagen schreef op 01 maart 2004 @ 20:51:
Cat4, is dat de hoogste risico-klasse? Ik ben niet zo bekend met Symantec-ranking etc.
Gaat van 1 tot en met 5.
Zelfs Lovesan/Blaster kreeg geen Cat 5 rating, waarmee je dus zo ongeveer kan stellen dat Cat 4 de hoogste rating is.

maandag 1 maart 2004 23:09

Acties:
  • 0 Henk 'm!
  • Danfoss
  • Registratie: Mei 2000
  • Laatst online: 24-09 16:48

Danfoss

Deze ruimte is te koop..

Woei.. Voor het eerst ook een Netsky binnen bij ons thuis (gericht aan mij vader). Kon ik eindelijk zien dat de virusscanner op mijn mailserver werkt en dat de @home virusscanner NIET werkt :)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

Return-Path: <*****@***.*****.nl>
X-Envelope-To: USERT@MIJNDOMEIN
X-Virus-Found: W32/Netsky.c@MM
X-Spam-Status: No, hits=0.0 required=10.0
X-Spam-Level: 
Return-Path: <*****@***.*****.nl>
Received: from mx5.home.nl ([213.51.128.148]) by mail6-sh.home.nl
          (InterMail vM.5.01.06.05 201-253-122-130-105-20030824) with ESMTP
          id <20040301121913.RDXI18804.mail6-sh.home.nl@mx5.home.nl>
          for <****.***.****@home.nl>; Mon, 1 Mar 2004 13:19:13 +0100
Received: from sffpc203a.farm.rug.nl ([129.125.137.203]:2775 helo=home.nl)
    by mx5.home.nl with esmtp (Exim 4.20)
    id 1AxmO8-00016y-2U
    for ****.***.******@home.nl; Mon, 01 Mar 2004 13:19:12 +0100
From: *****@***.*****.nl
To: ****.***.******@home.nl
Subject: Re: Your picture
Date: Mon, 1 Mar 2004 13:19:12 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_0003_00003D33.00001EB5"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <E1AxmO8-00016y-2U@mx5.home.nl>
X-AtHome-MailScanner-Information: Neem contact op met support@home.nl voor meer informatie
X-AtHome-MailScanner: Found to be clean

This is a multi-part message in MIME format.

------=_NextPart_000_0003_00003D33.00001EB5
Content-Type: text/plain;
    charset="Windows-1252"
Content-Transfer-Encoding: 7bit

Your document is attached.

------=_NextPart_000_0003_00003D33.00001EB5
Content-Type: text/plain; charset="us-ascii"


This part of mail contained a virus:

  MIME type: application/octet-stream
  File name: your_picture.pif
  File size: 23.32 kB
  Virus name: W32/Netsky.c@MM
  Antivirus: McAfee Scanning Engine (4330/4.2.60)


The attachment was removed by Kerio MailServer 5.7.4 at MIJNDOMEIN

------=_NextPart_000_0003_00003D33.00001EB5--

Sys Specs

maandag 1 maart 2004 23:29

Acties:
  • 0 Henk 'm!
  • mmedia
  • Registratie: Januari 2002
  • Laatst online: 17-12-2021

mmedia

Netsky.D variant met *.pif attachments komen hier om de 10 minuten binnen en worden niet herkend door McAfee Virusscan v7.0 met nieuwst virusdefinities :(

maandag 1 maart 2004 23:32

Acties:
  • 0 Henk 'm!
  • Danfoss
  • Registratie: Mei 2000
  • Laatst online: 24-09 16:48

Danfoss

Deze ruimte is te koop..

mmedia schreef op 01 maart 2004 @ 23:29:
Netsky.D variant met *.pif attachments komen hier om de 10 minuten binnen en worden niet herkend door McAfee Virusscan v7.0 met nieuwst virusdefinities :(
Gek. Mijn mailserver gebruikt ook mcafee en die viste ´m er gewoon uit.

Sys Specs

maandag 1 maart 2004 23:34

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
mmedia schreef op 01 maart 2004 @ 23:29:
Netsky.D variant met *.pif attachments komen hier om de 10 minuten binnen en worden niet herkend door McAfee Virusscan v7.0 met nieuwst virusdefinities :(
Zeker dat het Netsky.d is?
Stuur eens een sample anders, zie sig voor mail. :)

maandag 1 maart 2004 23:37

Acties:
  • 0 Henk 'm!
  • mmedia
  • Registratie: Januari 2002
  • Laatst online: 17-12-2021

mmedia

Danfoss schreef op 01 maart 2004 @ 23:32:
[...]
Gek. Mijn mailserver gebruikt ook mcafee en die viste ´m er gewoon uit.
Dit is de info over mijn mcafee virusscanner:
Naam van het product: VirusScan Home Edition
Productversie: 7.02.6000
en dit met virusscan definitie: 4.0.4330 datum 29/02/2004

maandag 1 maart 2004 23:40

Acties:
  • 0 Henk 'm!

Verwijderd

29ste was gister, je hebt de laatste defs van vandaag nodig.

[ Voor 1% gewijzigd door Verwijderd op 01-03-2004 23:40 . Reden: typo ]

maandag 1 maart 2004 23:40

Acties:
  • 0 Henk 'm!
  • mmedia
  • Registratie: Januari 2002
  • Laatst online: 17-12-2021

mmedia

Verwijderd schreef op 01 maart 2004 @ 23:34:
[...]

Zeker dat het Netsky.d is?
Stuur eens een sample anders, zie sig voor mail. :)
u've got mail! Laat me even je reactie weten!

[ Voor 9% gewijzigd door mmedia op 01-03-2004 23:40 ]

maandag 1 maart 2004 23:41

Acties:
  • 0 Henk 'm!
  • mmedia
  • Registratie: Januari 2002
  • Laatst online: 17-12-2021

mmedia

Verwijderd schreef op 01 maart 2004 @ 23:40:
29ste was gister, je hebt de laatste defs van vandaag nodig.
Waarom pakt ie de recenste defs niet automatisch?
Pagina: 1 2 3 4 5 Laatste
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq