[VirusAlert] NetSky varianten - Discussie Only

Ik ken mcafee niet, maar je hebt vast een beta definitie of zo nodig.

Macfee kenners in de huis?

mmedia schreef op 01 maart 2004 @ 23:53:
[...]

Ik kan scannen met compressie alleen aanzetten bij de "e-mailinstellingen" ook bij normaal scannen en e-mailscannen staat het default gewoon aan! Op de site van mcafee staat dezelfde defs die ik ook al heb. Meer mensen met dit probleem?

Ik heb net nog een keer de dir gescanned waar ik het *.pifje heb opgeslagen. Het wordt niet gedetecteerd (scan compressed files staat aan!).

Symantec heeft al een page:
http://securityresponse.s...data/w32.netsky.f@mm.html
maar nog geen write-up

NAI-klanten zijn wel al beschermd tegen de .F, hij word sinds DAT 4328 gedetecteerd, als de .C-variant.

Nee oké, maar het gaat er om dat ze afgevangen worden, dat is natuurlijk het belangrijkste.

De .D variant werd in eerste instantie ook als .C geflagged. Maar gisteren is DAT 4332 uitgekomen (de 2e van gisteren, na 4331), en die noemt hem wel correct. Dus 4333 zal vandaag wel uitkomen die dan .F weer goed benoemd.

mmedia schreef op 02 maart 2004 @ 00:24:
[...]

edit:
Ik heb nu de Engelse versie geinstalleerd en dan wordt ie wel herkend..

De Nederlandse dat versies verschijnen altijd een flink stuk later dan de engelse....

Nederlandse .DAT's?

Dacht dat die altijd Engelstalig waren? Wat is het nut van Nederlandse DAT's in vredesnaam dan? Dat je de virusscanner NL-talig wil hebben kan ik me nog enigszins voorstellen, maar de .DAT's zie je als user verder toch niet...

wildhagen schreef op 03 maart 2004 @ 15:22:
Nederlandse .DAT's?

Dacht dat die altijd Engelstalig waren? Wat is het nut van Nederlandse DAT's in vredesnaam dan? Dat je de virusscanner NL-talig wil hebben kan ik me nog enigszins voorstellen, maar de .DAT's zie je als user verder toch niet...

Ik weet ook niet waarom de localized versies later verschijnen; maar kun je zien dat de localized versies achterlopen, het kan ook zijn dat ze anders tellen, maar het komt op mij over dat ze die dats later uitbrengen

Edit:

Je wordt geredirect omdat de referer verkeerd is,

klik dan op weekly v4.x dat's en daarna op i agree...

Je kunt in de readme zien dat de localized versies zijn uitgebracht tbv W32/BAGLE.H@MM en de int. versie is gereleased wegens: W32/BAGLE.J@MM


er lijkt dus wel degelijk verschil tussen te zitten

[ Voor 21% gewijzigd door Verwijderd op 03-03-2004 17:04 ]

Hmm, ik zie wat je bedoelt. Nooit geweten

Yeuh

Write-up van NAI/McAfee: http://vil.nai.com/vil/content/v_101076.htm

ik heb het W32.Netsky.D@mm-virus, dit geeft NIS2004 aan bij het opstarten
ik heb de symantec-site remove-tool al geprobeerd, deze geeft aan dat er geen virus te gevonden is..
Ook de methode van virusalert.nl werkt ook niet
Ik heb ook Kapersky Anti-Virus erop los gelaten, maar ook die vind niks. Tenminste ik kan geen updates downloaden

Heeft iemand een idee om dit op te lossen???


Ynst

Verwijderd schreef op 04 maart 2004 @ 20:36:
Hnnm, de andere AV moet natuurlijk wel uptodate zijn.
Probeer eens wat removal tools van andere vendors.
KAV: ftp://ftp.avp.ru/utils/clrav.com
NAI: http://vil.nai.com/vil/stinger/

Probeer die twee eerst eens en laat ons weten wat die zeggen.

KAV --> "nothing to clean"
NAI --> ook niks gevonden

Ynst2003 schreef op 04 maart 2004 @ 20:23:
ik heb het W32.Netsky.D@mm-virus, dit geeft NIS2004 aan bij het opstarten
ik heb de symantec-site remove-tool al geprobeerd, deze geeft aan dat er geen virus te gevonden is..
Ook de methode van virusalert.nl werkt ook niet
Ik heb ook Kapersky Anti-Virus erop los gelaten, maar ook die vind niks. Tenminste ik kan geen updates downloaden

Heeft iemand een idee om dit op te lossen???


Ynst

trend housecall al geprobeerd?

Kijk ook eens wat dat virus allemaal voor regkeys aan hoort te maken (voor info zie de writeups en links in dit topic) en kijk of die regkeys er bij jou ook zijn.

Had van de week een virusccanner die bleef zeiken dat NetSky.B erop stond, terwijl ie gewoon al verwijderd was. Misschien is NIS ook in de war

Ynst2003 schreef op 04 maart 2004 @ 21:41:
[afbeelding]
dit zie ik als norton opstart
kan verder ook niks doen
kan norton ook niet verwijderen

Op de website van Norton is er een tooltje om Norton Antivirus te verwijderen.

En de write-up van NAI/McAfee voor de .H is te vinden @ http://vil.nai.com/vil/content/v_101077.htm

[ Voor 133% gewijzigd door Ynst2003 op 05-03-2004 13:38 ]

En hier is de write-up van NAI/McAfee: http://vil.nai.com/vil/content/v_101083.htm

Enneh, Schouw, ik neem 'beloftes' van dat soort tuig niet zo serieus... ik hoop van harte dat het waar is, maar ik vrees het ergste...

McAfee heeft de .J-variant geupgrade, van Low Risk, naar Medium Risk, en er zal vandaag nóg een DAT-file gereleased worden (versie 4335).

Op dit moment is die er nog niet, maar alvast wel een EXTRA.DAT, te downloaden @ http://a64.g.akamai.net/7...mcafee-avert/101083-a.exe

En we gaan lekker door.... NetSky.L is alweer actief.

McAfee/NAI-site hierover: http://vil.nai.com/vil/content/v_101091.htm

wildhagen schreef op 10 maart 2004 @ 20:55:
En we gaan lekker door.... NetSky.L is alweer actief.

McAfee/NAI-site hierover: http://vil.nai.com/vil/content/v_101091.htm

Ze zouden toch stoppen met die oorlog?

Daarnaast zie ik het nut niet meer om e-mails te besmetten met virussen. Er is in de laatste maand zoveel aandacht geweest over virussen met atachments dat ik me niet voor kan stellen dat mensen nu nog in de laatste versies intrappen.
De populaire e-mail programma's downloaden zo ie zo geen uitvoerbare bestanden(tenzij die natuurlijk is uitgezet ).
De meeste systeembeheerders hebben al hun maatregelen genomen en nodige instructies doorgestuurd. Het begint gewoon meer op ordinaire spam te lijken dan een echte serieuse bedreiging zoals de eerste versies wel waren.

En als we toch bezig zijn, de .M-variant is er ook alweer...

NAI/McAfee-site: http://vil.nai.com/vil/content/v_101092.htm

[ Voor 3% gewijzigd door wildhagen op 11-03-2004 11:34 ]

Eén "voordeel" : hoe meer troep er uitkomt hoe beter je beschermt bent _{toch ?}

Schouw: ik weet niet of jij daar binnen Kaspersky iets over te vertellen hebt, maar kunnen ze daar niet een keer de namen gelijktrekken met andere vendors? Dit komt natuurlijk de duidelijk niet ten goede, zo...

Wow, ik word de afgelopen dagen echt gewoon zwaar overspoeld met emails waar NetSky in zit, niet normaal meer Afgelopen dagen al 13 keer... Gelukkig dat Norton het allemaal opvangt, maar ik begin toch een beetje gek te worden hier...

De enige manier om de besmette mail al voordat het bij mij aankomt te onderscheppen zal wel bij mijn email provider liggen?

En ook van dit loeder is weer een nieuwe variant ontdekt: Netsky.N

Meer info: http://vil.nai.com/vil/content/v_101099.htm

Lalalal-die-dom... daar is Netsky.O alweer.

Write-Up: http://vil.nai.com/vil/content/v_101103.htm

En ook Panda antivirus heeft zijn write-up klaar liggen: http://www.pandasoftware....aspx?IdVirus=45740&sind=0

Weet iemand of er al een extra dat van mcafee file is voor Netsky.p

The_Silencer schreef op 22 maart 2004 @ 14:46:
Weet iemand of er al een extra dat van mcafee file is voor Netsky.p

Ja, die is er, maar alleen als je een submit doet via WebImmune. Ik verwacht, gezien de behoorlijk verspreiding vandaag nog wel een intermediate dat-release.

Je kan hem hier ook even downloaden: http://www.xs4all.nl/~jurgenjw/zooi/Extra.dat , daar heb ik hem even weggezet.

The_Silencer schreef op 22 maart 2004 @ 14:46:
Weet iemand of er al een extra dat van mcafee file is voor Netsky.p

Ik vrees van niet, 24 maart wordt genoemd in de write-up dat de gewone reguliere dat-update plaatsvindt. Best wel jammer vind ik, mcafee is zeer goed maar de reputatie wordt teniet gedaan door dit soort acties. Natuurlijk is het virus "nog" niet zo actief, maar je zou het maar in je mailbox krijgen

Mocht je besmet raken dan kan de Online virusscanner van Panda deze verwijderen. Panda Activescan

[ Voor 21% gewijzigd door Miki op 22-03-2004 14:56 ]

Miki schreef op 22 maart 2004 @ 14:50:
[...]


Ik vrees van niet, 24 maart wordt genoemd in de write-up dat de gewone reguliere dat-update plaatsvindt. Best wel jammer vind ik, mcafee is zeer goed maar de reputatie wordt teniet gedaan door dit soort acties. Natuurlijk is het virus "nog" niet zo actief, maar je zou het maar in je mailbox krijgen

Mocht je besmet raken dan kan de Online virusscanner van Panda deze verwijderen. Panda Activescan

Op mijn stage zijn er inmiddels al een aantal pcs mee besmet. De extra dat van wildhagen werkt gelukkig

Inmiddels heeft McAfee een officiele EXTRA.DAT gereleased: http://a64.g.akamai.net/7...mcafee-avert/101119-b.exe

Het risk assessment is ook van Low naar Medium gegaan.

Meer info: http://vil.nai.com/vil/content/v_101119.htm

En later vandaag komt er ook een Intermediate DAT-release uit, 4340 is geschedulded voor 22/03/04 ipv 24/03/04 zoals daarstraks nog was.

Edit 16:19: De intermediate DAT-file 4340 is zojuist gereleased...

[ Voor 29% gewijzigd door wildhagen op 22-03-2004 16:20 ]

tja trend is ook nog niet zo ver. beetje vreemd.

Waar ik ook de bal niet van snap. Zoals wildhagen meldt, is er wel een extra.dat file uit. Da's allemaal leuk en aardig, maar dan moet je dus fisiek elk werkstation langs hobbelen met die file. Heb al m'n clients staan dat ze elk uur checken, op een pad in me netwerk, maar daar die .dat neer mikken werkt dus niet
Achja, zo kom ik ook eens van me stoel af natuurlijk.

[ Voor 3% gewijzigd door RaZ op 22-03-2004 15:56 ]

RaZ: betere AV nemen die het zelf distribueert?

Komt over het algemeen niet voor dat we een virus krijgen voordat er nieuwe definities zijn en al geupdate is.
Maar het idee dat het een keer zou kunnen, en dan nog doordat er niet gewoon netjes een update file beschikbaar is.

Schouw: heb jij een sample van die p ? kan je die eens aan mij mailen? misschien maken ze geen haast omdat ie met een .gen sig getrapt wordt? (d2k at xs4all)

RaZ schreef op 22 maart 2004 @ 15:52:
Waar ik ook de bal niet van snap. Zoals wildhagen meldt, is er wel een extra.dat file uit. Da's allemaal leuk en aardig, maar dan moet je dus fisiek elk werkstation langs hobbelen met die file. Heb al m'n clients staan dat ze elk uur checken, op een pad in me netwerk, maar daar die .dat neer mikken werkt dus niet
Achja, zo kom ik ook eens van me stoel af natuurlijk.

Je kan ook McAfee ePolicy Orchestrator gaan draaien, da's de management-utility van McAfee, kan je dit soort dingen keurig distribueren

Hoef je ook de clients niet meer langs (nou ja, de stations waar het fout gaat even daargelaten).

trend heeft een updated pattern gereleased: 833

als je NetSky.[x] hebt, kan je dit removal tooltje van symantec gebruiken:
http://securityresponse.symantec.com/avcenter/FxNetsky.exe


check dit voor manual/extra dingen voor xp!
/http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.k@mm.html


suc6, stevenp


PS: ik krijg het meeste NetSky.K binnen (gm. 3 per dag )

Verwijderd schreef op 22 maart 2004 @ 20:48:
[...]

Hmm, niet verwacht.
Regelmatig worden bij malwarebreakouts snel 'slechtere' sigs gereleased, die nog niet zo héél goed getest zijn, om later een betere sig te releasen.

Dit zag je in dit geval ook bij AVG(en Trend dus), gisteren een urgent update gereleased voor nieuwe Netsky variant en vandaag updated sig.
McAfee beta dats hebben dat heel erg(slechtere sigs), maar daarom zijn het ook beta's.

Die Netsky removal tool werkt op lang niet alle varianten..

hmmm mijn panda virus heeft netsky gedetecteerd; wat een kutvirus; heeft zichzelf gekopieerd naar ik weet niet hoeveel directories; hij heeft nu ongeveer al 3000 infected files gecleaned (door zichzelf gegenereerde files, erg vaag virusje).

Dus dat gaat nog wel ff door... wat een kutding!

hallo, heb mij net aangemeld op Got.
www.pandasoftware.com heeft mijn i-worm/netsky-Q van m'n pc gedumpt

Wie weet raad ??
Als spywere krijg ik altijd "Cdilla:Global settings hkey_LOCAL_MACHINE\Softwere\ C-Dilla kan ik die dumpen of is die wel degelijk nodig op me pc

[ Voor 27% gewijzigd door F_J_K op 24-03-2004 00:11 ]

Hmz, momenteel krijg ik bijna dagelijks virussen in mijn inbox. Ik heb nu al een factor 2 keer zoveel virus mailtjes in de afgelopen 2 weken gehad dan in de 5 jaren daarvoor... Vooral dat ongedierte wat hier genoemd word in dit topic voert de lijst hoog aan.. Jammer dat de meeste besmettingen plaats vinden bij n00b gebruikers, waar wij als verstand hebbenden weer op afgestuurd worden :'(

Ik ben blij dat m'n virusscanner me waarschuwt als er weer wat ongedierte binnenkomt, helaas moet ik daarentegen hem wel even uitzetten wil ik het virus ook daadwerkelijk verwijderen. Een beetje jammer van Kaspersky. Wellicht komt dat omdat ik een niet Microsoft mail programma gebruik? (Thunderbird)

[ Voor 35% gewijzigd door jules op 24-03-2004 11:27 ]

nee paul, dat was quote... niet edit

dit is een edit:

Ik ben vanmiddag om 17:50 ook besmet geraakt met de .p variant, ik gebruik eudora wel met automatisch mail ophalen, maar ik was dus om die tijd helemaal niet thuis... hij heeft klaarblijkelijk een geinfecteerd mailtje binnengehaald en zelfs binnen eudora automatisch en zonder dat ik ergens heen danwel op geklikt heb mijzelve geinfecteerd. Echt heel vreemd, nogmaals ik was niet eens thuis. Pas om een uur of negen, toen mijn symantec corporate automatisch geupdate werd bleek dat ik geinfecteerd was, met maar liefst 34 honderd en een beetje bestandjes.
Hij pleurt in iedere subdir onder een dir met "upload" "download" of "ftp" in de naam zijn bestandjes neer

Schouw heb jij toevallig al een analyse gezien waaruit blaijkt hoe dit kan? Ik draai dus verder winXP met de laatste windowsupdates... ie6, en met eudora gaat hij nooit naar de preview van een nieuw bericht tenzij je er zelf op klikt. (behalve als de inbox leeg is uiteraard)
Hij stond dan ook leuk toen ik er naar keek op een oud bericht.. Uit de verschillende write-ups zie ik wel dat hij gebruik maakt van die foutieve mimeheader bug in ie5.x, maar ik zit netjes op geüpdate 6.01 ofzo

[ Voor 95% gewijzigd door hufkes op 24-03-2004 00:05 ]

Maar wat is er nu precies aan de hand? Je had een virus, of alleen een melding?

Wat C-dilla inhoudt, is redelijk te zien bij [google=c-dilla]: http://www.privacyandspying.com/privacy-c_dilla.html geeft een hele bespreking

hufkes schreef op 23 maart 2004 @ 23:58:
nee paul, dat was quote... niet edit

dit is een edit:

Ik ben vanmiddag om 17:50 ook besmet geraakt met de .p variant, ik gebruik eudora wel met automatisch mail ophalen, maar ik was dus om die tijd helemaal niet thuis... hij heeft klaarblijkelijk een geinfecteerd mailtje binnengehaald en zelfs binnen eudora automatisch en zonder dat ik ergens heen danwel op geklikt heb mijzelve geinfecteerd. Echt heel vreemd, nogmaals ik was niet eens thuis. Pas om een uur of negen, toen mijn symantec corporate automatisch geupdate werd bleek dat ik geinfecteerd was, met maar liefst 34 honderd en een beetje bestandjes.
Hij pleurt in iedere subdir onder een dir met "upload" "download" of "ftp" in de naam zijn bestandjes neer

Schouw heb jij toevallig al een analyse gezien waaruit blaijkt hoe dit kan? Ik draai dus verder winXP met de laatste windowsupdates... ie6, en met eudora gaat hij nooit naar de preview van een nieuw bericht tenzij je er zelf op klikt. (behalve als de inbox leeg is uiteraard)
Hij stond dan ook leuk toen ik er naar keek op een oud bericht.. Uit de verschillende write-ups zie ik wel dat hij gebruik maakt van die foutieve mimeheader bug in ie5.x, maar ik zit netjes op geüpdate 6.01 ofzo

Hmz. Vreemd vind ik wel dat Kaspersky de Q variant niet vind als het mailtje binnenkomt, waar die normaal gesproken wel al alarm slaat. Of zelfs het opslaan van de extensie. Terwijl hij bij het verplaatsen van het mailtje, of het selecteren van de opgeslagen bijlage in verkenner, de achtergrond scanner dan pas reageert en een melding geeft.... Ik ben dan niet zo paranoïde als Schouw om de virus definities iedere 10 minuten te updaten, maar ik had 2 jaar geleden dus al wel een voorruit ziende blik om dat iedere dag te doen.
Nog altijd vind ik de beste manier om virussen te weren door je gezonde verstand te gebruiken.. Geen vreemde bijlagen openen... Alleen een beetje jammer dat dat virus zich bij jou al zomaar actief maakte, zonder dat je achter je computer zat!

F_J_K schreef op 24 maart 2004 @ 00:16:

offtopic:
Ik heb wat replies van 44paul samengevoegd en verwijderd. Het was zegmaar een beetje overdreven onoverzichtelijk
Trouwens welkom op GoT, ik hoop dat je nu een beetje door hebt hoe de knopjes werken
Lees anders [FAQ]FAQ[/FAQ] even en check even wat wat is voor je op een knop drukt die 'verstuur' heet

Maar wat is er nu precies aan de hand? Je had een virus, of alleen een melding?

Wat C-dilla inhoudt, is redelijk te zien bij [google=c-dilla]: http://www.privacyandspying.com/privacy-c_dilla.html geeft een hele bespreking

oeps, weer een fout knopje in getoetst
over C-Dilla veel gelezen maar kan er niet uit opmaken of ie nou nuttig is of niet. wie weet raad ??

Van die I-worm/netsky.Q rkijg ik weer een melding dat ie op m'm pc zit.
Symantec laten scannen deze geeft aan 0 virussen te vinden Als ik AGV laat scannen krijg ik "no viruses were fount" als ik Mcafee lat scannen vind ie een virus New Win 32

IK ben vast niet zo kundig met deze materie als jullie maar ik baal hier wel van.

gebruik een Personal firewall pro en een email virus scanner

help help.................

O ja ,Got is wel topie

Verwijderd schreef op 24 maart 2004 @ 23:21:
oeps, weer een fout knopje in getoetst
over C-Dilla veel gelezen maar kan er niet uit opmaken of ie nou nuttig is of niet. wie weet raad ??

C-dilla wordt gebruikt door AutoCAD 2000i en hoger en bevat de softwarematige kopieer beveiliging. Als je dus AutoCAD 2000i/2002/2004/2005 op je systeem hebt staan, moet je araf blijven.

Verwijderd schreef op 24 maart 2004 @ 23:21:
oeps, weer een fout knopje in getoetst
over C-Dilla veel gelezen maar kan er niet uit opmaken of ie nou nuttig is of niet. wie weet raad ??

Van die I-worm/netsky.Q rkijg ik weer een melding dat ie op m'm pc zit.
Symantec laten scannen deze geeft aan 0 virussen te vinden Als ik AGV laat scannen krijg ik "no viruses were fount" als ik Mcafee lat scannen vind ie een virus New Win 32

IK ben vast niet zo kundig met deze materie als jullie maar ik baal hier wel van.

gebruik een Personal firewall pro en een email virus scanner

help help.................

Over dat C-Dilla verhaal kan ik je weinig wijzer over maken.
Over dat Netsky.Q verhaal probeer ik het volgende te ontleden:
Uit jouw verhaal trek ik de conclusie dat je een virusscanner hebt die alleen je e-mail op virussen controleert. Verder heb je 3 virusscanners gebruikt om je hele hardeschijf te scannen op virussen.
Het grote nadeel van bovenstaande methodes is, is dat alleen je hardeschijf(ven) veilig word(en) verklaard op het moment dat je die scan uitvoerd.
Een veel betere methode, en tegenwoordig ook een vereiste methode, is dat je een virusscanner op de achtergrond laat draaien. Je computer word hierdoor wat trager, maar is ook nagenoeg niet meer vatbaar voor virussen.

Wat wellicht het allerbelangrijkste is: Zorg altijd voor up to date virusdefinities! Dat wil zeggen, zorg er voor dat je virusscanner automatische zichzelf kan updaten via internet.

Om het bovenste verhaal toe te passen op jouw probleem. Download de nieuwste virusdefinities voor je huidige virusscanner. Zorg dat de virusscanner altijd op de achtergrond scant/"monitort"

Een firewall is minstens zo belangrijk. In een enkel geval zal een virus je firewall proberen uit te schakelen. Maar vaker zal een firewall geïnstalleerd op de computer zelf er voor zorgen dat een virus niet naar buiten zal gaan. Mits deze natuurlijk goed geconfigureerd/ingesteld is.

Wellicht kun je je computer laten scannen door een online virusscanner zoals hier te vinden. Je moet het één en ander eerst invullen (hoeft niet naar waarheid, ze gebruiken het voor statistieken), maar daarna zal je computer gescanned worden op virussen door een scanner die up to dat is.

Post hier zo precies mogelijk de resultaten maar van bovenstaande vragen/opdrachten, dan kunnen we je haast wel zeker verder helpen...

[ Voor 3% gewijzigd door jules op 25-03-2004 10:16 ]

Verwijderd schreef op 24 maart 2004 @ 23:51:
dus in mijn geval geen aotocad dus dumpenc_DILLA enC-Dilla

Naast AutoCAD zijn er nog wel wat andere programma's die het als kopieerbeveiliging gebruiken. Maar je weet zelf het beste wat er op je PC staat, in de handleidingen ervan zou moeten staan of C-Dilla wordt gebruikt, of eventueel kan je op Google zoeken op de combinatie C-Dilla en de naam van je programma's. Overigens kan je er bij bijvoorbeeld Microsoft producten en spellen wel van uit gaan dat het niet nodig is

Maar de kans dat het weg mag is best aanwezig ja

Verwijderd schreef op 25 maart 2004 @ 00:06:
Beste kenners ik heb inderdaad de FAQ gelezen ben zeker geintresseerd in deze form maar met minder kennis

Virus: naast wat Ch!pY-J zegt: had je dat bestand dat het onbekende virus bevat, gemaild aan Schouw? Als we weten wat het is kunnen we meer zeggen

Ik krijg de laatste tijd bouncemessages terug van bedrijven die claimen dat ik ze een mail heb gestuurd met het bestand "document_4351.pif" met in de tekst "Here is the file." Ofwel de D variant. Ik heb Norton Corporate gebruikt, trendmicro housecall en bitdefender en allemaal geven ze aan dat ik clean ben (uiteraard met de laatste dat files). Wie is nou de besmette partij ? Zijn dat die mensen die de mailtjes naar mij sturen (lijken gebounced) of ben ik het zelf (en waarom detecteren de av scanners dan niets)?

Wat is uberhaubt de payload van de D variant? Het enige dat veel beschrijvingen geven is "plays sound".

Subject van de mail = Undeliverable: Re: Re: Re: Your document

Ik draai een personal firewall die automatisch de .pif extentie renamed en een waarschuwing geeft. Deze waarschuwing heb ik niet gehad.

[ Voor 12% gewijzigd door Bor op 25-03-2004 11:37 ]

Geen vage openstaande poorten en geen onbekende processen. Ik vraag me wel af hoe het kan dat de mailtjes naar mij worden gezonden als zijnde een mail die ik heb gestuurd die undeliverable was. Uiteraard vanaf een adres dat ik niet ken en dat ook niet in mijn adresboek staat.

Ik vind trouwens ook geen winlogon.exe in c:\winnt\ of c:\windows\ behalve die in de system dir die er hoort te staan.

Mijn vriendin belde dat een vriendin van haar laatst ook een mailtje kreeg dat van ons adres af kwam en die geinfecteerd leek (melding dat er een virus in zat). Dat maakt me toch weer bang eigenlijk.

Welke online scanner kan ik het beste pakken? Ik heb nu 3 scanners gehad en allemaal 0 gevonden.

[ Voor 28% gewijzigd door Bor op 25-03-2004 11:46 ]

Verwijderd schreef op 25 maart 2004 @ 11:51:
[...]

Gezamenlijke kennis? Zwerft je mailadres rond op het web?

Zat ik ook al aan te denken maar weet vrijwel zeker dat dit adres niet rondzwerft. De gezamelijke kennis (zijn er veel) blijft dan over. Ik verbaas mij er over dat het een bounce mailtje is van iets wat van mijn adres zou gestuurd zijn waar het virus in zou zitten. Of is dit normaal?

Hey Bor, als ik naar het bestand document 4351.pif zoek, vind ik bij PAV dat het om de netsky.k variant gaat. Hierbij schijnt het dat poort 26 wordt geopend.

Voor de volledige info: link Ze hebben zelfs een sample van het geluidje wat wordt afgespeeld door het virus Deze dus: wave file

Mocht de RAV scanner geen uitkomst bieden dan zou je, als je het nodig acht ook die van PAV kunnen proberen. Deze gebruikt virus sigantures die iedere dag ververst worden. link

[ Voor 18% gewijzigd door Miki op 25-03-2004 12:29 ]

Poort 26 staat absoluut dicht hier. Zowel op de personal firewall als op de router.

Bor_de_Wollef schreef op 25 maart 2004 @ 12:35:
Poort 26 staat absoluut dicht hier. Zowel op de personal firewall als op de router.

Je zou is hier naar kunnen kijken: http://www.pandasoftware....aspx?IdVirus=45819&sind=0

Gaat om de w32/snapper.a worm deze maakt een dll aan genaamt: IELOAD.dll tis een nieuwe iframe exploit. 24 maart door PAV herkend, dus vrij nieuw lijkt me...

[ Voor 8% gewijzigd door Miki op 25-03-2004 12:41 ]

Ook naar gekeken maar die dll is er niet.

Verwijderd schreef op 25 maart 2004 @ 12:55:
[...]

Nou zo heel nieuw is die exploit niet..
Ik zie de link richting Snapper niet echt 1,2,3.
Daarnaast neem ik aan dat zeker BD daar wel detectie voor heeft.

A. 4 virusscanners vinden niks, dus als het echt wat is moet het nieuw zijn. Bij PAV wordt snapper worm 24 maart pas herkend. Van PaV weet ik zeker dat zij iedere dag nieuwe signatures hebben, van de rest niet.

B. Bor is als het goed is nog steeds Norton 2003 gebruiker en volgens mij "lijkt"
deze exe op die van Norton: NAVAPW32.EXE

C. Het verspreid zich via email weer verder, en hij krijgt bounce mailtjes terug. Dan zou je een link kunnen bedenken.

D. Ik probeer me best te doen om de oorzaak te vinden, daarbij is het nooit gek om iets voor te dragen.

[ Voor 7% gewijzigd door Miki op 25-03-2004 13:08 ]

Bor is reeds overgestapt op Symantec anti-virus corporate client via zijn werk

Ik zal zo BD nog eens draaien.

[ Voor 18% gewijzigd door Bor op 25-03-2004 13:10 ]