Toon posts:

[VirusAlert] Sober varianten komen o.a. van MS / GMX af

Pagina: 1
Acties:
  • 217 views sinds 30-01-2008
  • Reageer

maandag 8 maart 2004 11:03

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Aangezien Sober al redelijk succesvol was in Nederland, leek het me verstandig om mensen maar(preventief)te waarschuwen voor deze nieuwe variant die zich zowel in het Engels als in het Duits verspreidt.

F-Secure geeft het ding een Level 2 rating, waarbij Level 1 het hoogst haalbare is.
Gezien het eerdere succes in Duitsland/Nederland, denk ik dat die Level 2 wel voor ons geldt. Andere vendors geven een low risk rating.

Sommige andere vendors detecteren Sober.d als Roca.a.

http://www.f-secure.com/v-descs/sober_d.shtml
A new Sober.D worm variant was found in Germany on early morning of March 8th, 2004. Similar to previous Sober variants it sends emails in both German and English. Sober.D pretends to be a MS update to remove MyDoom worm. The worm spreads itself as an EXE attachment or inside a ZIP archive.
Here's how the English e-mail sent by the worm looks like:

Subject:

Microsoft Alert: Please Read!

Body:

New MyDoom Virus Variant Detected!

A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains
the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ c2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
Here's how the German e-mail sent by the worm looks like:

Subject:

Microsoft Alarm: Bitte Lesen!

Body:

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorganger verschickt sich der Wurm von infizierten Windows-
Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner!
Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des
W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schadling
zu schutzen!

+++ c2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
The sender's address is faked. The sender's name can be one of the following:

Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security

The domain of the sender's name always has '@microsoft' string followed by '.DE' or '.AT' suffixes for German messages and by '.COM' suffix for English messages.

The worm sends itself as an attachment with EXE extension or inside a ZIP archive. The attachment name varies and can contain one of the following:

Patch
MS-Security
MS-UD
UpDate
sys-patch

Additionally the attachment name can contain random numbers.
Write-ups:
http://www.f-secure.com/v-descs/sober_d.shtml
http://us.mcafee.com/viru...escription&virus_k=101081
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.d@mm.html
http://www.sophos.com/virusinfo/analyses/w32rocaa.html

maandag 8 maart 2004 11:08

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Ondanks dat ze hem Low-Risk raten heeft McAfee/NAI toch een EXTRA.DAT voor dit kreng uitgebracht, welke te downloaden is @ http://a64.g.akamai.net/7...mcafee-avert/101081-a.exe

Virussen? Scan ze hier!

maandag 8 maart 2004 11:49

Acties:
  • 0 Henk 'm!
  • Biedzjee
  • Registratie: December 2000
  • Laatst online: 14-04-2024

Biedzjee

De Waarschuwingsdienst heeft 'm ook staan... VirusAlert is nog niet wakker.

Trying to establish voice contact... please yell into keyboard.

maandag 8 maart 2004 12:30

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Meeste andere vendors brengen nu ook een update hiervoor uit.
Dus hij lijkt toch wel goed te gaan..(zoals ik al verwachtte)

maandag 8 maart 2004 12:50

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
McAfee geeft Sober.d nu een medium risk rating..
Wachten totdat er een weekly uitkomt dus. :P

Edit:

McAfee weekly update..

DAT version: 4334
Updated: 03/08/2004

[ Voor 30% gewijzigd door Anoniem: 55140 op 08-03-2004 13:07 ]

maandag 8 maart 2004 13:20

Acties:
  • 0 Henk 'm!
  • Masch
  • Registratie: Augustus 2002
  • Laatst online: 22:07

Masch

Ook Trend Micro heeft alweer een update gedaan tbv Sober. Pattern nummer is nu alweer 805. Trend geeft hem nog een low rating.

Gaat echt super snel met de patterns de laatste paar weken.

[ Voor 14% gewijzigd door Masch op 08-03-2004 13:22 ]

(\__/) Ik wist totaal niet wat hier neer te zetten....
(='.'=) Dus het werd....
("")("") Een konijn!!

maandag 8 maart 2004 13:38

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Ik gooi er nog een titeledit tegen aan die verduidelijkt dat dit ding van MS lijkt af te komen. :)

[ Voor 4% gewijzigd door Anoniem: 55140 op 08-03-2004 13:46 ]

dinsdag 9 maart 2004 00:29

Acties:
  • 0 Henk 'm!

Anoniem: 29645

Ik krijg nu al een aantal dagen e-mails binnen met Win32.Dumaru.A@mm er in en als afzender "microsoft" <security@microsoft.com>.
BitDefender detected an infected message addressed to you

From: ["microsoft" <security@microsoft.com>]
Subject: [use this patch immediately !]
Virus Name [Win32.Dumaru.A@mm]
Action taken: delete

Thank you for choosing the BitDefender solutions!

BitDefender Lab
www.bitdefender.com
Ik neem aan dat dit ook een worm is en dat iemand die mijn e-mail adres in zijn of haar adresboek heeft, mij die e-mails stuurd?

Ik krijg er echt meerdere per dag. :'(

dinsdag 9 maart 2004 01:10

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Anoniem: 29645 schreef op 09 maart 2004 @ 00:29:
Ik krijg nu al een aantal dagen e-mails binnen met Win32.Dumaru.A@mm er in en als afzender "microsoft" <security@microsoft.com>.


[...]


Ik neem aan dat dit ook een worm is en dat iemand die mijn e-mail adres in zijn of haar adresboek heeft, mij die e-mails stuurd?

Ik krijg er echt meerdere per dag. :'(
Adressed to you.
Dat lijkt me niet echt gespoofed he. :P
Dus je aanname is juist.(hoewel de source lang niet altijd een adresboek hoeft te zijn)

donderdag 11 maart 2004 13:43

Acties:
  • 0 Henk 'm!
  • Erik1
  • Registratie: Juni 2001
  • Niet online

Erik1

Ik geloof dat dit ding wel heel erg vaak voorkomt, ik heb normaal als er een wijdverspreid virus in omloop is slechts 2 of 3 mailtjes in totaal, en nu alleen vandaag al zo veel:

Afbeeldingslocatie: http://picserver.org/view_image.php/1GOI3899T8Q6/picserver.png

:X
The worm creates a file named MSLOGS32.DLL, where it stores all e-mail addresses harvested from an infected computer.
Nooit geweten dat zoveel mensen die dit soort dingen ook nog geloven mijn mail adres op hun PC hadden staan :X

zondag 28 maart 2004 16:09

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Even een kick, want er is weer een nieuwe variant (Sober.E) is gevonden...

Voorlopige write-ups:

- http://vil.nai.com/vil/content/v_101144.htm
- http://www.f-secure.com/v-descs/sober_e.shtml

Virussen? Scan ze hier!

zondag 28 maart 2004 16:14

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
KAV heeft inmiddels detectie voor Sober.e
Symantec was de eerste met een write-up afaik.
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.e@mm.html

zondag 28 maart 2004 16:21

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Titeledit.(Als een mede-mod wat beters kan bedenken, edit again, dit is niet echt geweldig). :P

Wat ik raar vind, is dat F-Secure zoveel lagt tov. Kaspersky nu, normaal zit daar niet zo heel veel tijd in, nu al bijna een uur.

zondag 28 maart 2004 16:35

Acties:
  • 0 Henk 'm!
  • Miki
  • Registratie: November 2001
  • Laatst online: 23:51

Miki

Panda write-up: link

Mijn PAV update een uur geleden maar ik zie dat Sober.E er nog niet tussen zit. Die zal straks waarschijnlijk wel komen... hoop ik :P

zondag 28 maart 2004 23:09

Acties:
  • 0 Henk 'm!
  • BoGhi
  • Registratie: Juli 2002
  • Laatst online: 08-06 09:59

BoGhi

Anoniem: 55140 schreef op 28 maart 2004 @ 16:21:
Titeledit.(Als een mede-mod wat beters kan bedenken, edit again, dit is niet echt geweldig). :P
Idd, straks komt er nog een F en G uit.. Misschien kun je hier ook een varianten-topic van maken, net als NetSky etc., hier dan voor Sober. (iha een goed idee?)

Programmers don't die. They GOSUB without RETURN

zondag 28 maart 2004 23:32

Acties:
  • 0 Henk 'm!

Anoniem: 55140

Topicstarter
Het probleem bij het maken van een topictitel hierbij is dat Sober.d van MS lijkt te komen, terwijl de nieuwe variant weer van GMX lijkt te komen..
Iets wat belangrijk leek te zijn om te vermelden gezien de vele Bagle-topics.

Nou, heb hem nogmaals gereviseerd. :p

Btw: dit had je net zo goed - zo niet beter - kunnen melden via een TR. :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq