If the message will not displayed automatically- virus? - Privacy en beveiliging

donderdag 15 april 2004 18:09

Acties:

Verwijderd

Topicstarter

If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.mijnurl.nl/inbox/info/read.php?sessionid-3558

Ik krijg de laatste tijd erg veel e-mails met de bovenstaande tekst (mijnurl staat uiteraard de url van mijn website, en de sessionid verschilt). Kan iemand mij wellicht vertellen wat dit precies is? Ik krijg er per dag een stuk of 5 a 10, wat uiteraard erg vervelend is.

De afzender zijn voor mij bekende bedrijven waar ik eerder e-mail contact mee heb (gehad). Het vervelende is dus dat ik van deze bedrijven daadwerkelijk e-mails verwacht.
Is dit nu een virus? Ligt dit aan mij of versturen de bedrijven virussen naar mij omdat ik in het adresboek ben opgenomen?
Uiteraard heb ik een virusscan gedaan, zonder resultaat.
Alvast bedankt!

donderdag 15 april 2004 18:13

Acties:

Miki

Met welk programma heb je een virusscan gedaan?

donderdag 15 april 2004 18:16

Acties:

Verwijderd

Topicstarter

Notron Antivirus. Uiteraard gebruik ik Live-update ook. Daarom dacht ik ook dat het eigenlijk niet aan mezelf lag, alleen krijg ik de laatste ijd zoveel mails dat het wel erg toevallig is

donderdag 15 april 2004 18:17

Acties:

Voutloos

Stomme vraag misschien, maar:
Je hebt zelf een url, een eigen mailserver erbij en bij een verdachte mail wordt een bestand op je eigen domein aangemaakt?

Maw: wat/wie filtert er dan?

[ Voor 10% gewijzigd door Voutloos op 15-04-2004 18:18 ]

{signature}

donderdag 15 april 2004 18:20

Acties:

Verwijderd

Topicstarter

Nee, gaat om domein wat wordt beheerd door Shock Media. Na een mail naar de helpdesk gestuurd te hebben, kreeg ik een antwoord:

Dit is automatisch gegenereerd door een virus. De link verwijst (in tegenstelling tot wat het lijkt), niet naar je website, maar naar een lokale exploit.

Na gevraagd te hebben wat dit precies betekend nog niets terug gehad, vandaar dat ik het hier vraag.

donderdag 15 april 2004 18:25

Acties:

Miki

Verwijderd schreef op 15 april 2004 @ 18:16:
Notron Antivirus. Uiteraard gebruik ik Live-update ook. Daarom dacht ik ook dat het eigenlijk niet aan mezelf lag, alleen krijg ik de laatste ijd zoveel mails dat het wel erg toevallig is

Ja jouw gedachte is wel vaker langsgekomen en toen bleek dat veel Norton gebruikers toch waren geinfecteerd met een virus. Laatst mocht een kennis van mij, ook een Norton fanboy 2 trojans verwijderen met een andere av-scanner.

Meestal is er een standaard procedure om erachter te komen of je daadwerkelijk besmet bent.

1. Download hijack this, zie howto spyware verwijderen.
2. Als je het niet vertrouwt post dan de log in code tags
3. Deïnstalleer Norton tijdelijk en installeer een trial van Kaspersky antvirus, dit is een bijna alles vinder onder de virus scanners.
4. Mocht één van de boven genoemde stappen geen bijzonderheden opleveren dan ben je clean.

donderdag 15 april 2004 18:26

Acties:

Voutloos

Verwijderd schreef op 15 april 2004 @ 18:20:
Nee, gaat om domein wat wordt beheerd door Shock Media. Na een mail naar de helpdesk gestuurd te hebben, kreeg ik een antwoord:

[...]

Na gevraagd te hebben wat dit precies betekend nog niets terug gehad, vandaar dat ik het hier vraag.

Nou die exploit moet je dan kunnen zien als je de plain source bekijkt van dat mailtje.

(Maar dat het foute boel is, lijkt me nu al duidelijk)

[ Voor 7% gewijzigd door Voutloos op 15-04-2004 18:27 ]

{signature}

donderdag 15 april 2004 18:42

Acties:

Osiris

Mijn zus heeft zo'n mail ook gekregen en onder de link zat Netsky.p

Domme muts drukte er ook nog op

Maar door gepatchde IE niet geinfecteerd ofzo

donderdag 15 april 2004 19:42

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op 15 april 2004 @ 18:20:
Nee, gaat om domein wat wordt beheerd door Shock Media. Na een mail naar de helpdesk gestuurd te hebben, kreeg ik een antwoord:

[...]

Na gevraagd te hebben wat dit precies betekend nog niets terug gehad, vandaar dat ik het hier vraag.

Bijvoorbeeld de ITS exploit. Inderdaad moet je de source even bekijken

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 15 april 2004 19:57

Acties:

Verwijderd

Topicstarter

1. Download hijack this, zie howto spyware verwijderen.
2. Als je het niet vertrouwt post dan de log in code tags
3. Deïnstalleer Norton tijdelijk en installeer een trial van Kaspersky antvirus, dit is een bijna alles vinder onder de virus scanners.
4. Mocht één van de boven genoemde stappen geen bijzonderheden opleveren dan ben je clean.

Alle stappen ondernomen, even kijken wat het uitricht.. Ben bang dat ik de e-mails zal blijven ontvangen.

Bijvoorbeeld de ITS exploit. Inderdaad moet je de source even bekijken

Bedoel je nu dat ik het op mijn eigen harde schijf moet zoeken?
Waar moet ik de source van bekijken, de e-mail?

donderdag 15 april 2004 20:11

Acties:

Voutloos

Verwijderd schreef op 15 april 2004 @ 19:57:
Bedoel je nu dat ik het op mijn eigen harde schijf moet zoeken?
Waar moet ik de source van bekijken, de e-mail?

De mail ja, dan zie je de werking van het linkje.

En F_J_K dacht net als ik idd aan ITS (of een vergelijkbare exploit) : nieuws: Tijdelijke oplossing voor lek in Internet Explorer

En detail: die emails gebruiken een exploit, maar bevatten dus zelf niet het virus. En dus komen die mailtjes langs een aantal scanners. (alhoewel de meeste scanners ze wel als licht verdacht aan zouden moeten geven)

[ Voor 23% gewijzigd door Voutloos op 15-04-2004 20:18 ]

{signature}

donderdag 15 april 2004 20:19

Acties:

Miki

F_J_K schreef op 15 april 2004 @ 19:42:
[...]

Bijvoorbeeld de ITS exploit. Inderdaad moet je de source even bekijken

Hey daar had ik nog even niet aangedacht, maar dat is dus ook nog eens mogelijk.

donderdag 15 april 2004 20:22

Acties:

Verwijderd

Topicstarter

code:

Return-Path: <info@blabla.nl>
Received: from mijnwebsite.nl (node-c-e47e.a2000.nl [62.194.228.126]) 
by scully.shockmedia.nl (8.12.3/8.12.3) with ESMTP id i3EGPZPr024687 for 
<info@mijnwebsite.nl>; Wed, 14 Apr 2004 18:25:35 +0200
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_1E3D_01C42320.FB514730"
Message-ID: <200404141625.i3EGPZPr024687@scully.shockmedia.nl>
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2727.1300
From: <info@blablabla.nl>
To: <info@mijnwebsite.nl>
Subject: Mail Delivery (failure info@mijnwebsite.nl)
Date: Wed, 14 Apr 2004 18:28:03 +0200
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-UIDL: _Lh!!7OE!!*:;!!%[]!!
X-KAV_Disinfected: Thu, 15 Apr 2004 19:36:43 +0200

Nu staat er overigens "This message has been deleted by Kaspersky Anti-Virus". Lijkt er dus op dat het niet door mij komt, toch? Blijft vreemd, aangezien ik het virus ook opgestuurd heb gekregen door klantenservice@vodafone.nl en dergelijke bedrijven.

[ Voor 4% gewijzigd door Verwijderd op 15-04-2004 20:23 ]

donderdag 15 april 2004 20:27

Acties:

Voutloos

Verwijderd schreef op 15 april 2004 @ 20:22:
Nu staat er overigens "This message has been deleted by Kaspersky Anti-Virus". Lijkt er dus op dat het niet door mij komt, toch? Blijft vreemd, aangezien ik het virus ook opgestuurd heb gekregen door klantenservice@vodafone.nl en dergelijke bedrijven.

Ehhh, aan headers zie je niet hoe een link werkt hoor.

En die afzendersgegevens zijn dan gefaked, daar is een heel groot topic over en een sticky: Rare mail van mail- of internetprovider? Lees dit

Mede hierom is mail niet altijd wat het lijkt laatste tijd, gewoon een berichtregel aanmaken dat zulke mailtjes weggooit.
Als iemand/bedrijven je willen bereiken, moeten ze maar goede niet spam- of virusachtige mailtjes sturen.

(en in dit geval komt de mail dus niet eens van de bedrijven af van wie je iets verwachtte)

[ Voor 23% gewijzigd door Voutloos op 15-04-2004 20:30 ]

{signature}

donderdag 15 april 2004 20:35

Acties:

Verwijderd

Topicstarter

Aha, het Bagle virus..
Maar dit zou dus niet aan mij liggen? Iemand stuurt mij dus een virus omdat ik ik in haar of zijn adresboek sta, en bij mij genereert de mail een adres waar ik eerder contact mee heb gehad?

Hoe kan het dan dat ik de e-mail elke keer weer krijg, van een andere afzender met ander session-id?

donderdag 15 april 2004 20:38

Acties:

Voutloos

Verwijderd schreef op 15 april 2004 @ 20:35:
Aha, het Bagle virus..
Maar dit zou dus niet aan mij liggen? Iemand stuurt mij dus een virus omdat ik ik in haar of zijn adresboek sta, en bij mij genereert de mail een adres waar ik eerder contact mee heb gehad?

Hoe kan het dan dat ik de e-mail elke keer weer krijg, van een andere afzender met ander session-id?

Omdat het virus nogal erg nadrukkelijk aanwezig is

Je moet je er niet druk om maken, gewoon droppen en zorgen dat je zelf nooit van die troep verspreid.

{signature}

donderdag 15 april 2004 20:39

Acties:

wildhagen

Blablabla

Verwijderd schreef op 15 april 2004 @ 20:35:
Aha, het Bagle virus..

Eerder het Netsky-virus. Meer specifiek: de varianten .P en .Q

Kijk maar eens bij de bodies/subjects: http://vil.nai.com/vil/content/v_101119.htm en http://vil.nai.com/vil/content/v_101145.htm

En hij maakt misbruik van exploit/bug MS01-020 (http://www.microsoft.com/...ty/bulletin/MS01-020.mspx)

[ Voor 16% gewijzigd door wildhagen op 15-04-2004 20:40 ]

Virussen? Scan ze hier!

donderdag 15 april 2004 22:19

Acties:

Verwijderd

Topicstarter

Zojuist alles doorgelezen op de webpagina's. Daarbij de tool Stinger gedownload om te bekijken of ik zelf last heb van het virus.
Helaas lijkt er dus voor mij niets aan te doen, ik zal dergelijke mailtjes nog veel ontvangen als ik het goed begrijp..

Edit: "Number of clean files: 78764".

[ Voor 9% gewijzigd door Verwijderd op 15-04-2004 22:43 ]