[Virus] Zafi.b - Er staat een eCard voor u klaar... - Privacy en beveiliging

maandag 14 juni 2004 09:31

Acties:

0 Henk 'm!

Moderator SSC/PB

Moooooh!

Topicstarter

UPDATE: Zie [rml][ VirusAlert] Zafi.b is o.a. E-Card[/rml]

Vreemd, ik wordt momenteel overstroomd met virusmails met het subject Er staat een eCard voor u klaar. De inhoud:

Hallo!

Leonie Zeeman heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.indexabD1

Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Maar achter die link schuilt dit attachment:

code:

1	postkaarten.nl.link.viewcard.index.phpG4a62.pif

Opvallend is dat hij gericht is aan allerlei gebruikersnamen die niet bestaan: roma, nourib, onan, walebo, woce, etc. @domeinnaam.nl.

Ik kan even niet zien welk virus het is omdat het attachment er op extensie wordt uitgevist. Wat zou het zijn?

Edit Schouw: Even sticky bovenaan de post neergezet.

[ Voor 12% gewijzigd door Verwijderd op 14-06-2004 15:59 ]

Exchange en Office 365 specialist. Mijn blog.

maandag 14 juni 2004 09:35

Acties:

0 Henk 'm!

cutter

Wannabe i7 fanboy

http://www.f-secure.com/v-descs/zafi_b.shtml

maandag 14 juni 2004 10:10

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

M'n broertje had het ook:

Norton AntiVirus heeft de bijlage: postkaarten.nl.link.viewcard.index.phpG4a62.pif verwijderd.
De bijlage was geïnfecteerd met het virus W32.Erkez.B@mm.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 14 juni 2004 10:34

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

http://www.symantec.com/avcenter/venc/data/w32.erkez.b@mm.html dus.

Mmm, ik moet toegeven dat ik dit zelf ook wel had kunnen vinden. Ik zou geen moeite hebben met een slotje.

[ Voor 18% gewijzigd door Jazzy op 14-06-2004 10:35 ]

Exchange en Office 365 specialist. Mijn blog.

maandag 14 juni 2004 10:45

Acties:

0 Henk 'm!

Exirion

Gadgetfetisjist

De redactie taalsite primair onderwijs...

Staat ook lekker professioneel, je mail afsluiten met .... en hoofdletters in een naam vergeten.

[ Voor 14% gewijzigd door Exirion op 14-06-2004 10:45 ]

"Logica brengt je van A naar B, verbeelding brengt je overal." - Albert Einstein

maandag 14 juni 2004 13:52

Acties:

0 Henk 'm!

Masch

http://www.waarschuwingsdienst.nl/render.html?it=905

Loopt echt storm nu hier @ work! Stom dat mensen er in blijven trappen en attachments blijven openen. Gelukkig wordt het hier geblokkeerd. Straks zul je zien dat er weer e.o.a. bedrijf 'miljoenen' schade heeft door dit virus.

(\__/) Ik wist totaal niet wat hier neer te zetten....
(='.'=) Dus het werd....
("")("") Een konijn!!

maandag 14 juni 2004 15:22

Acties:

0 Henk 'm!

DJTimo

Hier @ work is er geen verwijderen aan. Zeker 30 p/minuut. Gelukkig heb ik nog geen gebruikers aan de tel. gehad die 'm hebben ontvangen, alles komt als onbezorgbaar @ systeembeheer binnen.

Van: De Waarschuwingsdienst
Verzonden: Monday, June 14, 2004 2:47 PM
Onderwerp: [Alert] Virus Zafi.B vermomt zichzelf als elektronische groet

#########################################
## Waarschuwingsdienst - ALERT ##
#########################################

Virus Zafi.B vermomt zichzelf als elektronische groet

Programma : virus
Versie : -
Besturingssysteem: Windows

Samenvatting
Het virus Zafi.B (ook wel Erkez.B genoemd) verspreidt zich
momenteel snel. Dit virus doet zich in het Nederlands voor als een
elektronische ansichtkaart via e-mail. Daarnaast probeert het
virus zichzelf via peer-to-peer-netwerken te verspreiden.

Gevolgen
- Het virus gaat op uw computer op zoek naar bepaalde programma's,
zoals firewalls en virusscanners, en overschrijft deze waardoor ze
onbruikbaar worden. Uw computer is op dat moment onbeschermd tegen
kwaadaardig netwerkverkeer vanaf het Internet.
- Het virus probeert te voorkomen dat u programma's als de
register-editor draait om uw systeem weer op te schonen.
- Uw computer wordt misbruikt voor verdere verspreiding van dit
virus via e-mail en peer-to-peer-netwerken.

Mogelijke oplossingen
- Open geen bijlagen van e-mails die u uitnodigen om een
elektronische ansichtkaart te bekijken
- Let op met bestanden die u via peer-to-peer programma's
binnenhaalt
- Installeer de laatste update van uw anti-virusprogrammatuur en
voer vervolgens een controle uit op uw pc aan de hand van de
virusscanner.
- Open geen bijlagen van e-mails van mensen die u niet kent of
waarvan u niet had verwacht deze te ontvangen.

Hyperlinks
http://www.waarschuwingsdienst.nl/render.html?it=905

Ik ben altijd weer blij dat P2P is afgeschermd op ons netwerk hier.

edit: en die duitse troep komt hier ook nog steeds binnen. 'T is echt gezellig hier.

[ Voor 3% gewijzigd door DJTimo op 14-06-2004 15:32 ]

maandag 14 juni 2004 15:26

Acties:

0 Henk 'm!

Verwijderd

LOL Ik krijg om de minuut de volgende email text binnen:

Hi Honey!

I`m in hurry, but i still love ya...
(as you can see on the picture)

Bye - Bye: ICT Afdeling

Met als afzender From: ICT Afdeling <sales@bootix.com>

En telkens een van deze topics: "ICT Afdeling", "Check this out kid!!!", of "Don't worry behappy!"

maandag 14 juni 2004 16:01

Acties:

0 Henk 'm!

Verwijderd

Titel klein beetje bijgewerkt, verder link naar sticky in startpost geduwd.

Dit hád geen uitbraak hoeven te worden naar alle waarschijnlijkheid, maar jammergenoeg schatten bepaalde vendors de ernst van deze worm niet hoog genoeg in.
In dat opzicht zijn ze voorbijgestreefd door gratis producten als AVG/Avast/AntiVir.

maandag 14 juni 2004 16:08

Acties:

0 Henk 'm!

Verwijderd

Ik heb m ook gehad, en was helaas zo dom om m te openen.
Kreeg toen een inet explorer venster met een 404.
Vanaaf maar ff kijken of ik die registerkey kan vinden, zit nu @ skool

maandag 14 juni 2004 16:10

Acties:

0 Henk 'm!

wildhagen

Blablabla

Even een vraag: als je op die link klinkt, raak je dan ook besmet? Dus NIET het attachment, maar de link in de mail?

Edit: heb even gekeken op postkaarten.nl:

Het URL (adres) dat wordt gemeld bestaat niet (maar het is niet schadelijk om dit aan te klikken).

Gelukkig maar

[ Voor 44% gewijzigd door wildhagen op 14-06-2004 16:21 ]

Virussen? Scan ze hier!

maandag 14 juni 2004 16:27

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op 14 juni 2004 @ 16:08:
Ik heb m ook gehad, en was helaas zo dom om m te openen.
Kreeg toen een inet explorer venster met een 404.
Vanaaf maar ff kijken of ik die registerkey kan vinden, zit nu @ skool

- Het virus probeert te voorkomen dat u programma's als de
register-editor draait om uw systeem weer op te schonen.

maandag 14 juni 2004 16:43

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Topicstarter

wildhagen schreef op 14 juni 2004 @ 16:10:
Even een vraag: als je op die link klinkt, raak je dan ook besmet? Dus NIET het attachment, maar de link in de mail?

Ik kan helaas de bron even niet bekijken maar volgens mij linkt die url in werkelijkheid naar het attachment. Dat is een truukje wat je wel vaker ziet, iets als http://www.domeinnaam.nl/mailbox?retreivemessg#1234 maar onder de motorkap iets heel anders.

offtopic:
Moet jij je F1 team niet eens aanpassen?

Exchange en Office 365 specialist. Mijn blog.

maandag 14 juni 2004 19:01

Acties:

0 Henk 'm!

Verwijderd

Ik hem hem iig niet opgelopen, maar had wel op t linkje in de mail geklikt, heb t maitje helaas al wel weggegooid. Wat ik nu wel zie is Undeliverable mails, namens mij met duitse texten over politiek

Als ik in die mail kijk zie ik een waslijst met mailadressen waar hij undelivarble zou zijn

maandag 14 juni 2004 23:12

Acties:

0 Henk 'm!

Harmen

⭐⭐⭐⭐⭐⭐

OMG, ik heb er waarschijnelijk last van...
Maar dan in de volgende vorm:
Een client stuurt om de 2 sec mails naar de baas toe.... vandaag waren er dan 1000+

Kwam er pas achter toen die gebruiker zn pc afsloot....

Morgenvroeg direct de removal tool eroverheen knallen....

Whatever.

maandag 14 juni 2004 23:23

Acties:

0 Henk 'm!

Pendaco

Vogon Poetry FTW!

hier nog een mooi sitje,

http://www.virusalert.nl/?show=virus&id=695

ik had idd ook de link aangeklikt, maar heb niets verdachts aangetroffen of gemerkt.
wel een stel andere vage virussen, waarbij ik nog een beetje hulp nodig heb
zie ander topic

dinsdag 15 juni 2004 00:05

Acties:

0 Henk 'm!

PromWarMachine

Forsaken Archer

Goed dat er snel een stickie is en nog beter... dat er removal tools zijn. Wat ik echter mis in alle draadjes en bij alle anti-virus websites is een patch die infectie vooraf tegen gaat? Preventief buiten houden dus... mijn moeder gaat deze e-mail namelijk geheit openen, hoe hard ik er ook op hamer.

Dividend for Starters

dinsdag 15 juni 2004 00:41

Acties:

0 Henk 'm!

alt-92

ye olde farte

PromWarMachine schreef op 15 juni 2004 @ 00:05:
Wat ik echter mis in alle draadjes en bij alle anti-virus websites is een patch die infectie vooraf tegen gaat?

/dev/brain

Nee, echt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 15 juni 2004 01:11

Acties:

0 Henk 'm!

Verwijderd

Grappig, een van de weinige keren dat ik hierin trap.
Ik kreeg hem met als afzender iemand die ik ken en waarvan ik dit soort dingen verwacht (kaartjes sturen red).
De link ziet er raar uit maar ik heb wel vreemdere (maar goede) gezien.

Attachment in eerste instantie over het hoofd gezien, zag ik pas vandaag...

Zoals een waar tweaker betaamd gelijk geopend

natuurlijk; virus werd herkend door antivir (2 dagen geleden geupdate).

Netjes gedaan, maar er zijn al snel oplossingen kennelijk, ik voorspel het geen grote toekomst... hoe mooi gedaan ook, het is een beetje een afgedane manier van versturen... te veel mensen letten inmiddels te goed op bij hun mailtjes...

dinsdag 15 juni 2004 01:15

Acties:

0 Henk 'm!

alt-92

ye olde farte

Verwijderd schreef op 15 juni 2004 @ 01:11:
Grappig, een van de weinige keren dat ik hierin trap..

en

.. ik voorspel het geen grote toekomst... hoe mooi gedaan ook, het is een beetje een afgedane manier van versturen... te veel mensen letten inmiddels te goed op bij hun mailtjes...

Jij moet duidelijk /dev/ brain mounten als je dat denkt.

[ Voor 77% gewijzigd door alt-92 op 15-06-2004 02:00 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 15 juni 2004 11:58

Acties:

0 Henk 'm!

Verwijderd

Onze eigen mailserver liet um hier door vanmorgen... metteen maar even alle 50 mensen op het netwerk een waarschuwings mailtje gestuurd.

Ditt virus verspreid zich snel, doordat de content van het mailtje vertrouwelijk overkomt. Zeker doordat het in het Nederlands is geschreven.

4 All i know, kan ie verder niet echt veel schade aanrichten.

//EDIT

Ik heb een kleine mail wisseling gehad met de maker van postkaarten.nl , en schrok er eigenlijk van, hoeveel BEDREIGINGEN van mensen die gast al aan zijn broek heeft vandaag. Da's echt te betreuren !

[ Voor 33% gewijzigd door Verwijderd op 15-06-2004 15:24 ]

dinsdag 15 juni 2004 16:41

Acties:

0 Henk 'm!

DutchTSE

jup, kreeg um 3 dagen gelede al in me mailbox, 1 wel te verstaan

zat te twijfelen als een gek of ik hem zou openen, maar gelukkig heb ik hem niet geopend

d8, ah fi, als ie belangrijk is sture ze hem nog wel keer

dinsdag 15 juni 2004 22:59

Acties:

0 Henk 'm!

Verwijderd

BackSlash32 schreef op 15 juni 2004 @ 01:15:
[...]

en

[...]

Jij moet duidelijk /dev/ brain mounten als je dat denkt.

Valt wel mee...
Waar is die enorme uitbraak nu dan?
Ik hoor alleen maar verhalen van zafi's die ondekt zijn door scanners.
Ik heb zelf nog niemand aan de telefoon gehad met een probleem.
AntiVir zag hem gewoon zaterdagnacht al.
Weinig mensen werken in het weekend dus weinig email-verkeer en genoeg tijd om in het weekend virusdefinities te maken...

Bovendien zijn mensen zich meer bewust van dit soort mailtjes. Daarmee zeg ik niet dat niemand ze opent maar wel dat veel minder mensen ze openen dan pakweg 2 jaar geleden...

Ook een indicatie: Waar De Telegraaf nog weleens in paniek raakte van Blaster/Sasser/Netsky etc. wordt Zafi niet eens genoemd...

[ Voor 11% gewijzigd door Verwijderd op 15-06-2004 23:10 ]

woensdag 16 juni 2004 23:29

Acties:

0 Henk 'm!

Verwijderd

Vandaag dus ook gigantishe vloedstorm op het werk van Zafi.B mailtjes in onze postmaster
Gelukkig allemaal netjes afgevangen.

Wel tot 60 per minuut...!

En de storm was opeens ook weer verdwenen, erg vreemd.

[ Voor 3% gewijzigd door Verwijderd op 16-06-2004 23:30 ]

woensdag 7 juli 2004 20:09

Acties:

0 Henk 'm!

Verwijderd

Ik krijg ongeveer 80 van deze berichten per dag. Weet iemand hoe ik deze al op de mailserver kan verwijderen, zonder dat ik deze eerst moet ophalen.

donderdag 8 juli 2004 10:52

Acties:

0 Henk 'm!

paella

Er is denk ik een nieuwe variant van Zafi. Ik krijg nu een heleboel in mijn executable filters, en niet in de herkende virusfilters. Zelfde subjecten en attachmentgroottes.

No production networks were harmed during this posting

dinsdag 13 juli 2004 13:52

Acties:

0 Henk 'm!

Rum

Verwijderd schreef op 07 juli 2004 @ 20:09:
Ik krijg ongeveer 80 van deze berichten per dag. Weet iemand hoe ik deze al op de mailserver kan verwijderen, zonder dat ik deze eerst moet ophalen.

Dat zou ik ook wel willen... Ik heb Norton antivirus 2004 en die geeft bij elk mailtje dus een melding dat hij een virus gevonden heeft... Nou heb ik die bij het binnenhalen van de mail ff uitgeschakeld, maar het blijft superirri natuurlijk! Ik krijg ze afentoe, maar dan wel een paar 100 in een avondje... Gisteravond ongeveer 500...

Of is er misschien te achterhalen waar de mail vandaan komt? Dan kan ik die persoon erop wijzen dat ie een virus heeft...

[ Voor 10% gewijzigd door Rum op 13-07-2004 13:55 ]

dinsdag 13 juli 2004 19:55

Acties:

0 Henk 'm!

hessel

Rum schreef op 13 juli 2004 @ 13:52:
[...]

Of is er misschien te achterhalen waar de mail vandaan komt? Dan kan ik die persoon erop wijzen dat ie een virus heeft...

Als je op de hoogte bent hoe een mail is op gebouwt, dan is dit mogelijk. Door in de bron van een mail tekijken kun je nl. zien waar een mail langs is gegaan. Hier in staat ook het ipaddress van de verzendende pc. (als dit address niet word genept / weg is gefilterd door een mail server)

Je hebt nu een ip address maar je weet nog steeds niet wie de eigenaar is.
Nu kunt nu twee dingen doen.
1. uitzoeken van wie dit ip is, zeeer lastig (nu maar hopen dat het geen in in belaccount is... want dan is het ip elke keer anders)
2. uitzoeken wie de ISP is en deze een abuse melding sturen met als inhoud een heleboel bronnen van virusmailtje. En dan maar hopen dat de ISP er wat aan doet

Grutte Pier fansels