[trojan] VBS/Expl.Zerolin.2 - Privacy en beveiliging

zondag 12 september 2004 14:09

Acties:

Verwijderd

Topicstarter

Bij het openen van mijn mail kwam Antivir met de melding dat mijn inbox (Mozilla 1.7.2) de signature bevatte van de trojan VBS/Expl.Zerolin.2. Repareren ging niet, dus bye bye inbox.

Via Google en de search hier kon ik geen informatie vinden over deze variant en het verwijderen er van. Een oudere variant zet een file x.exe of ss.exe op je schijf, die bestanden staan er bij mij niet op. Een scan van alle files op mijn harddisk leverde niets op en nog steeds krijg ik af en toe een popup van Antivir die weer zegt dat mijn inbox die signature bevat. Weet iemand wat ik hier aan kan doen?

zondag 12 september 2004 14:21

Acties:

Hmail

Doet ook maar wat.

Bekend probleem. Waarschijnlijk heb je ooit eens een mailtje gehad met dat virus erbij. Ook al heb je het mailtje nog nooit geopend, toch staat het ergens op je schijf (ingepakt) Je zou al je mail kunnen wissen, ben je er van af, je kunt het ook accepteren, hij zit ingepakt dus doet geen kwaad.
Misschien werkt ook alle "verwijderde" items wissen?

It might sound as if I have no clue what I'm doing, but I actually have a vague idea.

zondag 12 september 2004 16:07

Acties:

Verwijderd

Een scan van alle files op mijn harddisk leverde niets op en nog steeds krijg ik af en toe een popup van Antivir die weer zegt dat mijn inbox die signature bevat. Weet iemand wat ik hier aan kan doen?

Zegt AVPE toevallig in welke body deze zich bevind? Dan zou je de desbetreffende mail kunnen opzoeken.

Zonder sample van de trojan valt weinig te zeggen over wat hij precies installeert..
http://www.viruslist.com/eng/viruslist.html?id=2150998

Programs which belong to this Trojan family are written in Visual Basic Script. They are coded to install a range of viruses on victim machines. Malicious programs installed by versions of TrojanDropper.VBS.Zerolin range from primitive key logging programs to multi-functional backdoors and worms.

Je mag aannemen dat ze bij hbedv een fatsoenlijke signature hebben gemaakt met variabele file/download-names.
Dus je kan niet met zekerheid zeggen wat er gedownload zou moeten worden.

zondag 12 september 2004 16:48

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 12 september 2004 @ 16:07:
[...]

Zegt AVPE toevallig in welke body deze zich bevind? Dan zou je de desbetreffende mail kunnen opzoeken.

Zonder sample van de trojan valt weinig te zeggen over wat hij precies installeert..

Nee, de melding was "C:\...\MAIL\POP.WXS.NL\INBOX Contains signature of the VBS script virus VBS/Expl.Zerolin.2". Ook bij het aanklikken van oude berichten in mijn inbox kreeg ik die melding, er valt dus niet te achterhalen welk mailtje besmet was. In quarantaine zetten lukte niet, de enige optie die werkte was de inbox compleet verwijderen. Ik denk dat de meldingen die ik later kreeg veroorzaakt werden door binnenkomende mail met dezelfde trojan.