Goedzo?! NiMS Forum Nieuw onderwerp  Reageer
mijn profiel | leden lijst inloggen | registreer | zoek | faq | forum home

  volgend oudste onderwerp   volgende nieuwste onderwerp
»
» Mijn recente berichten « | » De actieve onderwerpen van vandaag «
Goedzo?! NiMS Forum » Actueel » Veiligheid » Virus Alert! (Pagina 1)

 - UBBFriend: Email deze pagina naar iemand!   Dit onderwerp heeft 2 pagina's: 1  2   
Auteur Onderwerp: Virus Alert!
NiMS
Links of rechts?


Beoordeeld:
4
Icoon 1 geplaatst      Profiel voor NiMS   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Plaats hier alle virussen die actief zijn, ander wordt het veiligheidsforum een zooitje, en is het makkelijker om iets terug te vinden.
Tip voor moderators, bij meer info over het virus (grote aanval / etc) plaats dan iig een linkje in dit onderwerp naar het nieuwe onderwerp speciaal over dat virus.

--------------------
People are like pieces of a puzzle. We all fit together, but not all of us connect.

Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 4 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Dinkdink.Worm

Naam:
W32.Dinkdink.Worm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
20 augustus 2003
Risico:
Laag

Aliassen: nog niet nader bekend

Eigenschappen:
W32.Dinkdink.Worm is een internetworm die gebruik maakt van een kwetsbaarheid in Microsoft Windows. De gebruikte kwetsbaarheid en de distributie van de worm is gelijk aan die van de actuele W32.Blaster.worm.
Note: Het kan zijn dat bepaalde antivirussoftware deze worm detecteert als een variant van W32.Blaster.worm.

Meer informatie over de kwetsbaarheid van het RPC-protocol vind je hier.

Deze kwetsbaarheid is van toepassing op de volgende Windows-systemen: NT 4.0, 2000, XP en Server 2003. In het RPC protocol zit een fout bij het handelen van opdrachten richting en remote-systeem. In theorie kan een aanvaller volledige toegang krijgen over het systeem.

W32.Dinkdink richt zich enkel op Windows 2000 & XP-systemen.
Nadat het connectie heeft gelegd met een kwetsbaar systeem zal het via dit systeem het daadwerkelijke wormbestand downloaden en installeren. Op het moment van schrijven is de hiervoor gebruikte server offline. De kans op verdere verspreiding lijkt dan ook voorbij.

Preventieve maatregelen:
Update uw Windows-platform regelmatig, dit kan eenvoudig via de Windows-update functie. (Raadpleeg de helpfunctie van Windows) of ga naar de website; http://windowsupate.microsoft.com.


Herkenning van besmetting:

bestanden

1a. Aanwezigheid van het bestand "Windat.exe" op uw computer.
De wijzigingsdatum van dit bestand is gelijk aan de datum van infectie.

Registry
Er worden geen registry-aanpassingen gedaan.

Verwijder instructies:
Indien Windows niet meer naar behoren functioneert

1. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

[ 21.08.2003, 12:18: Bericht ge-edit door: LilWiz ]

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 4 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Sobig.F@mm

Naam: W32.Sobig.F@mm
Type: Internet Worm
Besturing: Microsoft Windows
Datum: 19 augustus 2003
Risico: Middel
Bron: (c) 2003, VirusAlert
Aliassen: W32.Sobig.F@mm WORM_SOBIG.F Win32.HLLM.Reteras
Risicoschaal: LASTIG

Eigenschappen

Sobig.F is een mass-mailer internetworm die zich verspreidt via e-mail en binnen gedeelde mappen en netwerkbronnen.
Het is een nieuwe variant van W32.Sobig@mm. Na infectie, handmatig door het bijlagebestand te openen, verstuurt het virus zich via Microsoft Outlook door richting;
-alle contactpersonen uit het Microsoft Windows adressenboek (.WAB)
-alle e-mailadressen die het vindt in lokaal opgeslagen .txt, .eml, .html, .html en .dbx-bestanden.
(E-mailadressen vindt het virus door te kijken naar de instructie "mailto:")

Voor de verzending maakt het gebruik van een eigen SMTP-engine.
Sobig.F kent geen schadelijke bijwerkingen, en is relatief eenvoudig te verwijderen, zie hieronder.


Eigenschappen van het e-mailbericht:

-Onderwerp: [wisselend, één van onderstaande]
OF/OF:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

-Tekst van het bericht:
See the attached file for details
Please see the attached file for details

-Naam bijlagebestand: [wisselend, één van onderstaande]
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif


Preventieve maatregelen

Herkenning van besmetting:

Bestanden

1.Aanwezigheid van de bestanden "WINSTT32.DAT" & "WINPPR32.EXE" in de standaard Windows-directory. (C:\Windows)


Registry
1. Een verwijzing in de registry wordt aangebracht naar het bestand "Winmgm32.exe".

De volgende twee registry-sleutels worden aangemaakt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\[locatie bestand]\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\[locatie bestand]WINPPR32.EXE /sinc

Overige
Verspreiding van het virusbestand, zie hierboven, richting gedeelde netwerkverbindingen. Een verwijzing naar dit bestand wordt aangebracht in de startup-directory c.q. het Windows-start menu van betreffende netwerk-pc.

Verwijder instructies

1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

en/of:

1b. Verwijder het virus met de gratis verwijderingstool van Sophos, klik hier
* Toelichting op het gebruik van deze tool
a. Kies [klik hier] en sla het bestand (sobigsfx.exe) op op uw computer.
b. Open vervolgens dit bestand door er op te dubbelklikken.
c. Een directory wordt aangemaakt, standaard is dit C:\SOPHTEMP
d. Ga met de verkenner naar deze directory/map.
e. Open het bestand "resolve.com" door er op te dubbelklikken.
f. Het programma wordt gestart, Sobig.F infectie wordt volledig verwijderd.

1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 4 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Squirm@mm

Naam: W32.Squirm@mm
Type: Internet Worm
Besturing: Microsoft Windows
Datum: 20 augustus 2003
Risico: Laag
Bron: (c) 2003, VirusAlert
Aliassen:
Risicoschaal: GEVAARLIJK

Eigenschappen

W32.Squirm is een internetworm die zich verspreidt via e-mail, P2P-netwerken als Kazaa en via DCC/IRC.

Bij de verpreiding via e-mail doet het zich voor als een bericht afkomstig van Microsoft dat informeert over een noodzakelijke patch. De patch lijkt als bijlage bijgesloten maar is in werkelijkheid het schadelijke wormbestand.
Infectie vindt plaats door het wormbestand handmatig te openen. Na infectie installeert het een aantal bestanden en registry-sleutels op het systeem. Tevens worden er een aantal nep-windows vensters weergegeven.
Op poort 61282 wacht de worm op opdrachten/instructies van de virusschrijver/cracker.

Eigenschappen van het e-mailbericht:

* Onderwerp: Microsoft Security Bulletin

* Naam bijlagebestand: patch.zip of patch_329390.exe

* tekst van het bericht:
Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390)

Summary
Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP
Impact of vulnerability: Run code of an attacker's choice

Maximum Severity Rating: Critical

Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately.

Eigenschappen van Peer-2-Peer distributie
De worm is in staat om zich beschikbaar te stellen binnen de standaard gedeelde mappen van de volgende p2p-software;
KaZaA, Morpheus, eDonkey, Grokster, LimeWire, GNucleus, BearShare, Direct Connect, & ICQ.

Hiervoor gebruikt het een of meerdere van volgende bestanden:
Connection Booster.Exe
Cracker Game.Exe
Cracks Collections.Exe
Credit Card.Exe
Hacker.Scr
Hotmail Hack.Exe
ICQ Hack.Exe
Matrix Reloaded.Scr
Norton Keygen-All Vers.Exe
Serials Collections.Exe
Simpsons.Exe
XXX Virtual Sex.Scr


Preventieve maatregelen

Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
Cpumgr.dll
Cpumgr.exe
Pdmn.smt
Photo.zip

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"CPU Manager" = "[locatie bestand]\cpumgr.exe"

2b. Creatie van de sleutel:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
met de waarde:
"Type"="High"

Verwijder instructies

1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 4 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Dumaru@mm

Naam: W32.Dumaru@mm
Type: Internet Worm
Besturing: Microsoft Windows
Datum: 19 augustus 2003
Risico: Laag
Bron: (c) 2003, VirusAlert
Aliassen: W32.HLLW.Dumaru@mm
Risicoschaal: LASTIG

Eigenschappen


Dumaru is een mass-mailer internetworm die zich onder eenvoudig te herkennen eigenschappen verspreidt via e-mail. Na infectie verstuurt het zich door naar e-mailadressen lokaal opgeslagen in bestanden met de extensie; .abd, .dbx, .htm, .html, .tbb & .wab. Voor deze verzending maakt het gebruik van een eigen SMTP-engine.

De grootste schade-component van Dumaru is het installeren van een backdoor op uw systeem. Deze via IRC gecontroleerde backdoor biedt de virusschrijver/aanvaller de mogelijkheid om uw systeem te controleren.

De worm wordt geactiveerd door het bijlagebestand handmatig te openen.

Eigenschappen van het e-mailbericht:

* Onderwerp: Use this patch immediately !

* Naam bijlagebestand: patch.exe

* tekst van het bericht:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected

Preventieve maatregelen

Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
dllreg.exe
windrv.exe (backdoor bestand)
winload.log

1b. Aanwezigheid van onderstaande bestanden in de standaard Windows-system directory. (C:\Windows\System)
load32.exe
vxdmgr32.exe

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"load32" = "[locatie bestand]\load32.exe"

Verwijder instructies

1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
NiMS
Links of rechts?


Beoordeeld:
4
Icoon 1 geplaatst      Profiel voor NiMS   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Het zijn er weer een hoop, mss moet ik toch maar is een virusscanner installeren dan.

--------------------
People are like pieces of a puzzle. We all fit together, but not all of us connect.

Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 1 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
waren er nog 2 bij hoor...zal ik die ook ff posten dan
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 4 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Gaobot.AA.worm

Naam: W32.Gaobot.AA.worm
Type: Internet Worm
Besturing: Microsoft Windows
Datum: 21 augustus 2003
Risico: Laag
Bron: (c) 2003, VirusAlert
Aliassen: W32.HLLW.Gaobot.AA WORM_AGOBOT.P W32/Gaobot.worm.y
Risicoschaal: GEVAARLIJK

Eigenschappen

Gaobot.AA is een internetworm die gebruik maakt van een tweetal kwetsbaarheden in Microsoft Windows. Meer informatie hierover:

*RPC Locator.

*Dcom RPC.

Gaobot.AA maakt daarmee gebruik van dezelfde kwetsbaarheid als de bekende W32.Blaster.worm.


De distributie
DCOM RPC - kwetsbaarheid:
Bij de verspreiding wordt aan de hand van een willekeurige IP-reeks poort 135 gescant. Indien een systeem toegankelijk is wordt via poort 4444 een remote shell opgezet.

en/of :

RPC Locator - kwetsbaarheid:
Bij de verspreiding wordt aan de hand van een willekeurige IP-reeks poort 445 gescant. Indien een systeem toegankelijk is wordt via poort 4444 een remote shell opgezet.

Vervolgens wordt vanaf een ander geinfecteerd systeem het wormbestand gedownload, via poort 22226.

* Gedeelde netwerkbronnen
De worm tracht zich verder te verspreiden via gedeelde netwerkbronnen. Het gebruikt daarvoor combinaties van onderstaande lijst van gebruikersnamen en wachtwoorden:

Wachtwoord:
Administrator
admin
administrator
Administrateur
Default
mgmt
Standard
User
Administrador
Owner
Test
Guest
Gast
Inviter
a
aaa
abc
x
xyz
Dell
home
pc
test
temp
win
asdf
qwer
login

Wachtwoord:
admin
Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
databse
abcd
oracle
sybase
123qwe
server
computer
Internet
super
123asd
ihavenopass
godblessyou
enable
xp
2002
2003
2600
0
110
111111
121212
123123
1234qwer
123abc
007
alpha
patrick
pat
administrator
root
sex
god
foobar
a
aaa
abc
test
temp
win
pc
asdf
secret
qwer
yxcv
zxcv
home
xxx
owner
login
pwd
pass
love
mypc
mypass
pw


Payload/Schade
Gaobot.AA installeert een trojan op het getroffen systeem, via een IRC kanaal kan de virusschrijver/aanvaller tal van acties uitvoeren op het systeem, denk aan:
* Doorzenden van wormbestand via IRC
* Openen, verwijderen en plaatsen van bestanden.
* Herstarten van systeem.
* Verwijderen van applicaties.


Preventieve maatregelen

Update uw Windows-platform regelmatig, dit kan eenvoudig via de Windows-update functie. (Raadpleeg de helpfunctie van Windows) of ga naar de website; http://windowsupate.microsoft.com.


Herkenning van besmetting:

bestanden

1a. Aanwezigheid van de bestanden "Svchosl.exe" & "Winhl32.exe" in de standaard Windows\System directory.

Registry

De volgende waarde wordt toegevoegd:
"Config Loader"="svchosl.exe"

aan de volgende sleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

Verwijder instructies

1a. Verwijder het virus met de gratis online scanner van Symantec, klik hier

Indien Windows niet meer naar behoren functioneert

1f. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
NiMS
Links of rechts?


Beoordeeld:
4
Icoon 1 geplaatst      Profiel voor NiMS   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Tweede aanval virus Sobig.F geblokkeerd

Veiligheidsexperts hebben vrijdag een tweede aanval van het internetvirus Sobig.F kunnen tegenhouden. Het virus, dat in de afgelopen dagen wereldwijd tienduizenden computers besmette, zou nieuwe 'instructies' ophalen bij twintig besmette computerservers.

De experts waarschuwden de eigenaren van de servers, die op hun beurt de computers isoleerden van het internet of uitzetten, zo meldt de internetsite Cnet. Wat er was gebeurd als het virus de instructies wel had kunnen ophalen, is niet bekend. Speculaties daarover varieerden van het lanceren van een nieuw virus, het verzamelen van gevoelige informatie van besmette computers of het verwijderen van bestanden van die computers.

De internetdeskundigen waren erachter gekomen dat alle computers die zijn besmet, vrijdagavond contact zouden maken met de twintig servers. ,,Tenzij een van de servers weer online komt, lijkt het erop dat we de dans zijn ontsprongen'', aldus een van hen. Het virus is geprogrammeerd om op 10 september te stoppen met het verspreiden van zichzelf.

Sobig.F teistert sinds maandag computers in de hele wereld. Het virus verspreidt zich via e-mails en vermenigvuldigt zich razendsnel. De zogenoemde worm blijft zich verspreiden, maar doet dat momenteel wel minder snel dan de eerste dagen.

Internetaanbieders hebben de handen vol aan het virus. XS4ALL meldde vrijdag dat inmiddels 305.000 geïnfecteerde mailtjes zijn onderschept. Het bedrijf verwerkt momenteel twee keer zoveel digitale post als normaal. Een van de grootste internetproviders ter wereld, AOL, stelt dat ze tientallen miljoenen besmette e-mails heeft onderschept.

--------------------
People are like pieces of a puzzle. We all fit together, but not all of us connect.

Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 1 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
W32.Blaxe-A.worm

Naam: W32.Blaxe-A.worm
Type: vbScript
Besturing: Microsoft Windows
Datum: 10 september 2003
Risico: Laag
Bron: (c) 2003, VirusAlert
Aliassen: W32/Blaxe-A Win32/Lablan.A
Risicoschaal: LASTIG

Eigenschappen

Blaxe-A is een internetworm die zich verspreidt via P2P-netwerken als Kazaa en IRC. Infectie vindt plaats door een van ondergenoemde bestanden binnen te halen en te openen. Vervolgens tracht het zich vanaf het getroffen systeem weer verder te verspreiden door de lijst met bestanden standaard te delen in de p2p-software op uw systeem.

Mogelijke bestandsnamen binnen Peer 2 Peer zending:

A+ Certification Ultimate Study Guide.exe
ACDSee 4.1 cracked.exe
Adobe 6 crack.exe
Adobe 6 full (iso).exe
Adobe 6.0 crack.exe
Adobe 6.0 full.exe
Adobe 6.0.exe
Adobe crack.exe
Adobe Photoshop 6 Ultimate Study Guide.exe
Adobe Photoshop 6.0.exe
Adobe Photoshop.exe
Adult movie.exe
adult(hardcore sex movie xxx)movie.exe
AdvZip Recovery.exe
AIM hacker.exe
AIM Pass stealer.exe
aim.exe
aimcracker.exe
aimhacker.exe
All Cliff notes (cliff's).exe
AMI BIOS Cracker.exe
anarchistcookbook.exe
anastasia anal.exe
anastasia naked.exe
anastasia nude.exe
Anonymous email.exe
ANSI C Ultimate Study Guide.exe
antistudy.exe
AOL Hacker.exe
aol.exe
Autocad 2002 Crack.exe
BabylonX Backdoor.exe
BabylonX password cracker.exe
Bandwidth Booster 4.2 for Cable.exe
BlackICE Defender.exe
Borland C++ Builder 8.0 iso.exe
Britney Spears anal movie.exe
Britney Spears Blowjob movie.exe
Britney Spears hardcore xx movie.exe
Britney Spears in bath (movie).exe
Britney Spears naked.exe
Britney Spears Nipple slip.exe
Britney Spears nude wallpaper.exe
BRUTAL FORCED PRETEEN ANAL SEX.exe
buttman.exe
C++ Ultimate Study Guide.exe
Cable Modem Anonymizer.exe
Cable Uncapper.exe
catherine zeta jones anal.exe
catherine zeta jones naked.exe
catherine zeta jones nude.exe
Christina Aguilera adult movie.exe
Christina Aguilera having sex(mov).exe
Christina Aguilera movie.exe
Christina Aguilera nude wallpaper (xxx lesbian).exe
Christina Aguilera sucks cock.exe
CloneCD Crack (all versions).exe
CloneCD Keygen.exe
CloneCD.exe
College Biology Ultimate Study Guide.exe
College Chemistry Ultimate Study Guide.exe
College Computer Engineering Ultimate Study Guide.exe
College Computer Science Ultimate Study Guide.exe
College English Ultimate Study Guide.exe
College Ethics Ultimate Study Guide.exe
College History Ultimate Study Guide.exe
College Philosophy Ultimate Study Guide.exe
Command and Conquer cnc c&c Generals iso.exe
Command and Conquer cnc c&c Renegade iso.exe
Conceal PC Firewall.exe
Copy (11) of ZoneAlarm Firewall Pro.exe
Copy of ZoneAlarm Firewall Pro.exe
Counter Strike CD Keygen.exe
counter-strike.exe
Crack XBOX live.exe
Credit Card number generator VERIFIER (cc cc#).exe
Dark Planet Battle For Natrolis cracked.exe
Delphi 5 Keygen.exe
Delphi 6 Keygen.exe
Delphi Ultimate Study Guide.exe
delphi.exe
Digimon.exe
DivX Codec 4.0 (codec only).exe
DivX Codec 5.0 (codec only).exe
DivX Codec 6.0 beta (codec only).exe
divx fix.exe
divx pro.exe
divx repair.exe
DoS Attacker.exe
Dreamcast Emulator.exe
driver.exe
DSL Anonymizer.exe
DSL Uncapper.exe
Easy CD Creator crack (all versions) (core).exe
edonkey serverlist.exe
Emailbomber.exe
End Of Twilight iso.exe
ESPN NFL Primetime 2002 iso.exe
ftp cracker.exe
ftp hacker.exe
fuck.exe
Gamecube Emulator.exe
Ghost Recon - Desert Siege.exe
Girls gone wild collection - sex porn nudity hardcore (self-extractor).exe
GTA 2 crack noCD.exe
GTA Vice City crack noCD.exe
GTA Vice City crack.exe
gta3.exe
hack aim.exe
Hack hotmail.exe
hacker utils 2002.exe
hacking tools 2002.exe
Half life Cd keygen.exe
happybirthday.exe
Hooligans iso.exe
host faker.exe
host spoofer.exe
HotGirls.exe
hotmail account sniffer.exe
hotmail hack.exe
hotmail hacker.exe
hotmailcracker.exe
hotmailhacker.exe
HOWTO Crack XBOX live.txt.exe
ICQ AIM Password stealer.exe
ICQ hack.exe
ICQ Hackingtools.exe
icqcracker.exe
icqhacker.exe
ident faker.exe
ident spoofer.exe
IIS shellbind exploit.exe
Incoming Forces iso.exe
invisible IP.exe
ip faker.exe
ip spoofer.exe
IRC hacker.exe
Kate Winslet adult movie.exe
Kazaa Advertisement Ad remover.exe
kazaa.exe
keygen all.exe
Keylogger v1.0.exe
kmd151 en.exe
learn how to hack.exe
linux root.exe
Linux rootaccess.exe
linux.exe
Macromedia Flash 5 Ultimate Study Guide.exe
Macromedia Flash 5.exe
Max Payne full iso.exe
Max Payne Multiplayer Addon.exe
MCSE Ultimate Study Guide.exe
Microsoft Office XP Upgrade (from older versions).exe
Microsoft Visual C++ 7.0 iso.exe
Might and Magic 1 crack.exe
Might and Magic 2 crack.exe
Might and Magic 3 crack.exe
Might and Magic 4 crack.exe
Might and Magic 5 crack.exe
Might and Magic 6 crack.exe
Might and Magic 7 crack.exe
Might and Magic 8 crack.exe
Might and Magic 9 crack.exe
Mirc 6.4.exe
mIRC backdoor hack.exe
Monsterville cracked.exe
MSN banner remover.exe
MSN hacker.exe
msn IP finder.exe
msncracker.exe
msnhacker.exe
Nero 5.5 Crack.exe
Nero Burning Rom 5 cracked.exe
Nero Burning Rom 5.5 Crack.exe
Nikki Cox nude.exe
Nikki cox Playboy session.exe
Nikki Cox sex movie.exe
Norton AntiVirus 2002.exe
Norton Internet Security 2002.exe
Norton Systemworks 2002.exe
Norton Utilities 2002.exe
Notron Utilities 2002.exe
Office key Gen.exe
Office XP Corporate Ed. iso.exe
Office XP crack.exe
Office Xp keygen.exe
OfficeXP Keygen.exe
Oni 2nd second edition.exe
Pamela Anderson adult movie.exe
pamela anderson anal.exe
Pamela Anderson and Tommy Lee hardcore holiday movie.exe
Pamela Anderson deepthroat.exe
Pamela Anderson gets fucked.exe
pamela anderson naked.exe
pamela anderson nude.exe
pamela anderson.exe
Perl Ultimate Study Guide.exe
PHP4 Ultimate Study Guide.exe
Playboy nude wallpaper.exe
Playstation 2 PS2 Emulator.exe
Pokemon.exe
porn account cracker.exe
porn account hacker.exe
PS1 BootCD.exe
PS2 BootCD.exe
PS2 emulator bleem.exe
Quake 3 cracked (works on all servers).exe
Quake 4 leaked beta (cracked).exe
Quicken Pro 2002 iso.exe
Ray Crisis iso.exe
Return to the Castle Wolfenstein iso.exe
sandra bullock naked.exe
sandra bullock nude.exe
sarah michelle gellar naked.exe
sarah michelle gellar nude.exe
serials2003.exe
shakira a-sf--ked.exe
shakira anal.exe
shakira naked.exe
shakira nude.exe
shakira paparazzi collection.exe
Soldier of Fortune 2 CD1 ISO.exe
Soldier of Fortune 2 CD2 ISO.exe
Sound Forge XP Studio + Serial.exe
Space Empires IV 4 Gold iso.exe
Spiderman SVCD CD1.exe
Spiderman SVCD CD2.exe
Spiderman SVCD CD3.exe
Sub7 masterpwd.exe
subseven.exe
tripod cracker.exe
tripod hacker.exe
VB6.exe
VirtuaSex.exe
visio.exe
wc3 keygen.exe
win2k pass decryptor.exe
Win2k reboot exploit.exe
win2k serial.exe
Winamp.exe
Windows 98 crack.exe
Windows 98 keygen.exe
Windows Keygen allver.exe
Windows ME crack.exe
Windows ME keygen.exe
Windows NT crack.exe
Windows NT keygen.exe
Windows XP crack.exe
Windows XP keygen.exe
winxp crack.exe
winxp cracker.exe
winxp hacker.exe
WinXP Keygen.exe
winxphack.exe
Winzip Pass Cracker.exe
Word Pass Cracker.exe
worldbook.exe
xbox emulator beta.exe
XP Box emulator.exe
XP DVD Plugin.exe
XP keygen.exe
XP ScreenSaver.exe
XP.exe
yahoo cracker.exe
yahoo hacker.exe
Yahoo mail cracker.exe

Preventieve maatregelen

Herkenning van besmetting:

bestanden

1a. Aanwezigheid van onderstaande bestanden in de standaard Windows-directory. (C:\Windows)
BearShare.exe
WinBat.exe

Registry

2a. Creatie van de sleutel:
HKLM\Software\CLASSES\batfile\shell\open\command
met de waarde:
"[locatie bestand "winbat.exe]"

Verwijder instructies

1. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
NiMS
Links of rechts?


Beoordeeld:
4
Icoon 1 geplaatst      Profiel voor NiMS   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
De fauna op internet floreert: een nieuwe worm verspreidt zich automatisch over lekke Windowssystemen. Ook verspreidt een virus zich via een valse Microsoft patch-melding.

De BBC bericht dat een variatie op het MSBlaster virus zich over het internet aan het verspreiden is, gebruikmakend van dezelfde gaten die MSBlaster benutte.

De bakermat van het onheil zou China zijn, maar dat is niet met zekerheid vast te stellen.

In een eerder bericht bij de uitbraak van Blaster is gemeld hoe internetters zich ertegen kunnen beschermen.

Virus in e-mailbijlage

Vanmorgen kwam Waarschuwingsdienst.nl met een waarschuwing over een virus dat zich verspreidt via een valse melding van een patch (software om een lek te dichten), die afkomstig zou zijn van Microsoft.

Het virus draagt de namen Gibe.E of Swen. De ontvanger krijgt het verzoek om op de bijlage te klikken teneinde een lek in Windows te dichten. Wie dat doet, is besmet. De redactie ontving al enkele van deze virussen. Het gaat weer hard.

Degenen met een geupdate virusscanner hebben er geen last van. Centrale virusscanners van providers horen het virus ook tegen te houden.

--------------------
People are like pieces of a puzzle. We all fit together, but not all of us connect.

Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 1 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Nieuw p2p-virus doet zich voor als update Microsoft

Het W32.Swen-virus komt binnen als een waarschuwing van Microsoft om de software te updaten. De gebruiker kan een venster te zien krijgen met een optie om de software te updaten. Of hij nu 'ja' of 'nee' klikt, maakt niet uit, het virus wordt toch geïnstalleerd.

Swen is één van de weinige wormen die zich verspreidt als een mailtje dat is opgemaakt in html. Het mailtje is gesignaleerd met diverse verschillende onderwerpen zoals 'MS Technical Assistance', 'cumulative patch' en 'three newly discovered vulnerabilities'.

Verspreiding via e-mail gebeurt via zowel Outlook als via een eigen smtp-engine (Simple Mailer Transfer Protocol). Als de worm is geïnstalleerd, plaatst het zichzelf in het Windows register zodat het geactiveerd wordt zodra Windows opnieuw opstart.

Het virus schakelt de anti-virussoftware uit en zoekt naar irc-clients en p2p-software. Als het een programma zoals Kazaa vindt, opent het virus het programma en plaatst het enkele kopieën van zichzelf in de 'gedeelde map'. Op deze manier verspreidt het virus zich ook via p2p-netwerken.

Diverse anti-virussoftwaremakers hebben ontdekt dat Swen opvallend veel lijkt op het W32.Gibe-virus dat in februari van dit jaar rondging. Ook dit virus verspreidde zich via e-mail, irc-kanalen en p2p-software en deed zich voor als een softwareupdate van Microsoft.

Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
NiMS
Links of rechts?


Beoordeeld:
4
Icoon 1 geplaatst      Profiel voor NiMS   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Heel toevallig kreeg ik vandaag ook dit virus binnen, en had het wel door. Maar ik moet zeggen dit zag er wel degelijk heel officieel uit. Ik begrijp heel goed waarom mensen erin trappen.

--------------------
People are like pieces of a puzzle. We all fit together, but not all of us connect.

Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
Maria
Moderator


Beoordeel
Icoon 1 geplaatst      Profiel voor Maria     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
Wie kan mij vertellen wat het Trojan.Download.Swizz virus inhoud en hoe ik er vanaf kan komen?

--------------------
Gelukkig maken is gelukkig zijn.

Berichten: 436 | Plaats: Veghel | Geregistreerd: Jul 2003  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
LilWiz
life ain't hard, just don't make it hard


Beoordeeld:
5
Icoon 1 geplaatst      Profiel voor LilWiz   Homepage     Stuur een nieuw prive bericht       Bewerk/Verwijder bericht   Reageer met Quotes 
quote:
Origineel van Maria:
Wie kan mij vertellen wat het Trojan.Download.Swizz virus inhoud en hoe ik er vanaf kan komen?

ben al bezig met je te helpen
Berichten: 3613 | Plaats: Venray | Geregistreerd: Jul 2002  |  IP: Gelogd | Rapporteer dit bericht aan een Moderator
  Dit onderwerp heeft 2 pagina's: 1  2   

Snelle Reactie
Bericht:

HTML staat uit.
UBB Code™ staat uit.

Kant en klare Graemlins
   


     » Mijn recente berichten « | » De actieve onderwerpen van vandaag «
Nieuw onderwerp  Reageer Sluit Onderwerp   Unfeature Onderwerp   Verplaats onderwerp   Verwijder onderwerp volgend oudste onderwerp   volgende nieuwste onderwerp
 - Printer-versie van dit onderwerp
Spring naar:


Neem contact met ons op | Nims home

Copyright 2004 Ni-Frith Media Systems

Powered by Infopop Corporation
UBB.classic™ 6.7.0
Vertaald door NiMS