Virussen?

[yvdp]

ik heb daar echt weinig tot geen last van. Heb zo ooit 1 mail binnengekrege op de anderhalf jaar dat ik dit mailadres heb.

[Finish]

I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing.
Sorry, but the ODIN Worm is probably on your computer!
You should check this with the patch application.

See you soon

onder de categorie 'grappige virusmails'. In het attachment zit dan een zogezegde 'patch' die het virus zou moeten verwijderen, maar 't is het virus zélf !

[Speesman]

Quote:

Originally posted by Finish
I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing.
Sorry, but the ODIN Worm is probably on your computer!
You should check this with the patch application.

See you soon

onder de categorie 'grappige virusmails'. In het attachment zit dan een zogezegde 'patch' die het virus zou moeten verwijderen, maar 't is het virus zélf !

Heb ik ook gekregen
Ik vind het wel niet dom van de schrijver van de mail. Denk namelijk dat hier veel mensen zullen intrappen!!

[Werner333]

Quote:

Originally posted by raceboy
Dat is volgens mij persoon Y.

Thx guys.

[Rrubinio]

Information virus
(dernière mise à jour) Virusinformatie
(laatste update)

Mise à jour le geactualiseerd op

23/01/2004 9:30

Name : W32.Bagle@MM

Risk : MEDIUM



Gelieve regelmatig de gekende anti-virussites te raadplegen
Veuillez consulter régulièrement les sites anti-virus connus





Caractéristiques du virus Viruskenmerken:
Il s'agit d'un ver de mass-mailing avec une composante d'accès à distance. Le ver arrive par e-mail et se présente sous la forme suivante: Dit is een worm die zichzelf massaal verzendt en een component bevat voor toegang vanop een afstand. De worm komt toe in een e-mailbericht met de volgende karakteristieken :
De: (l'adresse peut être falsifiée)
Objet: Hi
Corps:
Test =)
(caractères aléatoires)
--
Test, yep.

Pièce jointe: (nom de fichier aléatoire) 15,872 octets From: (adres kan vervalst zijn)
Subject: Hi
Body:
Test =)
(willekeurige karakters)
--
Test, yep.

Attachment: (willekeurige bestandsnaam) 15,872 bytes
exemple:

frjujs.exe voorbeeld:

frjujs.exe
Lorsque le fichier joint est exécuté, le virus vérifie la date du système. Si la date est le 28 janvier 2004 ou une date ultérieure, le virus quitte simplement le système et ne se propage pas. Dans le cas contraire, le virus lance le programme standard de la calculatrice Windows CALC.EXE. Dans l'intervalle, le virus se copie dans le répertoire WINDOWS SYSTEM (%SysDir%) sous le nom bbeagle.exe, et crée une clé de registre pour exécuté lors du démarrage de l'ordinateur: Wanneer de attachment wordt gestart, controleert het virus de systeemdatum. Is de datum 28 januari 2004 of later, dan gaat het virus gewoon weg en verspreidt het zich niet. In het andere geval voert het virus het standaardrekenprogramma van Windows, CALC.EXE, uit. Ondertussen kopieert het virus zichzelf naar de directory WINDOWS SYSTEM (%SysDir%) als bbeagle.exe , en maakt het een registry key aan om zichzelf op te laden wanneer het systeem wordt opgestart :
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe
HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
"d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe

Deux clés supplémentaires sont créées:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Er worden nog twee andere sleutels aangemaakt :
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"

Composante de Mass-mailing
Le ver recueille des adresses dans les fichiers suivants et s'envoie à ces destinataires, en utilisant son propre moteur SMTP.
.wab
.txt
.htm
.html
Component voor massale verzending
De worm plukt adressen uit de volgende bestanden en mailt zichzelf naar die ontvangers, waarbij het zijn eigen SMTP-machine gebruikt.
.wab
.txt
.htm
.html

Le virus falsifie l'adresse de l'expéditeur en utilisant une adresse recueillie dans le champ DE. Le premier message envoyé par le virus utilise la même adresse recueillie dans le champ "A" que le champ "DE". Le second message est envoyé à une adresse différente, tandis que le champ "DE" reste le même. Le troisième message est envoyé à une troisième adresse et le champ "DE" contient la seconde adresse et ainsi de suite.
Het virus vervalst het adres van de afzender door in het veld FROM/VAN een geplukt adres te gebruiken. Het eerste bericht dat het virus zendt, gebruikt hetzelfde geplukte adres in de velden TO/AAN en FROM/VAN. Het tweede bericht wordt verzonden naar een ander adres, terwijl het veld FROM/VAN onveranderd blijft. Het derde bericht wordt verzonden naar een derde adres, en het veld FROM/VAN bevat het tweede adres, enz..
Le virus ne s'envoie pas par mass-mailing aux adresses contenant l'une des chaînes suivantes:
@hotmail.com
@msn.com
@microsoft
@avp.
Het virus verzendt zichzelf niet massaal naar adressen die een van de volgende strings bevatten :
@hotmail.com
@msn.com
@microsoft
@avp.

Alias
W32.Beagle@mm, W32/Bagle@MM, Win32/Bagle.A
Aliassen
W32.Beagle@mm, W32/Bagle@MM, Win32/Bagle.A

Pour plus de détails:
Des informations complémentaires concernant ce virus sont disponibles à l'adresse:
Meer details:
Meer informatie over dit virus is beschikbaar op de volgende sites:

McAfee
Computer Associates
McAfee
Computer Associates




Gelieve uw anti-virussite te raadplegen

Veuillez consulter votre site anti-virus


---------------------------------------------------

Cette page est destinée à la diffusion d'informations urgentes concernant les virus informatiques. Deze bladzijde is bestemd om dringende inlichtingen te verspreiden over computervirussen.



Depuis la fin de l'année 2000, il est également possible à toute personne intéressée de s'inscrire à une liste de diffusion afin de recevoir automatiquement un message lorsque la page reprenant la dernière alerte est modifiée. Sinds eind 2000 kan het publiek zich laten inschrijven op een mailinglijst om automatisch een melding toegestuurd te krijgen wanneer de viruswarning-pagina van de website van het Instituut wordt aangepast naar aanleiding van een alarm.

bipt - ibpt home

[airco]

Mydoom is een internetworm die zich verspreidt via e-mail en via het peer 2 peer netwerk van Kazaa. Alle eigenschappen van het e- mailbericht varieren. Daardoor is het lastig te herkennen. Het icoontje van het bijlagebestand is meestal die van een tekstbestand, ookal is het een .exe, .pif, .cmd of .scr bestand. De worm wordt geactiveerd door dit bestand handmatig te openen.

Na installatie wordt een backdoor geinstalleerd, op poort 3127 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.

Alle grote antvirusfabrikanten geven deze worm een highrisk kwalificatie.
Updates van DAT-bestanden, herkenningsbestanden voor geinstalleerde av- software, zijn volop verkrijgbaar.
Wij adviseren u deze updates z.s.m. te installeren.

Meer informatie:
http://www.virusalert.nl/?show=virus...=W32.Mydoom@MM

[Gilles]

De virussen worden in mijn naam verstuurd via de e-mailadressen @GLPK.net, @anthonykumpen.com en @F1world.be

Toevallig allemaal adressen van de Priorweb server. Mijn oorspronkelijke Hotmail account heeft hier echter GEEN last vast en in mijn PC zit het virus ook niet ...

Huist het virus dan in Priorweb, of hoe moet ik dit zien? Dit is me al eerder opgevallen omdat er een tijdje geleden eens via mijn @anthonykumpen.com adres een virus is verstuurd geworden toen ik op school zat. De PC stond overigens niet aan ....

iemand een verklaring?

[gouwyf]

Quote:

Originally posted by Gilles
iemand een verklaring?

Het virus gaat op een besmette PC het outlook adres bestand bekijken en naar al die adressen mails beginnen sturen met ook verschillende namen uit het adresboek als afzender. Dus als jij bij iemand anders in het adresboek zit die een geïnfecteerde heeft, dan gaat het virus ook in uw naam mails versturen . Dat wil niet zeggen dat het virus daadwerkelijk van u komt.

F.

[Gilles]

maar de gebruikers die mijn GLPK, F1world en GLPK account kennen zijn werkelijk beperkt tot een minimum, terwijl er gemakkelijk meer als 200 a 300 mensen mijn @hotmail adres hebben. via dat adres wordt geen enkel virus verstuurd.

zou het dan niet kunnen dat het virus enkel in priorweb zelf huist?

[airco]

Lijkt me zeer onwaarschijnlijk .... Eerst en vooral zijn web/mailserver in heel veel gevallen linux/unix machines die überhaupt geen last hebben van virussen.

Ten tweede zou het toch wel een gigantische blaam zijn voor een "professioneel" webhostingbedrijf dat hun diensten aangetast worden door virussen

[R@ce@holiC]

Hier zelfde zever , ik krijg mails aan dat davy@gna... die mails heeft verstuurd maar dat kan niet wat dat is in weze een doorverbinding naar pandora . Wel ellendig , vandaag zeker een 40 tal van die mails binnen gekregen...

[Gilles]

inderdaad, dat probleem heb ik ook Davy! krijg je steeds van die mails 'message undeliverd'

[Gilles]

het aantal virussen begint af te nemen .. fieuw ...

[R@ce@holiC]

Idd , maar ik begin ze te krijgen in .zip formaat...

[Juha]

Quote:

Originally posted by gouwyf
Is niet alleen op skynet, komt voor bij alle providers. Op een geïnfecteerde pc wordt in alle mogelijke dll's gezocht naar mailadressen en daarnaar worden willekeurig mails gestuurd. Dus als uw adres op zo een pc bekend is heb je het vlaggen en word je "gestalkt" door de virussen. De naam van de zender wordt dan ook alle mogelijke namen die op die pc gevonden worden, waardoor het ook precies van veel personen komt die je niet kent.

Toevallig ook veel last van bij skynet, en het komt van overal. Zelfs van G&A racing, Lars Larsson en zo had ik er nog een paar. Ik heb die mensen nooit gemaild, zij mij ook niet maar krijg wel virussen doorgestuurd (die zelfs zonder virusscanner al te herkennen zijn...).
Overweeg wel om dat adres te verwijderen.