image

Trojaans paard laat MSN gebruikers eigen foto bekijken

zaterdag 21 mei 2005, 08:55 door Redactie, 8 reacties

Websense Security Labs waarschuwt dat er een nieuwe Instant Messaging worm actief is die zich met name richt op gebruikers van MSN Messenger. Gebruikers ontvangen een bericht in MSN Messenger dat verwijst naar een website om een foto van zichzelf te bekijken. De boodschap is "hey, this is your pic" gevolgd door "hey, this is your pic on this site", gevolgd door een link naar een site die een digitale fotoservice host. Als de gebruiker op de link klikt, start er een applicatie die een PHP script downloadt. De applicatie is een variant van het Agobot / SDBOT / Gaobot Trojaans Paard, dat een achterdeur van de computer openzet om die te koppelen aan een BOT-netwerk.

Reacties (8)
21-05-2005, 10:05 door Anoniem
FOUT! Als de user de url klikt, wordt er verwezen naar een
PHP-pagina die eigenlijk een applicatie is.

Zoals het hierboven staat kan het dus nauwelijks verspreiden
aangezien de downloaders dan PHP geinstalleerd moeten hebben
met een webserver. En mensen die dit hebben zijn niet dom.
21-05-2005, 15:27 door Anoniem
Door Anoniem
Zoals het hierboven staat kan het dus nauwelijks verspreiden
aangezien de downloaders dan PHP geinstalleerd moeten hebben
met een webserver. En mensen die dit hebben zijn niet
dom.

Die stelling zou ik graag statistisch bewezen zien. Mijn
ervaring is het tegenovergestelde.
22-05-2005, 11:27 door Anoniem
Uit mijn persoonelijke ervaring is het dat mensen die
webservers gebruiken, over het algemeen achter een router
zitten en gebruik maken van port mapping.
Mocht hun router goed geconfigureerd zijn, dan kan er haast
nix gebeuren.

En voor de mensen die dit niet gebruiken. Zou ik zeggen
gebruik een softwarematige beveiliging om alsnog de kans te
verkleinen dat er contact wordt gelegd met het backdoor.

Jongens: Adios le Pidos
22-05-2005, 23:04 door Timbo
Door Anoniem
FOUT! Als de user de url klikt, wordt er verwezen naar een
PHP-pagina die eigenlijk een applicatie is.

Zoals het hierboven staat kan het dus nauwelijks verspreiden
aangezien de downloaders dan PHP geinstalleerd moeten hebben
met een webserver. En mensen die dit hebben zijn niet
dom.


lolliepop! ik heb dat virus enkele weken geleden uitgezocht
en van je stelling klopt compleet niets. Het is een php
pagina die verwijst naar een .exe bestand, open je de pagina
zonder ?emailadres=blaat dan krijg je een berg errors te
zien, doe je dit niet dan vraagt hij of je een bestand wilt
downloaden.
Een simpele wget ipv echt oproepen doet wonderen :)
31-05-2005, 05:59 door Anoniem
ik heb sinds kort ook last van dit probleem, krijg van al mijn msn buddies
pissige reacties, dat ik ze een virus gestuurd hebt, ben de helft van mijn,
vrienden er door kwijtgeraakt!
03-06-2005, 09:52 door Anoniem
als ik explorer open krijg ik een waarschuwing van mijn virusscaner

Bestandsnaam:http://www.Fiorganizer.com/F1/objects/shawn.dll[UPX]
Malware-naam:Win32:startpage-077 [Trj]
Malware-type: Trojaans paard
VPS veraie: 0522-9
Als ik hem weg drukt komt hij bij elke pagina die ik open terug.

Hoe raak ik dit kwijt????
08-06-2005, 17:05 door Anoniem
Door Anoniem
als ik explorer open krijg ik een waarschuwing van mijn virusscaner

Bestandsnaam:http://www.Fiorganizer.com/F1/objects/shawn.dll[UPX]
Malware-naam:Win32:startpage-077 [Trj]
Malware-type: Trojaans paard
VPS veraie: 0522-9
Als ik hem weg drukt komt hij bij elke pagina die ik open terug.

Hoe raak ik dit kwijt????

Volledige systeemscan uitvoeren zou voldoende moeten zijn als alles
up-to-date is. Anders doe je een Panda ActiveScan voor alle zekerheid...
09-06-2005, 16:12 door Anoniem
Door Anoniem
Door Anoniem
als ik explorer open krijg ik een waarschuwing van mijn virusscaner

Bestandsnaam:http://www.Fiorganizer.com/F1/objects/shawn.dll[UPX]
Malware-naam:Win32:startpage-077 [Trj]
Malware-type: Trojaans paard
VPS veraie: 0522-9
Als ik hem weg drukt komt hij bij elke pagina die ik open terug.

Hoe raak ik dit kwijt????

Volledige systeemscan uitvoeren zou voldoende moeten zijn als alles
up-to-date is. Anders doe je een Panda ActiveScan voor alle zekerheid...
Adaware runnen en je bent het kwijt, het komt door spyware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.