Nieuws

Bericht zelfmoordpoging Michael Jackson is Trojaans paard

vrijdag 10 juni 2005, 09:30 door Redactie, 3 reacties

De rechtszaak tegen popster Michael Jackson weet niet alleen op aandacht van de media te rekenen. Ook virusschrijvers proberen er gebruik van te maken, zo blijkt uit een nieuwe spamrun die door anti-virusonderzoekers ontdekt is. Het bericht in kwestie maakt melding van een zelfmoordpoging door Michael Jackson, die tevens een aantal van zijn zonden zou opbiechten. Voor de rest van het verhaal moeten gebruikers op een link met de tekst "read more" klikken. Wordt de link geopend, dan gaat men naar een website die het Trojaanse paard Troj/Borobt-Gen op de machine installeert.

"De zieke geesten verantwoordelijk voor virussen en andere malware maken vaak misbruik van bekendheden en nieuwsberichten, om op die manier zoveel mogelijk mensen te infecteren. Alle computergebruikers moeten zeer voorzichtig zijn met het openen van links en bijlages in ongevraagdes e-mails" waarschuwt anti-virusaanbieder Sophos.

10 Microsoft patches voor lekken in Windows en Exchange

Forse toename corruptie onder IT'ers

Reacties (3)

10-06-2005, 23:06 door Bitwiper

Ondertussen zijn op
http://isc.sans.org/diary.php?date=2005-06-10
meer details hierover te lezen. De gebruikte Firefox exploit
is overigens deze:
http://www.frsirt.com/exploits/20050416.MFSA200537.php
(gefixed sinds Firefox 1.03).

Voor degenen die nog de illusie hebben dat hun virusscanner
ze wel zal redden bij verse malware: ik heb even de
rplay93.exe opgehaald vanaf de op Sans aangegeven locatie,
en door http://www.virustotal.com/ gehaald. Ik
heb i.v.m. de leesbaarheid de volgorde van de kolommen
aangepast (ik kan er hier helaas geen tabel maken):

This is a report processed by VirusTotal on
06/10/2005 at 22:38:00 (CET) after scanning the file
"Rplay93.exe" file.

Allen "No virus found" (datum update, product, versie):
06.10.2005 AntiVir 6.31.0.5
06.10.2005 AVG 718
06.10.2005 Avira 6.31.0.5
06.10.2005 BitDefender 7.0
06.10.2005 ClamAV devel-20050501
06.10.2005 DrWeb 4.32b
06.09.2005 eTrust-Iris 7.1.194.0
06.10.2005 eTrust-Vet 11.9.1.0
06.10.2005 Fortinet 2.27.0.0
06.10.2005 Ikarus 2.32
06.10.2005 Kaspersky 4.0.2.24
06.10.2005 McAfee 4511
06.09.2005 NOD32v2 1.1135
06.09.2005 Norman 5.70.10
06.10.2005 Panda 8.02.00
06.10.2005 Sybari 7.5.1314
06.10.2005 TheHacker 5.8-3.0
06.10.2005 VBA32 3.10.3

1 uitzondering, "Trojan.Dropper" werd gevonden:
06.10.2005 Symantec 8.0

Deze keer pakt Symantec hem, vermoedelijk via heuristische
detectie. Maar ik heb Symantec zelf vaak genoeg malware zien
missen die bijv. McAfee wel als kwaadaardig herkende, dus
dit zegt niet zo heel veel.

Wellicht doordat steeds meer ISP's email scannen is nu de
trend ingezet om malware via een andere route gestart te
krijgen. Naast browser exploits verwacht ik ook meer social
engineering tricks, zoals de recente MyTob al liet zien.

Erik van Straten

11-06-2005, 16:37 door G-Force

Nou Erik, dat erkennen ze bij Symantec ook wel. Zij weten heel goed dat
detectie van een virus "tot op zekere hoogte" mogelijk is. Een virusscanner
is daarom altijd aan te bevelen, maar men moet er geen wonderen van
verwachten.

13-06-2005, 02:17 door Bitwiper

Ik schrijf dit niet voor Symantec, maar voor degenen die
flauwekul reclame als "100% detecie van in-the-wild malware"
geloven. Ik heb de test zojuist nog even herhaald:

This is a report processed by VirusTotal on
06/13/2005 at 01:55:31 (CET) after scanning the file
"Rplay93.exe" file.

Scanners die volgens virustotal "no virus found" melden:
06.12.2005 AntiVir 6.31.0.5
06.11.2005 AVG 718
06.12.2005 Avira 6.31.0.5
06.13.2005 BitDefender 7.0
06.13.2005 ClamAV devel-20050501
06.11.2005 eTrust-Iris 7.1.194.0
06.10.2005 eTrust-Vet 11.9.1.0
06.10.2005 Fortinet 2.27.0.0
06.11.2005 Ikarus 2.32
06.10.2005 McAfee 4511
06.11.2005 NOD32v2 1.1136
06.12.2005 Norman 5.70.10
06.12.2005 Panda 8.02.00
06.13.2005 TheHacker 5.8-3.0

BackDoor.Afcore.2827 gevonden door:
06.12.2005 DrWeb 4.32b

Backdoor.Win32.Afcore.ch gevonden door:
06.13.2005 Kaspersky 4.0.2.24
06.13.2005 Sybari 7.5.1314
06.12.2005 VBA32 3.10.3

Trojan.Dropper gevonden door:
06.12.2005 Symantec 8.0

P.S. bovenstaande datums zijn in US format, maand.dag.jaar.

Erik van Straten

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer