Prima idee, en dat mogen ze allemaal gaan doen: feedback is immers
een belangrijk onderdeel van het leerproces - in casu moeten gebruikers
leren dat ze kunnen geinfecteerd zijn buiten hun weten (en kennis) om.

waarschuwen en indien nodig (bij geen responds) de internet
toegang beperken tot een aantal pagina's waar updates voor
AV etc. gedownload kunnen worden.

Dit is pas een goede service:

"This is an automatically generated report from the Drone Army
research group (DA) in support of an emergency committee,
the TISF BlackWorm task force.

This task force involves many in the security (anti spam, CERTs,
anti virus, academia, ISP's, etc.) community and industry,
working
together to combat threats to the security of the Internet in
cooperation with law enforcement globally.

The email worm known as
BlackWorm/Nyxem/Blackmal/Blueworm/Grew is
scheduled to delete (actually overwriting with a small text
message)
certain file types on Feb 3, 2006.

Members of TISF BlackWorm task force have been tracking the
worldwide
infections of this worm by means of a web stats counter the worm
reports infections to.

More information about this worm can be found here:
<http://www.lurhq.com/blackworm.html>
and:
<http://isc.sans.org/blackworm>
and
<http://blogs.securiteam.com>


This infection involves many hosts on the Internet.

To faciliate your investigation, SANS volunteered to host a
list of the
IPs within your ASN(s) which need to be investigated. The
location of
the SANS information is specific to your ASN(s)."

[en daaronder staat dan nog de betreffende link]

Leuke bijkomstigheid is dat het Internet Storm Centrum onlangs ontdekt
heeft dat er inderdaad een logbestand werd bijgehouden waar de IP-adressen van geïnfecteerde machines stonden. Meteen werden de ISP's over de gehele wereld gewaarschuwd. Het akelige is dat Blackmal-worm na een bepaalde datum belangrijke bestanden op de geïnfecteerde machine zal verwoesten.

Op de 3e dag van iedere maand gaat deze worm de onderstaande bestanden met deze specifieke extensies verwijderen:

*.doc...................documenten van Word
*.xls.....................documenten van Excel
*.mdb.................documenten van Acces database
*.mde.................documenten van Acces database
*.ppt ...................documenten van Powerpoint
*.pps...................idem
*.zip.....................verschillende (gecomprimeerde) bestanden
*.rar.....................compressie (gebruikt voor games)
*.pdf....................bestanden die gebruikt worden door Adobe Reader
*.psd...................wordt gebruikt in picture viewers
*.dmp.................memory dump bestanden, gebruikt door de Kernel.

Het is onder Windows NT/2000/XP mogelijk om bij een BSOD (vastloper) de inhoud van het geheugen te laten wegschrijven in een bestand. Dit bestand wordt een geheugendump of memory dump genoemd. Ook dit soort bestanden worden door Blackmal vernietigd.

De vernielde bestanden hebben de volgende tekst
DATA Error [47 0F 94 93 F4 F5]

Hoe het ISC er precies is achter gekomen wordt niet verteld, maar ik sluit
niet uit dat een lek of kwetsbaarheid in de betreffende website is uitgebuit en toen na forensisch onderzoek het logbestand werd aangetroffen.

Hacking door het ISC?

Wie het weet mag het zeggen!

Peter ik zeg het je.

Niks hacking door het ISC maar een vruchtbare samenwerking tussen [url=http://www.lurhq.com/index.html]LURHQ Corporation[/url] en [url=http://rcn.com/]Residential Communications Network[/url].

LURHQ heeft de Blackworm teller logbestanden van RCN gekregen en
een [url=http://www.lurhq.com/blackworm-stats.html]analyze[/url] gemaakt.

RCN is de host voor tellers die door iedereen op hun web pagina gebruikt
kunnen worden om bv bezoekers op je eigen site kunt bijhouden.

De teller is met commandline parameters in te stellen voor bv kleur, vorm,
grootte, aantal digits etc.

Die gegevens samen met de gebruikte agent om hem aan te roepen
maakt het mogelijk het verschil tussen een aanroep door de blackworm of
bv een browser of een andere applicatie te herkennen in de logbestanden.

De teller staat op dit moment op 14.563.140

Schapen of koeien?

Frans bedoelt hier zeker geen schapen en koeien.

Ok. Bedankt voor de info!