Inmiddels bij ons op de mail-gateway al meer dan 400 exemplaren
onderschept.
De statistieken bij Xs4All spreken ook boekdelen.
http://www.xs4all.nl/veiligheid/statistieken.php

Niks hype, al gaan de onderwerpen van de mail al lang niet meer alleen
over de storm.

wat een onzin: Onze anti-virus wall heeft er duizenden
gestopt, en deze morgen een eerste variant.
Het wordt een hype om ten pas en ten onpas het woord 'hype'
te roepen. :)

Hee ik ken er nog een, "IT security is een storm in een glas water"


Dan kan de hele .sec industry z'n bek houden, kom op, sasser en blaster
waren wormen van lik m'n vestje en iedereen moest toen ook huilen.

http://www.virusradar.com/index_enu.html

Ik kan dit geen briesje noemen.

Nachreiner lijdt duidelijk aan het false authority syndrome. Deze worm
komt veel voor. McAfee en Symantec, uiteraard twee Amerikaans bedrijven,
hebben geen goed beeld van de wereldwijde verspreiding. Dat kun je dus
niet als bewijs aanvoeren.

Bepaalde anti-virus bedrijven waarschuwen voortdurend voor malware die
bijna niemand ziet , alleen maar omdat het een actueel onderwerp bevat
(vul maar in: kerstmis, voetbal, aanslagen, oorlog).

Nu komt deze worm wel breed voor, dus de waarschuwing is 100%
terecht. De FUD is geheel aan de zijde van Nachreiner.

Complete scanning result of "Video.exe", received in
VirusTotal at 01.20.2007, 17:23:28 (CET).

Niets gevonden:
01.18.2007 Avast 4.7.936.0
01.20.2007 eTrust-Inoc.. 23.73.118
01.19.2007 eTrust-Vet 30.3.3336
01.09.2007 Ikarus T3.1.0.27
01.19.2007 McAfee 4943
01.19.2007 Norman 5.80.02
01.12.2007 Sunbelt 2.2.907.0
01.19.2007 TheHacker 6.0.3.151
01.19.2007 UNA 1.83
01.19.2007 VBA32 3.11.2

Wel iets gevonden:
01.20.2007 AntiVir 7.3.0.26
01.20.2007 Authentium 4.93.8
01.20.2007 AVG 386
01.20.2007 BitDefender 7.2
01.20.2007 CAT-QuickHeal 9.00
01.20.2007 ClamAV devel-20060426
01.20.2007 DrWeb 4.33
01.20.2007 eSafe 7.0.14.0
01.20.2007 Ewido 4.0
01.20.2007 Fortinet 2.82.0.0
01.20.2007 F-Prot 3.16f
01.20.2007 F-Prot4 4.2.1.29
01.20.2007 Kaspersky 4.0.2.24
01.20.2007 Microsoft 1.1904
01.20.2007 NOD32v2 1992
01.20.2007 Panda 9.0.0.4
01.20.2007 Prevx1 V2
01.20.2007 Sophos 4.13.0
01.20.2007 VirusBuster 4.3.19:9

Aditional Information
File size: 26624 bytes
MD5: 01a1115bcb0d5e32a98c76a50ac8868d

Het blijft een gokspel. Vooral de (dure) McAfee vind ik
zwaar tegenvallen, zeker gesloten in het weekend of zo? Zie
ook mijn bijdrage van zaterdag 30 december 2006 22:55 in
http://www.security.nl/article/15128/1/Meer_kwaadaardige_nieuwjaarskaarten_gesignaleerd.html

Erik, je kunt Virustotal niet betrouwbaar gebruiken om te zien welk AV wel
of geen detectie heeft. Bovendien hebben we het hier over meerdere
varianten.

De volgende variant kwam om op 2007-01-20 om 22:13 binnen, de md5sum ervan wordt op dit moment nog niet genoemd op http://isc.sans.org/diary.html?storyid=2071. Ik heb net als hierboven de kolomvolgorde gewijzigd voor de overzichtelijkheid, de linker kolom bevat de datum van de virusdefinities.

Complete scanning result of "Full Story.exe", received in VirusTotal at 01.21.2007, 00:10:42 (CET).

Niets gevonden:
01.20.2007 AntiVir 7.3.0.26
01.18.2007 Avast 4.7.936.0
01.20.2007 BitDefender 7.2
01.20.2007 CAT-QuickHeal 9.00
01.20.2007 eTrust-InoculateIT 23.73.118
01.19.2007 eTrust-Vet 30.3.3336
01.20.2007 Ewido 4.0
01.20.2007 Fortinet 2.82.0.0
01.20.2007 F-Prot4 4.2.1.29
01.09.2007 Ikarus T3.1.0.27
01.19.2007 McAfee 4943
01.20.2007 Microsoft 1.1904
01.20.2007 Norman 5.80.02
01.20.2007 Panda 9.0.0.4
01.20.2007 Sophos 4.13.0
01.12.2007 Sunbelt 2.2.907.0
01.19.2007 TheHacker 6.0.3.151
01.19.2007 UNA 1.83
01.20.2007 VBA32 3.11.2

Wel wat gevonden (resultaat achter ::):
01.20.2007 Authentium 4.93.8 :: W32/Downloader.AYES
01.21.2007 AVG 386 :: Downloader.Tibs
01.20.2007 ClamAV devel-20060426 :: Trojan.Downloader-656
01.20.2007 DrWeb 4.33 :: Trojan.Spambot
01.20.2007 eSafe 7.0.14.0 :: suspicious Trojan/Worm
01.20.2007 F-Prot 3.16f :: security risk named W32/Downloader.AYES
01.20.2007 Kaspersky 4.0.2.24 :: Trojan-Downloader.Win32.Agent.bet
01.20.2007 NOD32v2 1993 :: Win32/Fuclip.B
01.21.2007 Prevx1 V2 :: Polymorphic.File.Exploit
01.20.2007 VirusBuster 4.3.19:9 :: Trojan.DL.Tibs.Gen!Pac16

Aditional Information
File size: 31395 bytes
MD5: d93ffce8b87e2176bbe4edaca12a244f

Edit: word-wrap (voor Koekie: er waren regels omgeklapt waardoor bovenstaande VirusTotal regels minder leesbaar waren, helaas kan ik hier geen tabel aanmaken, maar als ik dit soort dingen schijf vinden mensen weer dat mijn bijdragen te lang zijn, het is ook nooit goed)

edit: delete? geen hond die er wat van begrijpt...

Het lijkt er ook op dat er een redelijk vers botnet wordt
gebruikt voor de verzending van deze malware. De 8 die ik op
2007-01-20 gezien heb waren allen van verschillende
IP-adressen afkomstig. Daarvan staat er geeneen in de CBL
(http://cbl.abuseat.org/lookup.cgi) en 3 van de 8
staan in Spamcop
(http://www.spamcop.net/w3m?action=checkblock&ip=).

Die arme systeembeheerders hebben misschien niet direct last
van dit soort rommel, maar wel indirect doordat
thuisgebruikers hier kennelijk met zovelen intrappen
dat dit soort "spam-runs" zin hebben voor de verzenders. En
dat betekent veel nieuwe zombies, en dus overlast waar die
arme systeembeheerders wel mee te maken kunnen krijgen.

Overigens, ongeveer tegelijk met mijn vorige post is de MD5
d93ffce8b87e2176bbe4edaca12a244f ook op ISC gezet.

Erik van Straten ,
je zit nog te hoog....

Ik schrijf niet voor honden, maar voor mensen die zich serieus met security bezighouden, en voor wie mijn posts interessant zouden kunnen zijn.

Ik lees hier heel veel meningen over wat een goede firewall en virusscanner zou zijn terwijl duidelijk blijkt dat diezelfde personen vaak geen flauw benul hebben wat zo'n programma precies doet en onder welke omstandigheden. Persoonlijk zie ik liever feiten, en die probeer ik te geven via bovenstaande bijdragen.

M.b.t. "Edit": als ik een stuk wijzig zou het kunnen dat ondertussen iemand dat stuk al aan het lezen is (en mogelijk er op reageert zonder mijn oude tekst gequote over te nemen). Ik probeer met die "Edit" aan te geven wat ik heb gewijzigd, d.w.z. of het iets inhoudelijks is of bijv. opmaak zoals in bovenstaand geval (de redactie doet dit trouwens ook vaak bijv. als ze een taalfout gecorrigeerd hebben).

En wat heb jij gerookt?

Ben blij dat de scanners die ik gebruik de varianten netjes herkennen.
Alhoewel mijn firewall de extensie van elk bestand dat enigzins schadelijk
kan zijn toch al omzet naar een andere extensie, en ik niet zo ontzettend
stom ben om die bijlagen te openen, versterkt dit wel mijn vermoeden dat
ik de juiste beveiligingssoftware heb gekozen.

Jammer dat BOClean niet bij virustotal is opgenomen in de lijst. Die zal
erg hoog scoren.

Erik, je bijdragen mét bestandsgrootte en MD5 hash erbij wordt, in ieder
geval door mij, zeer op prijs gesteld.

Gewoon marlborrow maar was nog al aangeschoten gister.Ik was alleen
nieuwschierig wat "edit word-wrap" betekend.Nu nog is het voor mij een
raadsel :D

...en die gebruiken Mcafee, die bepaald niet goe scoort.
Ergo: die statistieken zijn nog aan de veel te behoudende
kant...

Als je het filmpje van F-Secure bekijkt:
http://www.f-secure.com/weblog/archives/SmallDAM_StormWorm_XViD.avi
kan ik wel begrijpen dat ze een persbericht hebben doen
uitgaan. Er is geen sprake van het zaaien van angst,
onzekerheid & verwarring (FUD).

Als je zoekt naar wat meer objectieve meetingen op het
Internet (en dan het liefst onderbouwd met harde data), dan
is Messagelabs een goed bron. Hun statistieken laten een
vervijfvoudiging zien van het aantal onderschepte
virussen(/worms/trojans):

http://www.messagelabs.com/StatisticsThreat/StatisticsThreatType=Virus
en als je inzoomt op die data, zie je dat dit allemaal te
wijten is aan deze nieuwe trojan:
http://www.messagelabs.com/StatisticsThreat/StatisticsThreatType=VirusTopX

Een verdere reden om je druk te maken is dat in bijzonder
korte tijd erg veel varianten zijn opgedoken en dat deze dus
niet allemaal gedetecteerd worden door de AV bedrijven.

Al met al wel degelijk reden om wat meer alert te zijn.

Houdt er wel rekening mee dat MessageLabs' statistieken niet altijd up to
date zijn.

Deze kwam om 16:13 binnen:

Complete scanning result of "Greeting Postcard.exe",
received in VirusTotal at 01.21.2007, 17:01:41 (CET).

Niets gevonden:
01.21.2007 AntiVir 7.3.0.26
01.21.2007 Authentium 4.93.8
01.18.2007 Avast 4.7.936.0
01.21.2007 AVG 386
01.21.2007 BitDefender 7.2
01.20.2007 CAT-QuickHeal 9.00
01.21.2007 DrWeb 4.33
01.20.2007 eTrust-InoculateIT 23.73.118
01.19.2007 eTrust-Vet 30.3.3336
01.21.2007 Ewido 4.0
01.21.2007 Fortinet 2.82.0.0
01.21.2007 F-Prot 3.16f
01.21.2007 F-Prot4 4.2.1.29
01.09.2007 Ikarus T3.1.0.27
01.21.2007 Kaspersky 4.0.2.24
01.19.2007 McAfee 4943
01.21.2007 Microsoft 1.1904
01.21.2007 NOD32v2 1994
01.20.2007 Norman 5.80.02
01.21.2007 Panda 9.0.0.4
01.20.2007 Sophos 4.13.0
01.12.2007 Sunbelt 2.2.907.0
01.21.2007 TheHacker 6.0.3.152
01.19.2007 UNA 1.83
01.20.2007 VBA32 3.11.2

Wel iets gevonden:
01.21.2007 ClamAV devel-20060426 :: Trojan.Downloader-658
01.21.2007 eSafe 7.0.14.0 :: suspicious Trojan/Worm
01.21.2007 Prevx1 V2 :: Polynomial.Code.Exploit
01.21.2007 VirusBuster 4.3.19:9 :: Trojan.DL.Tibs.Gen!Pac18

Aditional Information
File size: 31363 bytes
MD5: 34d440ae997eeab28763d3ad21b5d571

De malwaremakers worden steeds handiger in het kat-en-muis
spel met de AV boeren. Vanaf wel moment is er sprake van een
uitputtingsslag? Nu zijn het nog makkelijk te blokkeren
exe-files, maar uit het verleden weten we dat ze ook weinig
moeite hebben met allerlei compressieformaten. Kennelijk
verlagen die de hit-kans bij onbenullige gebruikers,
alhoewel tegenwoordig de meesten wel XP zullen gebruiken die
unzip heeft ingebouwd.

Gemeenschappelijke factor blijft dat deze zooi duidelijk
vanaf gecompromitteerde breedband en kabel-PC's wordt
verzonden. Wat moet er gebeuren voordat we daar nou eens
serieus iets aan gaan doen?

Thanx, ik heb er nu 17 "voorbij" zien komen, 10
verschillende md5sums, in chronologische volgorde van
binnenkomst, eerst de file-lengte, dan de md5 hash:

29347 fe3226e158c99a8c32d82da9b042a87f
29347 5398650dd32028f890113e32a3dd104b
26624 01a1115bcb0d5e32a98c76a50ac8868d
31395 d93ffce8b87e2176bbe4edaca12a244f
31395 e04ef9718fd4ab4cd3aaa86ce110a103
31395 562d6dad245497e6c95d1bb33e4bedda
29379 61dc59c4efd75a17e755aa1a68c9325e
29379 29c59430fbcd3129b29ef4d458c272c0
31363 9d8da0ec0afba8bc3659f35be1c86210
31363 34d440ae997eeab28763d3ad21b5d571

Opvallend is dat de file-lengte niet altijd wijzigt. Het zou
kunnen dat ze UPX zo verbouwd hebben dat deze, zonder
wijziging in de malwarecode, iets anders comprimeert (maar
dat is een gok).

Hier nog eentje voor je (plaatje)
http://www.dslreports.com/r0/download/1115559~5d1d0dcc97fa56466bf3e89a16a3a94a/vt.jpg

Plaatje komt uit dit draadje;
http://www.dslreports.com/forum/remark,17674777

Dank je wel, met dat plaatje (screenshot van VirusTotal) uit
een andere bron kunnen mensen zien dat ik de gegevens van de
verschillende antvirus programma's niet uit m'n duim zuig
(hier trouwens nog eentje, van afgelopen vrijdag:
http://www.heise-security.co.uk/news/83990).

Overigens, dat plaatje laat de "herkenning" zien van de
malware die door de trojan wordt nageladen, het gaat dus
niet om de trojans die ik hierboven noem. Die trojans van
vandaag zullen morgen wel door de meeste AV worden
gedetecteerd, detectie van de nageladen malware zou wel eens
veel langer op zich kunnen laten wachten (zie ook
http://www.security.nl/article/15295/ voor wat de
gevolgen daarvan zouden kunnen zijn).

Die gevolgen zijn ook veroorzaakt door een verkeerde beveiliging bij die
bank.
Volgens mij kan zoiets niet gebeuren met het random reader systeem
zoals bijv, de Rabobank gebruikt.

Wanneer je gewoon met gebruikersnaam en wachtwoord alle
betaalopdrachten kunt uitvoeren is het natuurlijk wel erg kwetsbaar.

Er is hier bij de zondag-update ook al een postcard.exe toegevoegd
http://www.f-secure.com/weblog/