image

Virusschrijvers wensen iedereen een happy2008.exe

woensdag 26 december 2007, 11:07 door Redactie, 13 reacties

De bende achter de Storm worm was wat laat met de kerstkaarten dit jaar, met het wensen van een "gelukkige" 2008 is men ruim op tijd. Op grote schaal is een e-mail met als onderwerp "Blasting new year", "Message for new year", "New Year wishes for you" en "Opportunities for the new year" en de tekst "Happy 2008 To You" verspreid. De link in de e-mail wijst naar uhavepostcard.com, een domein dat 23 december door ene "Kerry Corsten" geregistreerd is. De pagina bevat geen exploits, maar probeert wel het bestand happy2008.exe te downloaden.

Systeembeheerders wordt dan ook aangeraden dit domein te blokkeren. Opmerkelijk is dat het Finse F-Secure wel de volledige URL geeft, terwijl McAfee juist alle moeite doet om dit te verbergen.

Reacties (13)
26-12-2007, 11:42 door Anoniem
Gelukkig Nod32krn.exe terug dan ;)
26-12-2007, 13:17 door [Account Verwijderd]
[Verwijderd]
26-12-2007, 14:28 door bartwow
ik open nooit engelse tekst,happy new year
26-12-2007, 14:52 door the virusman
voor alle zekerheid toch maar even de url geblocked, je weet maar nooit
26-12-2007, 17:28 door Anoniem
happycards2008-dot-com wordt momenteel gebruikt.

Normaal gesproken geven anti-virus researchers publiekelijk geen urls
omdat dit juist besmettingen kan veroorzaken. Een exploit kan op elk door
de verspreiders gewenst moment geplaatst worden.

Zoals wel vaker bij malware operaties is de kwaliteit van het ontwerp
zorgvuldig, maar de uitvoering slecht. Zo zijn er spam berichten verstuurd
waar in plaats van de URL een database foutmelding verscheen.

Het doel van deze mails is niet dat ze op kerstdag verschijnen maar dat ze
zoveel mogelijk effect hebben. Tijdens kerst werkt bijna niemand, en nu is
er alle tijd de domeinen te blokkeren voordat mensen weer aan het werk
gaan. Het is dus te vroeg verstuurd.
26-12-2007, 22:33 door Anoniem
Voeg deze ook maar toe aan de blocked domains:

Domain name: MERRYCHRISTMASDUDE.COM
Name Server: ns.merrychristmasdude.com 75.50.232.119
Name Server: ns10.merrychristmasdude.com 24.27.223.150
Name Server: ns11.merrychristmasdude.com 71.224.88.232
Name Server: ns12.merrychristmasdude.com 218.54.194.220
Name Server: ns13.merrychristmasdude.com 72.191.105.208
Name Server: ns2.merrychristmasdude.com 69.146.246.17
Name Server: ns3.merrychristmasdude.com 218.52.132.154
Name Server: ns4.merrychristmasdude.com 69.211.31.245
Name Server: ns5.merrychristmasdude.com 24.127.28.40
Name Server: ns6.merrychristmasdude.com 91.122.184.14
Name Server: ns7.merrychristmasdude.com 123.202.81.199
Name Server: ns8.merrychristmasdude.com 76.187.193.30
Name Server: ns9.merrychristmasdude.com 71.226.228.96
Creation Date: 2007.11.27
Updated Date: 2007.12.17
Expiration Date: 2008.11.27

Status: DELEGATED

Registrant ID: P4DHBN0-RU
Registrant Name: John A Cortas
Registrant Organization: John A Cortas
Registrant Street1: Green st 322, fl.10
Registrant City: Toronto
Registrant Postal Code: 12345
Registrant Country: CA
26-12-2007, 23:03 door Anoniem
Ubuntu
27-12-2007, 13:16 door [Account Verwijderd]
[Verwijderd]
29-12-2007, 19:23 door Anoniem
...en de laatste domains - block ze:

familypostcards2008.com
newyearwithlove.com
31-12-2007, 14:23 door Anoniem
Laatste lading tot op heden:

freshcards.com
hellosanta2008.com
31-12-2007, 19:02 door Spion
Weet iemand hoe ik dit *** virus kan verweideren?
M'n pa kreeg een email met een link hij klikte er op en
opende het virus.
meteen kreeg hij een melding van NOD32.

MVG,
Spion
Securitylab.ws
31-12-2007, 22:34 door Anoniem
Spion,

Als NOD32 aanslaat, is er geen sprake van infectie. Behalve
als je pa heeft geklikt op "geeft niet, ga je gang maar" :).
03-01-2008, 05:34 door Anoniem
firefox houdt de pagina netjes tegen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.