image

Nieuwe Badtrans varianten soms niet herkend door scanner

dinsdag 27 november 2001, 16:54 door Redactie, 12 reacties

De redactie ontving vandaag een verdacht uitzien emailtje, dat echter niet door onze (McAfee) virusscanner herkend werd. We stuurden het daarom ter beoordeling naar vsample@nai.com, waarna we een emailtje terug kregen dat het hier om een Badtrans variant ging. We zouden het bijgevoegde EXTRA.DAT bestand moeten installeren om ons hiertegen te beschermen. De website van McAfee meldt misleidend VirusScan and other McAfee products with DAT files 4172 and higher are protected from this variant.. Niet dus. De EXTRA.DAT dus maar gehaald, maar die wordt niet herkend door het virus programma, het formaat zou ongeldig. zijn. Opvallend is dat er twee verschillende EXTRA.DAT's op de site van McAfee worden aangeboden, de door ons opgehaalde bevat meer dan die bij de Bad.Trans beschrijving op de site staat. Deze laatste wordt wel door de scanner geaccepteerd, maar detecteert Bad.Trans niet. We hebben daarna de Sophos scanner gedownload (www.sophos.com) en deze kwam gelijk (nadat we de virus-definities hadden vernieuwd) met de verwachte waarschuwing: 'Virus 'W32/Badtrans-B' found in file docs.DOC.pif'. Een beetje jammer dat de laatste updates niet in de download zitten, dat wel. Anti-virusprogramma's zouden zo eenvouding mogelijk moeten zijn.

Moraal van het verhaal:er is maar weer eens bewezen dat je niet blind moet vertrouwen op je antivirusprodukt, en zelf na moet blijven denken.

Reacties (12)
27-11-2001, 19:34 door Anoniem
Vandaag heb ik ongeveer 20 keer het badtrans virus ontvangen. Twee ervan werden inderdaad niet door McAfee herkend...
28-11-2001, 01:00 door Anoniem
Waarom komt er altijd zoveel (teveel) nieuws over virussen en worms? Als je serieus over beveiliging praat hoef je toch niet steeds te vermelden dat er een nieuw(e) virus/worm in opkomst is, laat staan zeggen dat je niet op je virusscanner, zou je die hebben, moet vertrouwen... Feitjes als het niet herkennen van een bepaald(e) virus/worm door een bepaalde virusscanner zijn dan al helemaal niet relevant.
28-11-2001, 09:28 door Anoniem
Kan iemand mij een mailte sturen met dit virus.
email: [email]virus@inu.nl[/email]


Greetz
28-11-2001, 10:51 door Anoniem
Badtrans.B Virus may Fool Pristine Outlook/IE Users ->
http://incidents.org/diary/diary.php?id=90

<offtopic>Virus STUREN ? Jaaaah, tuurlijk..</offtopic>

* How do I set my laser printer on stun ? *
28-11-2001, 12:33 door pierpanda
Wel een merkwaardig verhaal. Zelf heb ik geen McAfee, maar in bepaalde tests werd deze virusscanner als goed bestempeld. Ik vind wel dat men hierover een klacht naar de producent moet schrijven over deze gang van zaken. Een virusscanner moet werken, daar heb je ook voor betaald!


Pierpanda.
28-11-2001, 14:20 door Anoniem
Moraal van het verhaal is dat McAfee zuigt. Het is niet de eerste keer dat McAfee virussen niet herkent (althans op mijn systeem).

Ik heb een keer gehad dat McAfee een bepaald virus pas 3 maanden na (toendertijd) TBAV herkende. Tragisch.

Bovendien wordt je machine er wel HEEL traag van. Ik gebruik het niet meer.
29-11-2001, 11:12 door Anoniem
Met Norman Virus Control wordt het Badtrans virus wel gedetecteerd bij het scannen.
29-11-2001, 11:14 door Anoniem
Originally posted by GeneralFailure
Badtrans.B Virus may Fool Pristine Outlook/IE Users ->
http://incidents.org/diary/diary.php?id=90

<offtopic>Virus STUREN ? Jaaaah, tuurlijk..</offtopic>

* How do I set my laser printer on stun ? *

Tja, als je een fatsoenlijk OS draait heb je niet zo last van virussen. Dan kan je ze wegpleuren voor ze schade aanbrengen.

Cheers and beers
29-11-2001, 14:32 door Anoniem
Door Norton wordt het wel herkend, ik kan hem alleen niet verwijderen. Kan iemand mij vertellen hoe dat wel gaat?
30-11-2001, 09:31 door Anoniem
Ook Norton herkent de varianten niet?

En het virus verwijderen is niet zo moeilijk! Kijk op symantec voor info of bij <a href="http://updates.pandasoftware.com/pqremove/pqremove.com" target="_blank">Panda Software</a> voor een verwijderings-tooltje

En ja een goed OS kan een boel ellende voorkomen
03-12-2001, 16:01 door Joda
Iedereen die zich een beetje met beveiliging bezig houdt, weet dat je NIET op één virusscanner kunt vertrouwen. Dat is natuurlijk niet zo raar als je bedenkt dat met verschillende programma's, op verschillende manieren, door verschillende mensen zo snel mogelijk naar een bescherming tegen een virus wordt gezocht. Er is altijd één het snelst. Wij hebben onze organisatie beschermt met drie verschillende virusscanners en dat is zoals je zult weten niet voldoende om 100% beschermt te zijn. Als je dat wilt moet je geen e-mail, internet, floppys, cd's enz nemen, toch?
Jos
03-12-2001, 17:15 door Anoniem
Ja, helemaal waar, de veiligste software zit nog in de cellofaan verpakking, en ligt op de off-line machine..

Daarna gaat het mis :-)

Zoals je zegt, bewustmaken van de gebruikers is het enige dat een beetje zoden aan de dijk zet, maar dat is moeilijker dan af en toe een patch of een update over het systeem heen trekken.

Microshaft is het haasje omdat 90% van de mensen met een PC nou eenmaal windhoos gebruikt, 'Sk1dd10tz schrijven bagger voor windhoos, want dat scoort lekker..

Ga dat maar aan een gebruiker uitleggen. Heeft geen zin.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.