image

MSN Messenger worm verspreidt zich

donderdag 14 februari 2002, 10:11 door Redactie, 13 reacties

Volgens berichten op diverse rondzendlijsten doet op dit moment een worm de ronden die gebruik maakt van lekken in de MSD chatsoftware van Microsoft. De worm komt in de vorm van een MSN bericht met als inhoud "Go To http://www.masenko-media.net/cool.html NoW !!!" of ""URGENT - Go to http://users.skynet.be/dark.angel/cool.htm". Als men vervolgens naar deze pagina (die inmiddels is verwijderd) gaat waar middels een gat in de Microsoft Internet Explorer de contactenlijst aan de PC van de nietsvermoedende gebruiker ontfutseld wordt. Vervolgens wordt aan alle mensen op weer een berichtje met de bovenstaande URL gestuurd. Anders dan dit richt de worm geen aanzienlijke schade aan, maar valt wel binnen de definities zoals gesteld in de Wet Computercriminaliteit. Dit laatste is relevant, aangezien de 'cool.htm' pagina volgens de berichtgeving de hostnaam en browserversie naar het Nederlandse emailadres mmargae@wanadoo.nl doorstuurd. De afgelopen week uitgekomen mega-patch voor Microsoft Internet Explorer zou de gaten waardoor de worm zich kan verspreiden moeten oplossen.

Reacties (13)
14-02-2002, 12:51 door Anoniem
<naam> zegt:
Ge moet eens gaan naar http://www.n00bs.be tis een mega site

Al een paar keer binne gehad :(
14-02-2002, 17:11 door zaphers
Hij is echt zwaar irritant. Nu zeker al 7 keer die link gekregen.. opvallend is, dat je hem twee keer achter elkaar krijgt..
14-02-2002, 18:36 door Anoniem
Het is ondertussen ook al een paar keer van naam verandert nu krijg ik het binnen op deze manier :
http://www.angelfire.com/amiga/mynewpage
14-02-2002, 19:05 door Anoniem
Als je de virus hebt gehad? staat ie dan nog op je pc? kan je m verwijderen? weet iemand dat?
14-02-2002, 20:51 door Anoniem
De worm zit in de nieuwe virusdefinities van Symantec (Norton) en zal dus ook wel in de online scan van deze antivirus software producent zitten. Scan je pc daarom eens online bij Symantec door op de volgende link te klikken:
http://security1.norton.com/ssc/lunavbrk.asp?scantype=2&langid=us&venid=sym&plfid=20&pkj=RCOUORVWHFHMFNZMBBX

Of gebruik de online virusscan van Trend Micro:
http://housecall.antivirus.com/
14-02-2002, 22:14 door minispan
De Symantec (Norton) beschermt je daar inderdaad tegen. Bij mij kwam hij ook opzetten via MSN maar dit keer met de link:
http://geocities.com/funwithbabes.html
Je kunt hem niet in quarantaine zetten. Je moet hem dus direct verwijderen.
Het bestand wordt zo weer gegeven bij mijn Activiteitenlogboek:
C:WINDOWSLocal SettingsTemporary Internet FilesContent.IE5739JRUXKfunwithbabes[1].htm
was geïnfecteerd met het virus JS.Menger.Worm.
Ik hoop dat een ieder hier iets aan heeft.
minispan
15-02-2002, 02:54 door Anoniem
Originally posted by minispan
De Symantec (Norton) beschermt je daar inderdaad tegen. Bij mij kwam hij ook opzetten via MSN maar dit keer met de link:
http://geocities.com/funwithbabes.html
Je kunt hem niet in quarantaine zetten. Je moet hem dus direct verwijderen.
Het bestand wordt zo weer gegeven bij mijn Activiteitenlogboek:
C:WINDOWSLocal SettingsTemporary Internet FilesContent.IE5739JRUXKfunwithbabes[1].htm
was geïnfecteerd met het virus JS.Menger.Worm.
Ik hoop dat een ieder hier iets aan heeft.
minispan

Hehehehe sorry, da was mijn worm :D
15-02-2002, 09:14 door Anoniem
Originally posted by Syndr0me


Hehehehe sorry, da was mijn worm :D

Hoe volwassen
15-02-2002, 10:08 door Anoniem
Oops.. ik vond daarnet een variant van deze worm die *niet* werd gedetecteerd door de virusscanners. Deze variant gebruikt een Javascript encryptie methode om aan de virusscanner te ontkomen. Bij het laden van de pagina wordt de inhoud gedecrypted en uitgevoerd...
15-02-2002, 12:08 door Anoniem
Originally posted by
Oops.. ik vond daarnet een variant van deze worm die *niet* werd gedetecteerd door de virusscanners. Deze variant gebruikt een Javascript encryptie methode om aan de virusscanner te ontkomen. Bij het laden van de pagina wordt de inhoud gedecrypted en uitgevoerd...

Die techniek is niets nieuws. Je hebt natuurlijk direct je anti-virus producent een kopie gestuurd?
15-02-2002, 12:14 door Anoniem
Originally posted by


Die techniek is niets nieuws. Je hebt natuurlijk direct je anti-virus producent een kopie gestuurd?

Jaaaaah natuurlijk *kuch* .. Ik weet zelf ook nog wel een boel varianten te bedenken.. zal ik ze allemaal maar even sturen naar de antivirus producent?? ;)
15-02-2002, 12:17 door Anoniem
Originally posted by


Jaaaaah natuurlijk *kuch* .. Ik weet zelf ook nog wel een boel varianten te bedenken.. zal ik ze allemaal maar even sturen naar de antivirus producent?? ;)

Sociaal voelend ben je gelukkig wel. Dus je geeft toe dat je het zelf hebt gemaakt?
15-02-2002, 23:43 door Anoniem
wat een patserij hier. Die ker0l loopt uit zijn nek te lullen. Gewoon pure onzin! En die nederlandse worm is een kloon van de vrijgegeven duitse versie. Alleen aangepast is de HTML pagina en enkele files die anders (kunnen) zijn. Oud nieuws en nix ernstigs, dat wormpje is al heel oud. En mega saai. Ik snap niet waarom hij ineens zoveel aandacht krijgt...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.