image

Nederlandse uitbraak Yaha.E blijft raadsel

vrijdag 28 juni 2002, 12:01 door Redactie, 21 reacties

Virusdeskundigen hebben geen verklaring voor het plotselinge 'succes' van het Yaha.E-virus in Nederland. Volgens cijfers van MessageLabs wordt het virus in Nederland nog altijd zes keer zo vaak onderschept als in de Verenigde Staten. (Webwereld)

Reacties (21)
28-06-2002, 12:25 door Anoniem
Ik heb nog nooit zoveel mails met virus ontvangen als nu.
Het wordt hoogtijd dat ISP's en met name HetNet een aktiever beleid op dit gebied gaan voeren. Zeker nu het betalen is voor de diensten. Dit heeft weinig van doen met email privacy.
Hetzelfde geld voor SPAM. Waarom geeft men klant geen opties om alle mails te bouncen en wel doortegeven. Men kan alleen op serieuze emails reageren.

Carel
28-06-2002, 13:16 door Anoniem
Je kan beter vragen waarom Av softwremakers niet willen meewerken.

Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie.

Maar de financiele belangen zijn te groot omdat ze dan minder updatekontrakten verkopen.

Naar mijn idee wordt de angst voor virussen kunstmatig hoog gehouden.

Frans Egberink
28-06-2002, 15:31 door Anoniem
Originally posted by Frans Egberink
Je kan beter vragen waarom Av softwremakers niet willen meewerken.

Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie.

Maar de financiele belangen zijn te groot omdat ze dan minder updatekontrakten verkopen.

Naar mijn idee wordt de angst voor virussen kunstmatig hoog gehouden.

Frans Egberink

Ola,

Sterker nog, zouden Av. softwaremakers niet hele goede samenwerking hebben met virusschrijvers? of Zijn ze zelf virusschrijvers? hmmmm, ik denk dat het toch 1 pot nat is...

Zurabi
28-06-2002, 15:38 door Anoniem
Originally posted by Zurabi


Ola,

Sterker nog, zouden Av. softwaremakers niet hele goede samenwerking hebben met virusschrijvers? of Zijn ze zelf virusschrijvers? hmmmm, ik denk dat het toch 1 pot nat is...

Zurabi

ja, net zoals alle slotenfabrikanten eigenlijk inbrekers zijn. get a clue
28-06-2002, 15:39 door suntac
Originally posted by Frans Egberink

Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie.


mmmmmm,
betandsnaam.tar.gz


denk niet dat ik daar blij mee ben
28-06-2002, 15:42 door suntac
Klikte even verkeerd,


bestandsnaam.tar.gz heeft dus een dubbele extensie en die wil ik toch echt even niet kwijt raken aan een of andere vage virus scanner die op basis van het aantal extensies van een attachment gaat werken.

Je kunt beter gewoon zorgen dat de mensen een beetje gaan opletten met wat ze openen en dat ze gewoon een 'normale' virus scaner een beetje recent houden.

MS is toch zo pro intergratie,.... waarom bouwen ze niet eens een scanner in explorer en dergelijken.......... heb je alle users al te pakken voor een groot gedeelte.


Suntac.
28-06-2002, 15:53 door Anoniem
Originally posted by suntac
Klikte even verkeerd,


bestandsnaam.tar.gz heeft dus een dubbele extensie en die wil ik toch echt even niet kwijt raken aan een of andere vage virus scanner die op basis van het aantal extensies van een attachment gaat werken.

Je kunt beter gewoon zorgen dat de mensen een beetje gaan opletten met wat ze openen en dat ze gewoon een 'normale' virus scaner een beetje recent houden.

MS is toch zo pro intergratie,.... waarom bouwen ze niet eens een scanner in explorer en dergelijken.......... heb je alle users al te pakken voor een groot gedeelte.


Suntac.


'Always trust software from Microsoft'
28-06-2002, 16:18 door suntac
Originally posted by Unregistered



'Always trust software from Microsoft'


mmmmm, niet echt he.....:-)

maar als dat een oplossing is om de gewone gebruikers een beetje op de rit te krijgen en het allemaal wat meer virus vrij te kunnen houden dan ben ik al blij...........
SUNTAC
28-06-2002, 16:35 door Anoniem
" Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie. "

Onzin, elk gemiddeld AV produkt scant *.vbs ook al staat .txt. voor ofzo. Dit is alleen om de domme eindgebruiker in de war te brengen omdat WIndows .VBS verstopt zodat het lijkt alsof het om een document.txt bestand gaat.


Gewoon .vbs blokken en klaar!
28-06-2002, 17:07 door Anoniem
Originally posted by suntac
MS is toch zo pro intergratie,.... waarom bouwen ze niet eens een scanner in explorer en dergelijken.......... heb je alle users al te pakken voor een groot gedeelte.

Ja goed idee, laten we bij Windows XP voortaan een Win32 port van MSAV bijvoegen, iedereen heeft zulke goede ervaringen met dit sublieme antivirus pakket van Microsoft (euh, Central Point).

Sorry, ik heb toch liever een antivirus pakket van een andere fabrikant als Microsoft.
29-06-2002, 08:56 door Anoniem
mn mail bij myrealbox, heeft afgelopen week stuk of 50 mailtjes gefilteerd....
echt handig als je mail "voor" je gescand wordt....
29-06-2002, 10:04 door Anoniem

Onzin, elk gemiddeld AV produkt scant *.vbs ook al staat .txt. voor ofzo. Dit is alleen om de domme eindgebruiker in de war te brengen omdat WIndows .VBS verstopt zodat het lijkt alsof het om een document.txt bestand gaat.


Gewoon .vbs blokken en klaar!

Ik denk dat hij bedoelt dat als een bestand twee extensies heeft, de virusscanner ook waarschuwt als hij een geen virus in vindt. WSH verwijderen is inderdaad een goed idee.

Ik denk dat het best potentie heeft, een virusscanner die als je op bestand.jpg.exe klikt een bericht geeft:
Warning, the file you're trying to open is not a .jpg picture, this program can execute code on your machine and is a potential virus. Are you sure you want to continue? Yes No

tar.gz pakt ie niet omdat .gz geen "virusextensie" is.

En als je er veel last van hebt (preformance, valse meldingen), dan klik je het vinkje gewoon even weg en hij negeert dubbele extensies.
29-06-2002, 16:39 door Anoniem
Originally posted by Frans Egberink
Je kan beter vragen waarom Av softwremakers niet willen meewerken.

Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie.

Maar de financiele belangen zijn te groot omdat ze dan minder updatekontrakten verkopen.

Naar mijn idee wordt de angst voor virussen kunstmatig hoog gehouden.

Frans Egberink

Onzin, het aantal gestopte virussen met dubbele extensie is bij lange na niet 95%. Het is tegenwoordig eerder 10% of nog minder. Als je zou scannen op dubbele extensies, is het aantal false positives soms onacceptabel hoog. De meeste anti-virus gateway scanners hebben overigens al jaren opties om bepaalde extensies te blokkeren, dus waarom sta je hier te beweren dat ze niet meewerken?

Virusscanning dient gewoon verplicht te worden gesteld voor alle ISPs vanaf een bepaalde omvang. Het debakel met Yaha.e is nog onschuldig vergeleken bij wat er mogelijk is aan DoS attacks. Dat is dan nog gehaal afgezien wat er bij de gebruiker voor schade wordt aangericht. Pas nu men zelf slachtoffer is worden ze wakker.

Dat gel*l over privacy is natuurlijk een fijn excuus om niets te doen, maar dat blijft niet zo. Die virusscanner gaat je liefdesbriefjes echt niet zitten lezen. Mocht toch iemand er interesse tonen in je mail dan is er voor de ISP niets eenvoudiger dan om die gewoon direct uit de pop3 doos te vissen.

Wil je echt niet dat de inhoud van je mail bekend wordt of gescand wordt dan is er altijd nog encryptie.
01-07-2002, 08:58 door Anoniem
Hier wat comentaar:
Comprimeer executable (geen script) virus en zet er een wachtwoord op. Met in de body het wachtwoord van het (zip) bestandje met als excuus, dat je baas/ouders het zo niet kunnen lezen. Dus heeft serverside scannen van e-mail zin? Nee!

Het enige wat effectief is als providers bijlagen gaan blokeren. Als je geinfecteerd raakt raak je meteen het recht om bijlagen te ontvangen kwijt, wie deze terug wil moet een cursus volgen hoe veilig om te gaan met e-mail bijlagen. Raak je desondanks toch weer geinfecteerd raak je gelijk de functie om bijlagen te ontvangen weer kwijt, zo wordt je gelijk een stuk voorzichtiger.
Het spreekt natuurlijk voor zich dat html-email gelijk wordt gefilterd en omgezet naar plain tekst.
Idem voor filesharing programma's, toegang tot de servers worden geblokt als je via deze programma's geinfecteerd raakt.
Voor spam relay mailservers moeten deathpennalties (zie ook de nieuwsgroepen) worden ingesteld door de providers.

Het kost de providers ook geld dus het wordt tijd dat ze in deze maatregelen gaan investeren.
01-07-2002, 13:15 door Anoniem
Het is een "slim" virus die mensen tegen elkaar uitspeelt.
Vb:
Jan heeft klaas en marie in zijn adressenboek staan. Hij raakt besmet methet virus, dat zich via het adressenboek voort plant.
Yaha stuurt zich zelf door naar jan maar met afzender marie terwijl marie niet eens ge-infecteerd is met het virus.

Zo heb ik ruzie gehad met Philips Nederland, dus virus schrijver je wordt "bedankt".
01-07-2002, 13:24 door Anoniem
Beste mensen,
ik ben sinds vorige week geinfecteerd (geweest) door het Yaha virus. Deze zat een een mailtje van een kennis :(
Ik heb op http://www.virusalert.nl wat anti yaha software weten te vinden, en hopla, weg was het virus.
Teminste dat dacht ik. Alles deed het weer even, voordat ik de Av software had uitgevoerd deden alleen internet en word het.
Nu het programma yaha had verwijderd, deed msn het ook weer.
Ik blij. Maar nee, ik vrees toch dat ik windows eropnieuw op moet gaan zetten, bijna geen enkel .exe programma werkt nu.
geen icq, geen spelletjes, geen download programma's en veel setupjes (.exe) weigeren ook dienst. Merkwaardig genoeg doen sommige programma's zoals quicktime het wel.

Als iemand hier iets tegen weet, voordat ik heel (#%(*@&*#% windows eraf gooi, graag een reactie. want ik ben beetje ten einde raad nu. Elk programma loopt vast of kan het doel niet vinden.
01-07-2002, 13:27 door Anoniem
Originally posted by Frans Egberink
Je kan beter vragen waarom Av softwremakers niet willen meewerken.

Als zij zouden scannen op bv dubbele extenties zoals test.txt.vbs dan zou men 95% van alle virussen kunnen onderscheppen zonder indentificatie.

Maar de financiele belangen zijn te groot omdat ze dan minder updatekontrakten verkopen.

Naar mijn idee wordt de angst voor virussen kunstmatig hoog gehouden.

Frans Egberink
Hoezo dubbelle extenties???
Je gooit er een extentie filter in en klaar. Wou elk bedrijf moetten doen + een interne cursus voor de mail gebruikers binnen een bedrijf.

Ik ben systeembeheerder met een win2k server + ms Exchange 2000 en daar kun je heel mooi een extentie filter toepassen.
Dit voorkomt 90% van de probleem gevallen betreft virus en trojan besmetting.
Daarom werkt AV niet mee want hat gaat om de laatste extentie en niet de eenalaatste.
filter maar eens *.exe/*.bat/*.shs/*.pif/*.swf/*.com/*.js/*.vb/*.vbs/*.vbe/ etc. dan heb je heel wat minder ellende op je "dak".

mail me maar als je meer wil weten.
[email]info@qline.nl[/email]
01-07-2002, 14:00 door Anoniem
Originally posted by Redactie
Virusdeskundigen hebben geen verklaring voor het plotselinge 'succes' van het Yaha.E-virus in Nederland. Volgens cijfers van MessageLabs wordt het virus in Nederland nog altijd zes keer zo vaak onderschept als in de Verenigde Staten. (Webwereld)

Het is dat ik er niet ontvankelijk voor ben (geen Windows) maar psychologisch gezien steekt dat Yaha-E blijkbaar goed in elkaar (ten minste in Nederland). Ik kreeg gisteren voor het eerst ongevraagd virus-bestanden toegestuurd met naar verluid dat Yaha-E.

Vervelend als zo'n mail net uit een hoek komt (c.q. lijkt te komen) waar je op zijn zachtst gezegd erg 'emotioneel gebonden' mee bent. Ik kreeg het virus in de vorm van screensavertjes van allen precies 28kB, met lieve titels als "charming love to check". Klinkt hoopvol, nietwaar.

Deze maar eens geopend, met een hexeditor wel te verstaan. In de broncode stond ergens half-in te lezen ZONEALARM, IRC, AVP, Norton en etcetera. Dat vast niet thuis hoort in een Windows screensaver-bestand.

Ik leun even achterover. Natuurlijk een beetje teleurgesteld. Ik had mail uit 'die hoek' die mij bijstaat, maar het was een virus.

Ten minste sta ik in d'r adressenlijst, dat is zeker :-)

Maar realiseer ter dege de impact van 'social enginering' - dat mij meer tegen staat dan het hele virus zelf.

Het zal ongetwijfeld bijdragen aan het 'succes' dat het blijkbaar in ons land heeft.
01-07-2002, 14:19 door Anoniem
Originally posted by Unregistered
Beste mensen,
ik ben sinds vorige week geinfecteerd (geweest) door het Yaha virus. Deze zat een een mailtje van een kennis :(
Ik heb op http://www.virusalert.nl wat anti yaha software weten te vinden, en hopla, weg was het virus.
Teminste dat dacht ik. Alles deed het weer even, voordat ik de Av software had uitgevoerd deden alleen internet en word het.
Nu het programma yaha had verwijderd, deed msn het ook weer.
Ik blij. Maar nee, ik vrees toch dat ik windows eropnieuw op moet gaan zetten, bijna geen enkel .exe programma werkt nu.
geen icq, geen spelletjes, geen download programma's en veel setupjes (.exe) weigeren ook dienst. Merkwaardig genoeg doen sommige programma's zoals quicktime het wel.

Als iemand hier iets tegen weet, voordat ik heel (#%(*@&*#% windows eraf gooi, graag een reactie. want ik ben beetje ten einde raad nu. Elk programma loopt vast of kan het doel niet vinden.

Je zou eens kunnen kijken op http://vil.nai.com/vil/content/v_99528.htm waarin de registrykey aangepast moet worden. Zorg er wel voor dat je eerst alle virusjes gevangen hebt. Deze oplossing heeft bij 3 vrienden prima geholpen.
02-07-2002, 22:04 door Anoniem
Originally posted by Unregistered
"Comprimeer executable (geen script) virus en zet er een wachtwoord op. Met in de body het wachtwoord van het (zip) bestandje met als excuus, dat je baas/ouders het zo niet kunnen lezen. Dus heeft serverside scannen van e-mail zin? Nee!"

Dat is helemaal geen reden om niet centraal mail te scannen. Er zijn maar heel weinig virussen die een wachtwoord gebruiken. Het gebruik van die methode zou misschien enigszins toenemen als scannen verplicht is, totdat iedereen weet wat er aan de hand is als er wordt gevraagd een wachtwoord in te voeren. Theoretisch is het fluitje van een cent alle woorden te gebruiken om het bestand te kraken. En zoniet dan kan altijd nog op de gebruikte teksten worden gescand.

"Het enige wat effectief is als providers bijlagen gaan blokeren. Als je geinfecteerd raakt raak je meteen het recht om bijlagen te ontvangen kwijt, wie deze terug wil moet een cursus volgen hoe veilig om te gaan met e-mail bijlagen. Raak je desondanks toch weer geinfecteerd raak je gelijk de functie om bijlagen te ontvangen weer kwijt, zo wordt je gelijk een stuk voorzichtiger."

Dat gaat natuurlijk niet werken. Denk je dat providers niks te doen hebben? Heb je enig idee hoeveel virussen er verstuurd worden? Miljoenen. Dat is echt niet bij te houden en het lost nog steeds niets op. Virussen komen via de provider en ze moet zo dicht mogelijk bij de bron worden tegengehouden.

"Het spreekt natuurlijk voor zich dat html-email gelijk wordt gefilterd en omgezet naar plain tekst."

Dat zou mooi zijn, maar de praktijk is weerbarstiger. Als ik nu al zie wat voor onzettend slechte mail convertors er worden gebruikt...
Het is niet zo eenvoudig als het lijkt, denk aan MIME, embedded MIME en de vreselijke implementaties daarvan in diverse mail clients.
29-10-2008, 17:29 door Redactie
Door Anoniem
Originally posted by suntac
MS is toch zo pro intergratie,.... waarom bouwen ze niet eens een scanner in explorer en dergelijken.......... heb je alle users al te pakken voor een groot gedeelte.

Ja goed idee, laten we bij Windows XP voortaan een Win32 port van MSAV bijvoegen, iedereen heeft zulke goede ervaringen met dit sublieme antivirus pakket van Microsoft (euh, Central Point).

Sorry, ik heb toch liever een antivirus pakket van een andere fabrikant als Microsoft.

test
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.