image

Waarschuwing voor ZEER gevaarlijke Bagle.J en MyDoom.G

woensdag 3 maart 2004, 09:15 door Redactie, 14 reacties

De virusvarianten blijven elkaar in hoog tempo opvolgen. De nieuwste dreiging komt dit keer van Bagle.J en MyDoom.G. Bagle.J kan zeer lastig zijn, aangezien het virus in een wachtwoord beschermd .zip bestand zit. Het wachtwoord zelf staat in het bericht vermeld. Hierdoor kan een virusscanner NIET het zip bestand scannen, waardoor het virus gewoon wordt doorgelaten. Verder bevat deze Bagle alle standaard eigenschappen, zoals een eigen SMTP engine, vervalst afzendadres, een achterdeur e.d. Meer informatie over dit virus kan op deze pagina gevonden worden.

W32.MyDoom.g@mm is de meest recente telg uit de Mydoom familie. Waren de voorgangers nog redelijk behoudend, de nieuwste versie kan tot grotere schade leiden. Net als haar voorgangers installeert het ook een 'backdoor' dat door de virusmaker op elk moment gebruikt kan worden om bijvoorbeeld een denial-of-service aanval uit te voeren. Veel gevaarlijker is het gegeven dat de worm direct uit eigen beweging begint met het verwijderen van bestanden. Waren SCO en Microsoft het doelwit van de eerste MyDoom wormen, dit keer is het de website van Symantec, www.symantec.com, die door besmette machines kan worden aangevallen. (VirusAlert)

Reacties (14)
03-03-2004, 09:46 door Anoniem
Zip files met een wachtwoord kunnen niet worden geopend. Afhankelijk van de
configuratie zullen veel scanners het niet doorlaten maar juist blokkeren.
Anders ben je wel erg naif.....

Groetjes

Ben Groot
03-03-2004, 09:51 door Anoniem
Gelukkig converteert ZoneAlarm alle zip bestanden (beveiligd
met ww of niet) gewoon naar ZL9 en kunnen ze dus niet zomaar
geopend worden. :-)
03-03-2004, 10:08 door Frans Egberink
Zonelabs mailsave hernoemd standaard geen zip bestanden en laat ze
ongewijzigd door. ZL9 bestanden zijn bestanden met EXE extenties.

Ik zou ook niet blind vertrouwen op zonealarm.

Ik gebruikzelf ook zonealarm pro en regelmatig pif en exe bestanden
doorglippen die niet of maar hal hernoemd zijn. Meestal gebeurd dat als je
tientallen mailtjes tegelijk binnenkrijgt. Het probleem is al eens aangekaart
bij zonelabs maar deze geeft geen thuis zolang het een enkele melding is.

Verschillende testen op verschillende windows's OSen met en zonder
virusscanner brachten geen oorzaak aan het licht betreffende dit probleem.
03-03-2004, 10:21 door Anoniem
Ik ben de laatste dagen niets anders aan het doen dan met updaten
van de virusscanner....
03-03-2004, 10:29 door GerardNL
Gelukkig doet mijn scanner dat ieder uur automatisch, ppfffff...
03-03-2004, 10:32 door Anoniem
Door Frans Egberink
Zonelabs mailsave hernoemd standaard geen zip bestanden en
laat ze
ongewijzigd door. ZL9 bestanden zijn bestanden met EXE
extenties.

Ik zou ook niet blind vertrouwen op zonealarm.

Ik gebruikzelf ook zonealarm pro en regelmatig pif en exe
bestanden
doorglippen die niet of maar hal hernoemd zijn. Meestal
gebeurd dat als je
tientallen mailtjes tegelijk binnenkrijgt. Het probleem is
al eens aangekaart
bij zonelabs maar deze geeft geen thuis zolang het een
enkele melding is.

Verschillende testen op verschillende windows's OSen met en
zonder
virusscanner brachten geen oorzaak aan het licht betreffende
dit probleem.


Ja ok idd je hebt gelijk dat ZA dat met .exe bestanden doet
dat hernoemen naar ZL9. Dat is bij mij nog wel altijd
gebeurt gelukkig. Wellicht dat we het probleem dan maar eens
aan Steve Gibson moeten melden zodat hij het op zijn beurt
aan Zonelabs kan melden. Wellicht luisteren ze dan wel ;-)
03-03-2004, 10:42 door Anoniem
Ja, maar ZoneAlarm Pro herbenoemt dit met de bedoeling om de
bestanden in quarantaine te plaatsten. ZIP-bestanden kunnen alleen in
de Pro-versie in quarantaine worden geplaatst. Openen kun je doen,
mits je het dialoogvenster met waarschuwingen passeert.

Automatische updates van de virusscanner heeft mij vroeger parten
gespeeld. Het bleek namelijk dat meneer de virusscanner in de
automatische stand niet alle updates ophaalde (Norton AntiVirus 2001
en 2002). Ik ben toen maar overgestapt op LifeUpdate via de
handmatige manier. Toen werden opeens wel alle updates
binnengehaald.
03-03-2004, 10:44 door Anoniem
zijn dit soort virussen geen hoaxes?
03-03-2004, 11:13 door Anoniem
nee
03-03-2004, 11:14 door Anoniem
Door Anoniem
zijn dit soort virussen geen hoaxes?
Ja, dit zijn geen hoaxes...

http://www.nepwaarschuwing.nl/?show=campagne
03-03-2004, 11:38 door Anoniem
Tsja, een virus in een zip bestand, beveligd met een
wachtwoord, en een begeleidende tekst die oproept tot
"klikken", invullen van het wachtwoord, en "klikken" op het
bestand in het archief....

Als je op een dergelijke wijze een goedbedoelde boodschap
rond zou sturen gaan mensen klagen omdat ze teveel
handelingen moeten verrichten... de mens is een vreemd dier.
03-03-2004, 15:05 door Anoniem
Daarom raad ik iedereen ook aan om de Automatische beveiliging van
de virusscanner in te schakelen. (AutoProtect voor Norton). Mocht het
bestand decomprimeren, dan zal de virusscanner alsnog toeslaan en
het viraal bestand aanpakken.
04-03-2004, 01:55 door Anoniem
"De nieuwste dreiging komt dit keer van Bagle.J en MyDoom.G. Bagle.J kan
zeer lastig zijn, aangezien het virus in een wachtwoord beschermd .zip
bestand zit. Het wachtwoord zelf staat in het bericht vermeld. Hierdoor kan
een virusscanner NIET het zip bestand scannen, waardoor het virus gewoon
wordt doorgelaten"

Dit is niet altijd zo. Sommige anti-virus pakketten zijn wel in staat het virus te
detecteren, bijvoorbeeld McAfee en H+BEDV AntiVir.

Daarnaast hebben sommige mail scanners de mogelijkheid gecrypte
bestanden te blokkeren.
21-03-2004, 22:21 door Anoniem
hoe kan ik een ZL9 bestand weer terug zetten naar een ZIP bestand zodat ik
deze weer kan openen?
gaarne sturen naar

[email]c.den.ouden@hccnet.nl[/email]

dank u
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.