image

Algemeen MyDoom.M (O) nieuws topic *update 14:23*

dinsdag 27 juli 2004, 10:03 door Redactie, 12 reacties

Er is op het moment zoveel nieuws over de nieuwe MyDoom variant dat we een algemeen "MyDoom nieuws" topic hebben geopend dat door de dag heen bijgewerkt zal worden.

[update 14:23]
Symantec Security Response heeft W32.Mydoom.M@mm opgewaardeerd naar bedreigingsniveau 4 (op een schaal van 5), vanwege een toename in het aantal meldingen bij zowel bedrijven als thuisgebruikers.

W32.MyDoom.M@mm is een mass-mailing worm die gebruikmaakt van zijn eigen SMTP-engine om zich te verspreiden naar e-mailadressen. De worm installeert een backdoor - Backdoor.Zincity.A - op poort 1034/tcp. Wanneer een systeem wordt geïnfecteerd, kan de aanvaller zich toegang tot de computer verschaffen en deze gebruiken voor de verspreiding van spam en virussen of het uitvoeren van denial-of-service aanvallen. De worm verzamelt e-mailadressen uit bestanden met de extensie .doc, .txt, .htm en .html. De worm gebruikt de zoekmachines Lycos, Yahoo, Altavista en Google om extra e-mailadressen te verzamelen voor mogelijke distributie.

De e-mailbijlage kan de volgende extensie hebben: .cmd, .bat, .com, .exe, .pif, .scr of .zip. De naam van de bijlage kan verschillen.

[update 11:33]
Ook Sophos heeft een artikel over de worm geplaatst. Zo zou de worm willekeurig de zoekmachines afgaan op e-mailadressen, toch wist men met de volgende verdeling te komen:

  • www.google.com (45%)
  • search.lycos.com (22.5%)
  • search.yahoo.com (20%)
  • www.altavista.com (12.5%)

    Het is volgens Graham Cluley van Sophos ongehoord en nog nooit eerder voorgekomen dat een virus een zoekmachine gebruikt om e-mailadressen te vinden. De Sophos consultant laat verder weten dat MyDoom.O gebruik maakt van de angst bij mensen dat ze al besmet zijn en dat hun PC door spammers gebruikt wordt, zoals in de virusmail geschreven staat. In deze whitepaper beschrijft het bedrijf best practices voor een multi-tier verdediging tegen virussen.

    [update 10:43]
    McAfee AVERT, het Anti-Virus Emergency Response Team van McAfee, heeft een viruswaarschuwing gegeven voor het W32/Mydoom.o@MM virus. Deze staat momenteel op Medium on Watch, wat betekent dat het virus nog niet gevaarlijk en wijdverspreid is, maar dat McAfee AVERT wel verwacht dat daar verandering in komt. Het virus wordt dan ook nauwkeurig in de gaten gehouden.

    Marius van Oers, van het Nederlandse onderdeel van McAfee AVERT, zegt het
    volgende over het virus: "De eerste infecties vonden gisteren aan het einde
    van de middag plaats in Duitsland, echter aan het begin van de avond is het
    virus ook in Amerika aangetroffen. Momenteel verspreid het virus zich
    hoofdzakelijk in Duitsland, Engeland en Amerika. Verwacht wordt dat het
    virus in de komende uren ook in Nederland verspreid zal worden. De worm
    verspreid zich via e-mail en maakt gebruik van email spoofing, waardoor het
    lijkt dat de mail van een bekende afkomstig is. Mensen moeten extra alert
    zijn bij het openen van e-mails met attachments."

    [update 10:03]
    MyDoom.M, dat door sommige anti-virusbedrijven de .O extensie heeft gekregen, is sinds gisteren bezig om zich via het Internet te verspreiden. De worm gebruikt zoekmachines om nieuwe e-mailadressen te vinden, waardoor de zoekmachines gisteren enige tijd niet bereikbaar waren. Is een computer eenmaal besmet, dan zal er een achterdeur geinstalleerd worden, die aanvallers de mogelijkheid geeft om de computer te gebruiken voor het versturen van spam en virussen en het uitvoeren van denial of service aanvallen.

    Filterbedrijf MessageLabs zou inmiddels meer dan 23.000 met W32.Mydoom.O besmette berichten hebben onderschept. "Helaas weet elk van de nieuwe varianten bedrijven en thuisgebruikers te treffen, waardoor virusschrijvers nieuwe varianten blijven schrijven en er steeds nieuwe systemen gecompromitteerd worden. Voor veel virusschrijvers wordt het succes niet gemeten in hoeveel PCs ze besmet hebben, maar hoeveel nieuwe computers ze voor toekomstig gebruik "gekaapt" hebben," zo laat Mark Sunner van MessageLabs in dit artikel weten.

  • Reacties (12)
    27-07-2004, 11:20 door Anoniem
    Men weet toch dat men geen ongevraagde mailtjes, zeker met een
    attachment, moet openen. Deze moet men ongelezen in de prullenbak
    gooien.

    Maar ja, aangezien er een grote kudde "klikvee" op het internet zit is het
    dweilen met de kraan open.
    Je kunt ze waarschuwen tot je een ons weegt, luisteren doen ze toch niet...
    27-07-2004, 11:33 door Anoniem
    Attachments zijn bij mij standaard UITGESCHAKELD. Het heeft voor
    een bekende of onbekend geen zin om deze naar mij op te sturen.
    27-07-2004, 11:35 door Anoniem
    Hersenloos klikgedrag gecombineerd met Klikvee, doet voor het
    verspreiden van dit soort virussen wonderen. Natuurlijk weten de
    professionals wat ze moeten doen, maar het zijn de nieuwkomers die
    van niets weten. En dat weten virusschrijvers ook wel!
    27-07-2004, 13:16 door Anoniem
    Je moet wel heel klikgeil zijn wil je hiermee besmet worden. Degene die ik
    gezien heb waren allemaal zip in een zip waar uiteindelijk een bat inzat.
    Dus eerste zip openen, tweede zip openen dan die bat openen.
    27-07-2004, 13:17 door Anoniem
    Die bat is overigens gewoon een executable.
    27-07-2004, 13:35 door Anoniem
    Zo zou de worm willekeurig de zoekmachines afgaan op
    e-mailadressen, toch wist men met de volgende verdeling te
    komen:
    # http://www.google.com (45%)
    # search.lycos.com (22.5%)
    # search.yahoo.com (20%)
    # http://www.altavista.com (12.5%)

    Niet slecht: ik kom tot:

    http://www.google.com (45.34%)
    search.lycos.com (22.28%)
    search.yahoo.com (19.81%)
    http://www.altavista.com (12.58%)

    Kan dus kloppen ;-)
    27-07-2004, 15:15 door Anoniem
    Toch zie ik in die Pine Virus Top 5 op security.nl dat er de laatste tijd minder
    mails een virus bevatten. Een maand geleden stond dat meestal op 1 op
    de 6 mailtjes, nu 1 op de 10.8... maar goed, wat niet is kan nog komen...
    27-07-2004, 16:37 door Anoniem
    Hoe kan het dan zo zijn dat mijn virusscanner (ik gebruik
    Avast! van Alwil Software) de besmette mail meteen herkent
    en overboord knikkert? Je gaat mij niet vertellen dat
    bedrijven zoals McAfee en Norton dan toch achterlopen op
    'mindere goden'. Ter verdere info: het virus werd de eerste
    keren achterhaald mbv heuristic scanning, daarna op signature.
    27-07-2004, 22:01 door Anoniem
    even gekeken in de logging voor vandaag:
    27 doom.o hits, , op 1 staat netsky.p met 413 hits.

    Op het bedrijf waar ik werk werken 1000 mensen. Doom.a en
    netsky.p scoorde 3500 hits in hun piek.

    Is dit virus echt zo verspreid of willen de anti-virus
    bedrijven de omzet weer even opdrijven en is dit herrie om
    niets..
    27-07-2004, 23:05 door Anoniem
    weer een variant van mydoom...fijn...
    28-07-2004, 08:03 door Anoniem
    Grote heren lopen achter, doen steeds minder moeite omdat de grote koek al
    verdeeld is.......krijgen een beetje M$ neigingen. Zeker is dat je systeem veel
    en veel trager wordt, c.q. nadruk wordt weer gelegd op uiterlijk vertoon dan
    programmeer-technisch. PC gaat gemiddeld 25 % achteruit in prestaties met
    de software van de grote heren.......:-(
    28-07-2004, 09:23 door Anoniem
    Door Anoniem
    Grote heren lopen achter, doen steeds minder moeite omdat de grote koek al
    verdeeld is.......krijgen een beetje M$ neigingen. Zeker is dat je systeem veel
    en veel trager wordt, c.q. nadruk wordt weer gelegd op uiterlijk vertoon dan
    programmeer-technisch. PC gaat gemiddeld 25 % achteruit in prestaties met
    de software van de grote heren.......:-(
    Lekker tegenstrijdig....

    De prestaties gaan iets achteruit ja. 25% vind ik wel heel veel, maar t gaat
    zeker iets achteruit. Maar dat komt omdat de virusscanners steeds groter
    worden, omdat mensen "gebruiksvriendelijkheid" willen hebben. Dat de
    prestaties achteruit gaan boeit dan niet zo. Surfen op internet en MSN-en kan
    heel makkelijk, ook als je die 25% van je 3 ghz moet inleveren. Al was het
    50%...
    Als je zelf een beetje verstand van computers hebt, heb je in principe geen
    virusscanner nodig. Als je er toch 1 hebt, scan je eens per week voor
    virussen, maar hoef je het hele programma niet de hele tijd aan te hebben
    als je zit te puteren.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.