Een nieuwe F-variant van de Sobig-worm lijkt zich snel te verspreiden. Het is mogelijk dat dit zichzelf doorsturende computervirus op korte termijn meer pc's zal besmetten. Dat meldt het BIPT.
<img src="http://upload.userbase.be/upload/tn_virus2.jpg" align="left" width="120" height="120"> Sobig.F verspreidt zichzelf via e-mail. De worm zit in een bijlage die de vorm heeft van een gecomprimeerd bestand (Zip) of een Program Information File (Pif). Aanklikken van de bijlage leidt ertoe dat de worm wordt geactiveerd. Sobig verspreidt zich dan verder door e-mailadressen te verzamelen op de besmette pc en zichzelf naar die adressen door te sturen.
Het BIPT adviseert pc-gebruikers te controleren of de leverancier van hun antivirussoftware een recente 'update' beschikbaar heeft en deze te installeren. Vervolgens is het raadzaam de pc met het programma te scannen op de aanwezigheid van Sobig.F.
WAARSCHUWING !!! Nieuwe variant Sobig-worm in opkomst.
-
meon
- Administrator
- Berichten: 16757
- Lid geworden op: 18 feb 2003, 22:02
- Twitter: meon
- Locatie: Bree
- Uitgedeelde bedankjes: 581 keer
- Bedankt: 780 keer
-
Provider
Of soms net niet. Zo scant de email-module van Norton Antivirus bijvoorbeeld enkel pop-mail en geen imap. Virusjes in mailtjes die je dus checkt op die manier worden vrolijk door gelaten op deze manier ...aikon schreef:imap kan soms handig zijn
<img src="http://upload.userbase.be/upload/tn_belgacom.jpg" align="left" width="120" height="41"> Dit bericht heb ik ontvangen van Belgacom Security Watch 06/04/2004 - nummer 61
We waarschuwen u bij deze voor het zeer misleidende computervirus W32.Sober.F@mm. Het neemt immers in de boodschap van de e-mail het domein over van het e-mailadres van de bestemmeling (bijvoorbeeld @skynet.be) waardoor u al snel denkt dat het een bericht van Belgacom betreft.
Steekkaart van W32.Sober.F@mm
Type wormvirus
Kenmerken e-mail Afzender - variabel
Titel - variabel
Attachment - de naam is variabel maar het bestand draagt steeds een extensie .pif of .zip
Boodschap - variabel maar steeds in het Duits of Engels
(Voor meer details, klik hier.)
Gevaar Medium (voor meer details, klik hier)
Getroffen besturingsystemen Windows 2000, 95, 98, Me, NT, XP
Oplossing Ja (voor meer details, klik hier)
xHoe herkent u het wormvirus ?
W32.Sober.F@mm verspreidt zich via e-mail. Een geïnfecteerd e-mailbericht kan u herkennen aan :
het onderwerp is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Oh my God
Hey
en andere ...
l
de boodschap is volledig variabel maar kan de website en/of naam van Skynet vermelden aangezien het wormvirus het domein van het e-mailadres van de bestemmeling in de geïnfecteerde e-mail kleeft.
Bijvoorbeeld :
Als u een e-mailadres heeft <[email protected]> en iemand stuurt u onbewust het virus door, zal u mogelijk in de boodschap van deze e-mail het volgende terugvinden :
+++ A service of "skynet.be"
+++ http:/ /www."skynet.be"
+++ Mail: home
naam van het attachment is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Oh-Mann
Dokument
instructions
anitv_text
en andere ...
l
Het attachment heeft een echter steeds een extensie .pif of .zip.
xWat is het gevaar ?
W32.Sober.F@mm is doet het volgende :
Doorzoekt uw harde schijf naar e-mailadressen waarnaar het zich kan doorsturen.
Kan volledig willekeurig bestanden downloaden van het internet op uw computer en deze uitvoeren.
Wijzigt het beheersysteem van Windows (system registry).
xHoe stopt / verwijdert u het ?
U kunt dit wormvirus tegenhouden dankzij Skynet Mail Protection (meer informatie) en/of Belgacom ADSL Multi met daarin het Skynet Security Pack (meer informatie) of het Skynet Security Pack (meer informatie) zelf.
Als u vermoedt of gewoonweg wilt controleren of W32.Sober.F@mm er reeds in geslaagd is uw pc te infecteren, download en voer het "removal tool" van Symantec uit (klik hier).
Dit doet het volgende :
Schakelt alle actieve W32.Sober.F@mm processen uit ;
Verwijdert de W32.Sober.F@mm bestanden ;
Verwijdert de waarden in de registry van Windows die het virus daaraan toegevoegd heeft.
Opgelet ! We willen er op wijzen dat Windows XP en Windows Me gebruikers de pc moeten heropstarten in "Safe mode" (enkel in het Engels) én de "System Restore" optie in hun respectievelijke besturingssoftware tijdelijk moeten uitschakelen (klik hier voor Windows Me (enkel in het Engels) of klik hier voor Windows XP (enkel in het Engels) vooraleer de toepassing uit te voeren.
Windows Me/XP gebruikt deze optie om door middel van het maken van kopiën, bestanden te repareren als ze beschadigd zouden raken. Als een pc geïnfecteerd is met een virus kan het dus zijn dat "System Restore" een kopie maakt van het virus en daarna per toeval het geïnfecteerd bestand teruggezet op de pc.
<img src="http://upload.userbase.be/upload/symantec-antivirus.gif" align="right" width="120" height="120">
Erratum: van 7 Apr 2004 om ca 6:13 Je kan zelf al eens zoeken bij Symantec...W32/Sober.f@MM
Greetz,
We waarschuwen u bij deze voor het zeer misleidende computervirus W32.Sober.F@mm. Het neemt immers in de boodschap van de e-mail het domein over van het e-mailadres van de bestemmeling (bijvoorbeeld @skynet.be) waardoor u al snel denkt dat het een bericht van Belgacom betreft.
Steekkaart van W32.Sober.F@mm
Type wormvirus
Kenmerken e-mail Afzender - variabel
Titel - variabel
Attachment - de naam is variabel maar het bestand draagt steeds een extensie .pif of .zip
Boodschap - variabel maar steeds in het Duits of Engels
(Voor meer details, klik hier.)
Gevaar Medium (voor meer details, klik hier)
Getroffen besturingsystemen Windows 2000, 95, 98, Me, NT, XP
Oplossing Ja (voor meer details, klik hier)
xHoe herkent u het wormvirus ?
W32.Sober.F@mm verspreidt zich via e-mail. Een geïnfecteerd e-mailbericht kan u herkennen aan :
het onderwerp is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Oh my God
Hey
en andere ...
l
de boodschap is volledig variabel maar kan de website en/of naam van Skynet vermelden aangezien het wormvirus het domein van het e-mailadres van de bestemmeling in de geïnfecteerde e-mail kleeft.
Bijvoorbeeld :
Als u een e-mailadres heeft <[email protected]> en iemand stuurt u onbewust het virus door, zal u mogelijk in de boodschap van deze e-mail het volgende terugvinden :
+++ A service of "skynet.be"
+++ http:/ /www."skynet.be"
+++ Mail: home
naam van het attachment is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Oh-Mann
Dokument
instructions
anitv_text
en andere ...
l
Het attachment heeft een echter steeds een extensie .pif of .zip.
xWat is het gevaar ?
W32.Sober.F@mm is doet het volgende :
Doorzoekt uw harde schijf naar e-mailadressen waarnaar het zich kan doorsturen.
Kan volledig willekeurig bestanden downloaden van het internet op uw computer en deze uitvoeren.
Wijzigt het beheersysteem van Windows (system registry).
xHoe stopt / verwijdert u het ?
U kunt dit wormvirus tegenhouden dankzij Skynet Mail Protection (meer informatie) en/of Belgacom ADSL Multi met daarin het Skynet Security Pack (meer informatie) of het Skynet Security Pack (meer informatie) zelf.
Als u vermoedt of gewoonweg wilt controleren of W32.Sober.F@mm er reeds in geslaagd is uw pc te infecteren, download en voer het "removal tool" van Symantec uit (klik hier).
Dit doet het volgende :
Schakelt alle actieve W32.Sober.F@mm processen uit ;
Verwijdert de W32.Sober.F@mm bestanden ;
Verwijdert de waarden in de registry van Windows die het virus daaraan toegevoegd heeft.
Opgelet ! We willen er op wijzen dat Windows XP en Windows Me gebruikers de pc moeten heropstarten in "Safe mode" (enkel in het Engels) én de "System Restore" optie in hun respectievelijke besturingssoftware tijdelijk moeten uitschakelen (klik hier voor Windows Me (enkel in het Engels) of klik hier voor Windows XP (enkel in het Engels) vooraleer de toepassing uit te voeren.
Windows Me/XP gebruikt deze optie om door middel van het maken van kopiën, bestanden te repareren als ze beschadigd zouden raken. Als een pc geïnfecteerd is met een virus kan het dus zijn dat "System Restore" een kopie maakt van het virus en daarna per toeval het geïnfecteerd bestand teruggezet op de pc.
<img src="http://upload.userbase.be/upload/symantec-antivirus.gif" align="right" width="120" height="120">
Erratum: van 7 Apr 2004 om ca 6:13 Je kan zelf al eens zoeken bij Symantec...W32/Sober.f@MM
Greetz,
Laatst gewijzigd door Blue-Sky 07 apr 2004, 06:20, in totaal 1 gewijzigd.
Ondertussen heb ik er zoal een 25 tal gekregen met het @skynet en @pandora domein, gededecteerd door NAV maar leuk is anders.
Terug is bewezen dat een up to date virusscan wel degelijk zijn werk doet.
Greetz
Weetgraag
Terug is bewezen dat een up to date virusscan wel degelijk zijn werk doet.
Greetz
Weetgraag
"Carpe Diem"
Idd belangrijk je AV systeem up to date te houden.Weetgraag schreef:Terug is bewezen dat een up to date virusscan wel degelijk zijn werk doet.
Ik had de Info van Symantec voordien al gelezen op hun Website
Discovered on: April 03, 2004
Last Updated on: April 05, 2004 10:10:29 AM
Daardoor kwam dit verhaal over computervirus W32.Sober.F@mm. me voor als een "déjà vue".
Tot op heden nog geen malafide mails ontvangen, maar heb ook de Skynet Mail Protection geactiveerd staan.
(de gratis dienst van Skynet)
Ja,...iedereen is vrij deze dienst mail protection te gebruiken, sommige zullen dit liever niet gebruiken maar ik zelf vind het wel interessant.
Grtz,
Maar zoals altijd is het BIPT een paar dagen te laat met hun info,Spock schreef:Het BIPT adviseert pc-gebruikers te controleren of de leverancier van hun antivirussoftware een recente 'update' beschikbaar heeft en deze te installeren. Vervolgens is het raadzaam de pc met het programma te scannen op de aanwezigheid van Sobig.F.
regelmatig krijg ik ook de info van het BIPT waarbij ik ondertussen al een
update kreeg van Symantec.
Greetz
Weetgraag
"Carpe Diem"
