W32.Mydoom.M@mm in opmars

Nieuws omtrent telecommunicatie
Plaats reactie
Gebruikersavatar
Blue-Sky
Erelid
Erelid
Berichten: 8554
Lid geworden op: 23 feb 2003, 20:42
Locatie: België - Limburg

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" border="0" align="left"> <img src="http://upload.userbase.be/upload/category_4_on.gif" align="right" width="34" height="34"> Symantec meld een snelle verspreiding van W32.mydoom.M@mm - Worm
Deze variant van het virus zorgt voor problemen bij zoekmachines.


The W32.Mydoom.M@mm mass-mailing worm:

Uses its own SMTP engine to send itself to all the email addresses that it finds from an infected system.
The email has an attachment with a .bat, .cmd, .com, .exe, .pif, .scr, or .zip extension.
The attachment may have a second extension, which will either be .doc, .txt, .htm, or .html.
The attachment name may contain a randomly selected domain, which was found on the sender's system.

For example, the attachment name could contain fakedomain.com if the address <[email protected]> was harvested.

The From field of the e-mail is spoofed.
Downloads and executes a backdoor, which is detected as Backdoor.Zincite.A, on port 1034/tcp.
Is packed by UPX.

lees hierover meer

Bron: Symantec van 26 juli 2004 (dit meldt ook VUNet) op 27 juli 2004
Gebruikersavatar
The_Borg
Elite Poster
Elite Poster
Berichten: 1759
Lid geworden op: 22 dec 2003, 20:25

Het is blijkbaar hopeloos om de minusIQ80-gevallen wijs te maken dat 90% van hun attachments zever zijn. Hoe is het toch mogelijk dat er zoveel ezels nog altijd die mails lezen/attachment openen.
"We are the Borg. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile."
Gebruikersavatar
Blue-Sky
Erelid
Erelid
Berichten: 8554
Lid geworden op: 23 feb 2003, 20:42
Locatie: België - Limburg

The_Borg schreef: Hoe is het toch mogelijk dat er zoveel e****s nog altijd die mails lezen/attachment openen.
Daar kan ik The_Borg alleen maar bijtreden.

Er zijn 2 mogelijkheden.

1) ofwel je gebruikt een goed antivirus programma.
2) je hebt de nodige kennis van zaken en opent niet goedgelovig e-mails van onbekenden, met verdachte attachments.

Wie daar nu nog intrapt die zal het nooit leren. :cry:

Grtz,
Afbeelding
Gebruikersavatar
Krekkie
Premium Member
Premium Member
Berichten: 645
Lid geworden op: 03 apr 2004, 14:27

Blue-Sky schreef:Er zijn 2 mogelijkheden.

1) ofwel je gebruikt een goed antivirus programma.
2) je hebt de nodige kennis van zaken en opent niet goedgelovig e-mails van onbekenden, met verdachte attachments.
3) Of pas nummertje 1 én 2 toe!
Gebruikersavatar
Spock
Elite Poster
Elite Poster
Berichten: 1591
Lid geworden op: 20 feb 2004, 11:48
Locatie: St-Truiden, Brussel, Utrecht en Capetown

Het Amerikaanse internetbedrijf Google is vandaag het slachtoffer geweest van het internetvirus MyDoom. Ook andere zoekmachines waren het slachtoffer van het virus.

<img src="http://upload.userbase.be/upload/tn_hlavy03.jpg" align="left"> Door het virus liep de zoekfunctie van Google op internet gedurende een korte periode vertraging op. Volgens het internetbedrijf is de schade niet groot en zou de service voor de gebruikers op korte termijn hersteld moeten zijn. Bovendien had slechts een klein percentage van de gebruikers er last van. Onder meer in Frankrijk verliep het zoeken via de zoekwebsite van Google erg moeizaam. De problemen komen precies op de dag dat Google, één van de populairste internetzoekmachines ter wereld, aankondigt naar de beurs te gaan. Het bedrijf stelt 24,6 miljoen aandelen of 9 procent van het kapitaal te koop, waarvan de prijsvork tussen de 108 en 135 dollar per aandeel ligt.

Bron: Belga
Gebruikersavatar
Blue-Sky
Erelid
Erelid
Berichten: 8554
Lid geworden op: 23 feb 2003, 20:42
Locatie: België - Limburg

Update: inmiddels is er een worm Zindos in omloop. Het lijkt erop dat zowel MyDoom.M als Zindos van de hand van dezelfde auteur zijn, gezien de overeenkomsten in de code. Zindos verspreidt zich met een hoog tempo via de poort die MyDoom.M geopend heeft op besmette computers. Alle pc's die met Zindos (en dus automatisch ook met MyDoom.M) besmet zijn, voeren samen een grote DoS-aanval uit op Microsoft.com. Het hangt van de verspreiding van Zindos af of de site van Microsoft in de lucht zal blijven. MyDoom.B is er eerder niet in geslaagd om Microsofts site plat te leggen, gezien de relatief lage verspreiding ervan.
lees hierover meer

Bron: Tweakers.net
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Pfff... en de ladingen besmette mails die ik binnen krijg zijn allemaal weer afskomstig van Skynet ! Hoog tijd dat men daar eens een SMTP proxy verplicht maakt.
Gebruikersavatar
Blue-Sky
Erelid
Erelid
Berichten: 8554
Lid geworden op: 23 feb 2003, 20:42
Locatie: België - Limburg

Misschien kan dit wel helpen, Skynet Mail Protection inschakelen.
(voorlopig dan, zo ben je waarschijnlijk van die grotere ladingen af)

Ik ben klant bij Skynet en heb tevens Norton Security en Antivirus draaien.

Ik krijg geen enkele besmette e-mail binnen.

Grtz,
Afbeelding
wem
Premium Member
Premium Member
Berichten: 666
Lid geworden op: 24 mei 2004, 14:48

Blue-Sky schreef:Misschien kan dit wel helpen, Skynet Mail Protection inschakelen.
(voorlopig dan, zo ben je waarschijnlijk van die grotere ladingen af)

Ik ben klant bij Skynet en heb tevens Norton Security en Antivirus draaien.

Ik krijg geen enkele besmette e-mail binnen.
r2504 is een Telenet klant (als 'k me ni vergis), dus kan geen Skynet Mail Protection ofzo aanzetten

wat r2504 bedoelt (denk ik) is dat poort 25 dichtgesmete wordt voor iedereen, en er verplicht wordt via de skynet smtp-server te gaan voor mails te versturen (die dan een beperking heeft van bv. max aantal mailtjes per minuut etc.)

Zo kan er veel sneller ingespeeld worden op nieuwe virussen, en virussen met een eigen smtp-serverke in zich worden kansloos ...
Gebruikersavatar
Sub Zero
Administrator
Administrator
Berichten: 6181
Lid geworden op: 15 sep 2002, 12:14
Locatie: Herzele
Uitgedeelde bedankjes: 74 keer
Bedankt: 121 keer

Gewoon virusscan op de SMTP-server. Dan kan de provider nooit virusmail versturen.

Cheers
Afbeelding
Gebruikersavatar
Blue-Sky
Erelid
Erelid
Berichten: 8554
Lid geworden op: 23 feb 2003, 20:42
Locatie: België - Limburg

wem schreef: r2504 is een Telenet klant (als 'k me ni vergis), dus kan geen Skynet Mail Protection ofzo aanzetten
wat r2504 bedoelt (denk ik) is dat poort 25 dichtgesmete wordt voor iedereen, en er verplicht wordt via de skynet smtp-server te gaan voor mails te versturen (die dan een beperking heeft van bv. max aantal mailtjes per minuut etc.)

Zo kan er veel sneller ingespeeld worden op nieuwe virussen, en virussen met een eigen smtp-serverke in zich worden kansloos ...
OK ik heb niet gecheckt bij welke ISP r2504 aangesloten is, zou wel een beetje te veel werk vragen.... :-)

Misschien kan Telenet het goede voorbeeld volgen en ook een Mail Protection aanbieden voor hun klanten. :roll:


Grtz,
Afbeelding
inter
Pro Member
Pro Member
Berichten: 331
Lid geworden op: 06 nov 2003, 08:50

Blue-Sky schreef: Misschien kan Telenet het goede voorbeeld volgen en ook een Mail Protection aanbieden voor hun klanten. :roll:
das nou net niet goed, ondertussen is er al veel verstuurd !
Nobody is perfect but I'm f*** close [Clawfinger]
airzimmy
Erelid
Erelid
Berichten: 1047
Lid geworden op: 19 sep 2002, 14:01

Blue-Sky schreef:
wem schreef: r2504 is een Telenet klant (als 'k me ni vergis), dus kan geen Skynet Mail Protection ofzo aanzetten
wat r2504 bedoelt (denk ik) is dat poort 25 dichtgesmete wordt voor iedereen, en er verplicht wordt via de skynet smtp-server te gaan voor mails te versturen (die dan een beperking heeft van bv. max aantal mailtjes per minuut etc.)

Zo kan er veel sneller ingespeeld worden op nieuwe virussen, en virussen met een eigen smtp-serverke in zich worden kansloos ...
OK ik heb niet gecheckt bij welke ISP r2504 aangesloten is, zou wel een beetje te veel werk vragen.... :-)

Misschien kan Telenet het goede voorbeeld volgen en ook een Mail Protection aanbieden voor hun klanten. :roll:


Grtz,
Ik meen me te herinneren dat TN altijd AV heeft op hun SMTP
Gebruikersavatar
trobbelke
Premium Member
Premium Member
Berichten: 509
Lid geworden op: 17 jul 2004, 00:46
Locatie: Zaventem
Uitgedeelde bedankjes: 2 keer
Bedankt: 1 keer

ik kan me niet meer herinneren wanneer mijn systeem de laatste keer geïnfecteerd raakte :-D

=> router en Norman Anti Virus 8)
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik heb inderdaad TN.

Het probleem zit hem echter in het feit dat de meeste virussen een eigen SMTP engine hebben die rechtstreeks naar buiten (de SMTP server van de bestemmeling met andere woorden) tracht te gaan.

Bij TN is dit niet mogelijk (en kan het virus zich dus niet verspreiden, tenzij onder eigen klanten), echter bij SkyNet ben je niet verplicht een SMTP relay te gebruiken... met als gevolg dat de verspreiding veel groter is.

Als men dan bovenop de verplichte SMTP server ook nog een virusscan zou doen bij de provider zelf is de kans dat een virus een groter verspreiding heeft enorm beperkt. Spijtig genoeg dringt dit nog steeds niet door bij providers als Skynet.
Plaats reactie

Terug naar “Telecom nieuws”