dat W32/Trans-B virus...on the loose!

NapO

MF veteraan
25 jun 2001
13.634
1
44
A.
#1
ik wil jullie toch waarschuwen....lees het volgende stukje, wij hebben als bedrijf vanaf 24 november al 30 emails gekregen waar dit virus in zit....so be Carefull!!

de url is www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp

beter raad ik aan om te upgraden naar internet explorer 6.0 die heeft hier geen last van.



Description
W32/Badtrans-B is an email-aware worm which uses MAPI to spread. The worm forwards itself to addresses found on the infected computer as an email message with no message text.

The worm finds addresses to send itself to by searching the address book. Additionally it searches the internet cache and \"My Documents\" folders for webpages, looking for further email addresses to which to send itself.

The email uses a known exploit in certain versions of Outlook Express 5 in order to launch the attached file automatically. Microsoft has released a patch which addresses this vulnerability. It is available at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

The worm generates a subject line by reading email on the infected machine and \"replying\" to it. For instance,

Re:

For email addresses found via webpages in the internet cache or the \"My Documents\" folder, the subject line is simply \"Re:\" with no further text.

The worm attempts to create a name for the attached infected file by randomly generating it from three separate parts. The first part is taken from the list:

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

The second from the list:

.DOC.
.MP3.
.ZIP.

(a bug inside the virus means that it never selects the \".ZIP.\" option)

and the last from:

pif
scr

For this reason the attached file can be called a large number of different names, including:

YOU_ARE_FAT!.DOC.pif
Sorry_about_yesterday.MP3.scr
IMAGES.DOC.pif

If the attached file is run, it copies itself into the Windows system directory with the filename KERNEL32.EXE and changes the registry key HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce so that the worm runs the next time Windows is started. The worm also drops a file named kdll.dll, which is the Troj/PWS-AV password-stealing Trojan horse.\'

of download hier: www.wkpulse.com/files/q290108.exe
 
Laatst bewerkt:

Monomuis

MF veteraan
Donateur
11 jul 2001
21.202
54
38
Nederland
www.startersmotor.nl
#4
Ja kreeg er net een van Petra Dombroek (what\'s in a name?). Moet nog wel even die patch downloaden, maar ik heb versie 5.00 , niet versie 5.01. Ach ik zal IE6 wel downloaden van de week. Ik check voor ik Outlook open altijd via een ander programma de e-mail die klaar staat, zo haal ik er af en toe ook nog wel eens een virus uit.
 

Revolution

MF veteraan
2 jun 2001
16.917
0
#8
Alweer wat klanten van ons die hem binnenkregen, vinden we niet heel erg, kunnen ze nl. gewoon voor dokken, als wij virussen moeten verwijderen.
 

JoKing

MF veteraan
8 jul 2001
1.995
0
40
Putten
#9
Heb hem net 2 keer binnen gekregen in Outlook (prive) en in Lotus Notes (werk) nog niet.

Werd meteen gecleaned en gedelete door McAfee.

Heb voor de zekerheid nog een keer gescanned maar McAfee heeft goed zijn werk gedaan.
 

zut

MF veteraan
11 jun 2001
2.160
0
Achterhoek
Bezoek Site
#10
Ik verbaas me altijd weer over het feit dat allerlei mensen die ik absoluut niet ken mijn adres hebben. Als ik dan een bedankje stuur voor het virus krijg ik bijna nooit een reactie :P Ik ben een keer uitgescholden door een systeembeheerder van SAPPI uit Maastricht (geen klant }) ). Hij wil de graag weten waar ik me druk over maakte |(
 

NapO

MF veteraan
25 jun 2001
13.634
1
44
A.
#11
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...
 

Monomuis

MF veteraan
Donateur
11 jul 2001
21.202
54
38
Nederland
www.startersmotor.nl
#12
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...
Hehehe daarom heb ik er nog altijd \'simplecheck\' voor hangen, want die patch moet een keer overgepatched worden door een andere patch als er weer zo\'n nieuw dom klotevirus uitkomt. Als die domme viruskindjes nou eens gewoon lekker achter de comp. vandaan komen en naar motoren gaan kijken. Of nee laten we dat maar niet doen, straks gaan ze nog motoren saboteren ;)

Ik zal die patch ff downen. Just in case.


EDIT : patch gedownload en hij zegt dat ie niet hoeft te worden geupdate. DUs ik heb gewoon versie 5.00, geen last ervan :}
 
Laatst bewerkt:

zut

MF veteraan
11 jun 2001
2.160
0
Achterhoek
Bezoek Site
#13
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...
Ik gebruik XP met outlook 6. Dan vraagt ie eerst netjes of je het wel wil! :}
 

NapO

MF veteraan
25 jun 2001
13.634
1
44
A.
#15
martijnL zullen we het is testen?
wat is je email adres....stuur ik er ff eentje...ff kijken of het echt allemaal zo goed werkt... als je durft :P

OE 5 vraagt het bij mij ook netjes hoor.

Thuus wordt \'ie al afgevangen door de vuurmuur / viruschecker :)
 

MartijnL

MF veteraan
22 mei 2001
1.301
0
www.gamersnet.nl
#16
martijnL zullen we het is testen?
wat is je email adres....stuur ik er ff eentje...ff kijken of het echt allemaal zo goed werkt... als je durft :P
Hehe, het is al drie keer getest. Een keer van een vakantiepark waar ik nooit geweest ben (maar die waarschijnlijk wel een site waar ik aan meewerk heeft bezocht), één van een vaag adres bij Tiscali vandaan en een bij een oude klant die een adres heeft bij Wanadoo.

Drie keer met glans de test doorstaan :)
 

Skoezie

MF veteraan
21 mei 2001
7.367
0
44
Assen
#24
Heb thuis met XP en Outlook XP nog niets binnen gehad. Luv my Norton AV!!!

Hier op het werk trouwens ook nog niets van vernomen. Zouden ze dan toch 1 ding wel goed voor elkaar hebben op het hoofdkantoor? ;)