dat W32/Trans-B virus...on the loose!

NapO

MF veteraan
25 jun 2001
13.785
149
A.
ik wil jullie toch waarschuwen....lees het volgende stukje, wij hebben als bedrijf vanaf 24 november al 30 emails gekregen waar dit virus in zit....so be Carefull!!

de url is http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp (www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp)

beter raad ik aan om te upgraden naar internet explorer 6.0 die heeft hier geen last van.



Description
W32/Badtrans-B is an email-aware worm which uses MAPI to spread. The worm forwards itself to addresses found on the infected computer as an email message with no message text.

The worm finds addresses to send itself to by searching the address book. Additionally it searches the internet cache and \"My Documents\" folders for webpages, looking for further email addresses to which to send itself.

The email uses a known exploit in certain versions of Outlook Express 5 in order to launch the attached file automatically. Microsoft has released a patch which addresses this vulnerability. It is available at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

The worm generates a subject line by reading email on the infected machine and \"replying\" to it. For instance,

Re:

For email addresses found via webpages in the internet cache or the \"My Documents\" folder, the subject line is simply \"Re:\" with no further text.

The worm attempts to create a name for the attached infected file by randomly generating it from three separate parts. The first part is taken from the list:

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

The second from the list:

.DOC.
.MP3.
.ZIP.

(a bug inside the virus means that it never selects the \".ZIP.\" option)

and the last from:

pif
scr

For this reason the attached file can be called a large number of different names, including:

YOU_ARE_FAT!.DOC.pif
Sorry_about_yesterday.MP3.scr
IMAGES.DOC.pif

If the attached file is run, it copies itself into the Windows system directory with the filename KERNEL32.EXE and changes the registry key HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce so that the worm runs the next time Windows is started. The worm also drops a file named kdll.dll, which is the Troj/PWS-AV password-stealing Trojan horse.\'

of download hier: http://www.wkpulse.com/files/q290108.exe (www.wkpulse.com/files/q290108.exe)
 
Laatst bewerkt:
Heb \'m zelf net ook binnen gekregen. Maar mcafee hield \'m tegen. Zorg dat je ook de ingepakte bestanden laat scannen anders vindt mcafee \'m niet.
 
Hij doet het erg goed ja.
We hebben er sinds maandag al dikke 300 gekregen.
Uiteraard word het bij ons gewoon geblokt.
 
Ja kreeg er net een van Petra Dombroek (what\'s in a name?). Moet nog wel even die patch downloaden, maar ik heb versie 5.00 , niet versie 5.01. Ach ik zal IE6 wel downloaden van de week. Ik check voor ik Outlook open altijd via een ander programma de e-mail die klaar staat, zo haal ik er af en toe ook nog wel eens een virus uit.
 
wat is je email jw dan mail ik je ff...
ff kijken of ie echt wordt geblocked :) hehehe..
 
Hij doet het erg goed ja.
We hebben er sinds maandag al dikke 300 gekregen.
Uiteraard word het bij ons gewoon geblokt.

Bij mij op kantoor dus niet |( . Gelukkig zit ik altijd bij de klant op locatie en ben dus niet verantwoordelijk voor die ontzettend domme fout.
 
Alweer wat klanten van ons die hem binnenkregen, vinden we niet heel erg, kunnen ze nl. gewoon voor dokken, als wij virussen moeten verwijderen.
 
Heb hem net 2 keer binnen gekregen in Outlook (prive) en in Lotus Notes (werk) nog niet.

Werd meteen gecleaned en gedelete door McAfee.

Heb voor de zekerheid nog een keer gescanned maar McAfee heeft goed zijn werk gedaan.
 
Ik verbaas me altijd weer over het feit dat allerlei mensen die ik absoluut niet ken mijn adres hebben. Als ik dan een bedankje stuur voor het virus krijg ik bijna nooit een reactie :P Ik ben een keer uitgescholden door een systeembeheerder van SAPPI uit Maastricht (geen klant }) ). Hij wil de graag weten waar ik me druk over maakte |(
 
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...
 
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...

Hehehe daarom heb ik er nog altijd \'simplecheck\' voor hangen, want die patch moet een keer overgepatched worden door een andere patch als er weer zo\'n nieuw dom klotevirus uitkomt. Als die domme viruskindjes nou eens gewoon lekker achter de comp. vandaan komen en naar motoren gaan kijken. Of nee laten we dat maar niet doen, straks gaan ze nog motoren saboteren ;)

Ik zal die patch ff downen. Just in case.


EDIT : patch gedownload en hij zegt dat ie niet hoeft te worden geupdate. DUs ik heb gewoon versie 5.00, geen last ervan :}
 
Laatst bewerkt:
sjesus...ik heb het uitgeprobeerd...
als je die patch dus niet installed hebt, dan ben je gewoon de lul...

wat gebeurt er, op het moment dat je dat mailtje binnenkrijgt (en preview pane hebt aanstaan) oftewel dat je meteen je mailtje kan lezen) wordt DIRECT dat attachment wat eraan zit geactiveerd...

m.a.w. je hebt geen schijn van kans...je bent gewoon altijd de lul...

installeer die patch gewoon en dan ben je van dat gezeur af...en waarom, omdat als je dat mailtje binnenkrijgt meteen een pop up komt save the attachment bla bla

dan heb je dus nog kans om niet de pisang te zijn...

het is maar even dat jullie dat weten...

Ik gebruik XP met outlook 6. Dan vraagt ie eerst netjes of je het wel wil! :}
 
OE 5 vraagt het bij mij ook netjes hoor.

Thuus wordt \'ie al afgevangen door de vuurmuur / viruschecker :)
 
martijnL zullen we het is testen?
wat is je email adres....stuur ik er ff eentje...ff kijken of het echt allemaal zo goed werkt... als je durft :P

OE 5 vraagt het bij mij ook netjes hoor.

Thuus wordt \'ie al afgevangen door de vuurmuur / viruschecker :)
 
martijnL zullen we het is testen?
wat is je email adres....stuur ik er ff eentje...ff kijken of het echt allemaal zo goed werkt... als je durft :P
Hehe, het is al drie keer getest. Een keer van een vakantiepark waar ik nooit geweest ben (maar die waarschijnlijk wel een site waar ik aan meewerk heeft bezocht), één van een vaag adres bij Tiscali vandaan en een bij een oude klant die een adres heeft bij Wanadoo.

Drie keer met glans de test doorstaan :)
 
Ik werk als vrijwillger voor een stichting. Heb even de mail gecontroleerd. Vandaag 19 besmette emailtjes ontvangen! Dit heb ik nog bij geen enkel virus gehad :(
 
ik ben benieuwd of er strx ook nog iemand post die gepakt is...mmmm...
 
Kijk en huiver.....

Alles met paperclip en met subject \"Re:\" bevat het Badtrans virus |(

virus.JPG
 
Heb thuis met XP en Outlook XP nog niets binnen gehad. Luv my Norton AV!!!

Hier op het werk trouwens ook nog niets van vernomen. Zouden ze dan toch 1 ding wel goed voor elkaar hebben op het hoofdkantoor? ;)
 
Heb thuis met XP en Outlook XP nog niets binnen gehad. Luv my Norton AV!!!

Hier op het werk trouwens ook nog niets van vernomen. Zouden ze dan toch 1 ding wel goed voor elkaar hebben op het hoofdkantoor? ;)
Hij komt bij mij wel binnen maar kan geen schade aanrichten. Mcafee herkent \'m.
 
Terug
Bovenaan Onderaan