[Virus] Klez

[Orion16]

Hallo,

Ik krijg de laatste 2 dagen heel vreemde mailtjes binnen van WEED@WANADOO.NL, iemand die ik totaal niet ken, hij stuurt allerlei vreemde attachments mee in de vorm van *.SCR, natuurlijk virussen dat kan niet anders. Maar laatst stond er ook dit in:

Geef in een expresberichtengesprek nooit je wachtwoord of creditcardnummer aan anderen. Kuhnnl Altijd Online Windows XP & Windows 98 & Windows ME op een harde schijf zegt: zeg nog eena lOvE iS tHa WaY yOu MeLt My HeArT zegt: wat staat daar??? lOvE iS tHa WaY yOu MeLt My HeArT z
.
.
Enjoy the attachement

P.s: Laatst kreeg ik ook een melding toen ik weer zo'n mailtje van WEED@WANADOO.NL opende dat ik een bestand moest openen vanuit mijn Temporary Internet Files map!! Ik schrok wel ff want dat bestand stond gewoon op mijn hdd terwijl ik nooit vreemde bijlagen open!

Misschien hacker + trojan?

[Orion16]

Citaat:

eddie schreef:
Misschien hacker + trojan?

En hoe kan ik zien of ik besmet ben??? PC'tje werkt perfect verder hoor. Ik open nooit vreemde bestanden ofzo ook geen EXE's van vrienden die ze speciaal naar mij hadden gestuurd.

[Boeing 747-400]

Citaat:

Orion16 schreef:
En hoe kan ik zien of ik besmet ben???

Virusscanner?

Dat is dus een virus jah..
Want die troep krijg ik ongeveer 30x per dag
[vandaag zelfs 45]

stuur eens een mail naar virus@**********.nl

Als je een mail terug krijgt met informatie over een virus dan ben je besmet
[hier zit dus geen garantie op, ben 'm nog aan het testen]

[Copelanl)ia]

ik ga pitten

[Orion16]

Citaat:

Copelanl)ia schreef:
ik ga pitten

Ik denk niet dat ik besmet ben hoor! Ik heb multiboot (win 98 / XP) en vanuit 98 zal ik even grondig het bestandssysteem van XP onderzoeken.

Jammer dat ik geen FTP heb, anders kon ik ff een screenshot uploaden van mijn inbox, ik heb er vandaag 16 binnengehad van weed@wanadoo.nl en normaal zouden dat er 40 moeten zijn, kon ik zien, maar ik heb hem met Outlook kunnen blokkeren (Message Rules!)

Greetz

[Onze Zoon]

Ik krijg dus ook van die mail, en das echt irri

me mailbox zit er vol vam

en het kan geen virus zijn want ik heb natuurlijk de allerbeste virusscanner

[Orion16]

Citaat:

Pibbo schreef:
Ik krijg dus ook van die mail, en das echt irri

me mailbox zit er vol vam

en het kan geen virus zijn want ik heb natuurlijk de allerbeste virusscanner

Ik heb er helemaal geen
Maar ik denk er wel over om m'n harddisk NTFS te partitioneren.
Enneuh trouwens Outlook is perfect om ongewenste mail te blokkeren!

Greetz

ik heb linux, dus geen last !@

[Droyd]

start het, het is misschien een leuke screensaver


wie weet...

Niet toevallig W32.Kazmor? Sinds de 20e bekend...schijnt een trojan te zijn die via mail en KaZaA wordt verspreid. Ik heb 'm mezelf vanochtend gegeven, omdat ik een crack voor Jedi Knight II van Kazaa had getrokken en die opgestart. Vervolgens verschenen allerlei rare bestanden en werd m'n systeem retetraag (Jedi2 met 5 frames/sec op een P-IV 1.8).

Ik weet niet of je deze worm hebt, maar het kan nooit kwaad even te kijken in \\hkey_local_machine\software\windows\currentversion\run en te checken of daar een key/value Windows / C:\%Windows%\Windows.exe staat. Zoja, verwijder die dan.

[DreamLord]

Voor meer info:
http://www.xs4all.nl/nieuws/overzicht/klez-virus.html

Ik heb dat ook, krijg om de paar minuten een mailtje.
Ik geloof dat het idd dat virus is.

Ik ken dat:
Onderwerp: bloedcellen & stuff
26 Bloedcellen rode bloedcellen hebben hun kleur van hemoglobine EMBED ExcelSheet8 EF\]_ajACCJUVaJjUDEaa 1h ADdJCA2pnYxDW`pnYxxYMOGwaM\KObTWQ52NVrlgfwoB35H3kt
]44LyUor5rwIU`xixP_qK pf2L7`Dv8cq4iRS3 8`E PnSSM7ib2TUkPj5Z^cn5NPEdvjSlHP`UovnmsG_IHt`EbUY^^1
HL3d qGLpv]r3RJ55Sg\]eDvXUq Yyyjje7lM26Ix
.
.
Enjoy the attachement

Vandaag voor het eerst ontvangen via Hotmail. Mijn virusscanner kan niks vinden...

[edit]Dus niet voor het eerst. Ik checkte even mijn box met 'Ongewenste post' en die stond dus bommetjevol met dit soort mailtjes. Heb ik toch een fijn filter aangebracht [/edit]

[p-chez]

Citaat:

DreamLord schreef:
Voor meer info:
http://www.xs4all.nl/nieuws/overzicht/klez-virus.html

Ik heb dat ook, krijg om de paar minuten een mailtje.
Ik geloof dat het idd dat virus is.

Het KAN Klez (W32.Klez.H@mm of W32.Klez.E@mm) zijn, maar net zo goed ook W32.Yaha.F@mm of W32.Yaha.E@mm. Deze gaan de afgelopen dagen namelijk nogal rond, zoals ********** al zo mooi zei, soms 30 tot 50 mailtjes in je inbox

Lees over Klez.H
Lees over Klez.E
Lees over Yaha.F
of Yaha.E

Oh, een ouder virus dus al. Die Klez.gen@MM heb ik een tijdje geleden tig keer moeten verwijderen.

Dit virus is nog veel irritanter, het verplaatst zich via Kazaa als een crack, patch of keygen. Vervolgens heeft 1 of andere lamer toegang tot je PC en wordt je Kazaa Shared Folder volgepleurd met random bestanden, die dan weer andere downloaders moeten lokken om de trojan nog meer te verspreiden.

[Droomvlucht]

Das een virus.

1 van de vele op hotmail op t moment..


Al die mails met "friendschip" of "lovescr" of iets dergelijks als onderwerp of afzender trouwens ook.

En dan nog 1tje: Heeft als attachment iets met "log"
Uitkijken met deze, want die bevat best een gevaarlijk virus.

Lang leve de firewall ofzo...

[p-chez]

Je moet geen enkele mail openen met attachments van mensen die je niet kent, en zelfs niet van mensen die je kent. Scan het altijd eerst; is het een screensaver (*.scr) delete het dan direct.

Citaat:

p-chez schreef:
Je moet geen enkele mail openen met attachments van mensen die je niet kent, en zelfs niet van mensen die je kent. Scan het altijd eerst; is het een screensaver (*.scr) delete het dan direct.

Duh

[V€ÑØM]

fuck ik had dat mailtje met goldfish dus ook gekregen van iemand uit mijn klas
ik heb het ook geopend heb ik nu een probleem

[MaakUt]

als er niks gebeurde wel

[p-chez]

Citaat:

DutchECK schreef:


Duh

was voor de n00bs hm

Citaat:

p-chez schreef:


was voor de n00bs hm

ah, op die manier

[M1d0]

Laatste update: 22-06-2002 om 01.40

Er is nu ook een gratis verwijderingstool beschikbaar zie hieronder!
Het risico voor ontvangst van dit virus is toegenomen. VirusAlert heeft daarom het risico verhoogd naar "middel/medium".

Yaha.E is een mass-mailer internetworm die zich verspreidt via e-mail.
Het virus is afkomstig uit India.
Het virus wordt geactiveerd door het bijlagebestand te openen, of automatisch indien gebruikers geen Microsoft-patches tbv. "Incorrect MIME-header" hebben geinstalleerd. (zie hieronder)

Het virus installeert zich vervolgens op het systeem en verstuurt zichzelf naar alle contactpersonen die het vindt in het adressenboek van de volgende programma`s:

- Microsoft Windows (.WAB)
- MSN Messenger
- Yahoo pager list
- ICQ
- en overige adressen die het vindt in bestanden waarvan de extensie begint met .ht (bijvoorbeeld .htm of .html)

Het virus verstuurt zichzelf door onder wisselende naamstellingen van de onderwerp-aanduiding als de tekst van het bericht. Het bestand waarin het virus zit verpakt is altijd 25.619 byte groot. Het virus tracht geinstalleerde firewall en AV-software uit te schakelen. Op bepaalde systemen slaagt het virus erin om ervoor te zorgen dat bepaalde programma`s niet kunnen starten.

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:\windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

Eigenschappen van het e-mailtje:

-Onderwerp: [continue wisselend]

-Tekst van het bericht: [continue wisselend]

[Maar veel van de Yaha.E mailtjes bevatten een eerste alinea die luidt:]

This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************

Naam bijlagebestand:

Dit bestand is 25,619 byte groot.
1e deel van de naam is of/of:
[Al dan niet met FW: (forward) er voorgeplaatst]
checkfriends
dailyreport
darm
friends
friends4u
friendscr
friendsearch
frienship4u
FRUNLOG
goldfish
lbiodata
love
lovefinder
loveletter
loversgang
lovescr
mountan
New relations to check
New WordPad Document
ontslagwerf
passion
rampen in steden in de 14 eeuw
report
resume
rishtha
screensaver4u
shakingfriends
shakingfriendship
tHiZz
tHiZz iZz FroM me §t@ñ tHa EuRO
truelovers
Wachtwoorden enzo...
weeklyreport

De 1e extensie luidt of/of:

.doc
.mp3
.xls
.wav
.txt
.jpg
.gif
.dat
.bmp
.htm
.mpg
.mdb
.zip

De eindextensie is of/of:

.pif
.bat
.scr

Voorbeeld:

loveletter.txt.bat

Preventieve maatregelen:

Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder.

Herkenning van besmetting:

-Trillen/bewegen van uw Windows-desktop.
-Weergave van een aantal tekst-vensters hiervan zijn de volgende teksten bekend:
-U r so cute today #!#!
-True Love never ends
-I like U very much!!!
-U r My Best Friend

1. Bestand(en):

Aanwezigheid van het volgende bestand op uw systeem:

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:\windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

2. Registry:

In de sleutel:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command\

Wordt een verwijzing gemaakt naar "bestandsnaam, zie 1".

[Dit zorgt ervoor dat het virus iedere keer na het opstarten van Windows wordt geactiveerd.]

Verwijder instructies:
Optimaal verwijderen bestaat uit 2 stappen.

1a. Update uw antivirussoftware.

1b. Verwijder het virus met uw ge-update AV-software EN/OF via een online tool of scanner.
Online tools & scanners
U vindt een overzicht op de linkpagina, van deze site. klik hier.
zie voor de tools onder "antivirus-verwijderingstools"
zie voor de scanners onder "check online op.."

2. Pas de registry van Windows aan, zie hieronder.

Aanpassen van de registry:
Yaha.E tast de registryfunctie aan, daarom dient u eerst regedit.exe om te zetten in regedit.com
Ga naar "start" -> "uitvoeren / run"
type in: copy regedit.exe regedit.com [enter]
type in: start regedit.com [enter]

Vervolgens: Ga naar de waarde:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Je ziet dan een mappenstructuur die eindigt in de geopende map "command".
(Of kies CTRL-F en zoek op de naam "command".
(Controleer vervolgens of je in de bovenstaande mappenstructuur zit!)

Deze selecteer je.
Kies vervolgens in het rechterpaneel de waarde "standaard"
Indien u hier een verwijzing vindt naar het virusbestand (zie "preventie maatregelen : 1") dan heeft het virus deze dus aangepast en dient u onderstaande stappen uit te voeren!

Klik met rechtermuisknop op dit icoon en kies "wijzigen".
Pas vervolgens de waardegegevens aan, type in ["%1" %*].
Kies [ok].
De standaardwaarde in de commandsleutel is nu veranderd in: ""%1" %*"

Start de PC opnieuw op en voer vervolgens met uw ge-update AV-software een volledige systeemscanuit, zet hierbij ook de scan op verborgen bestanden aan. Lees evt. hiervoor de helpfunctie van uw av-pakket.

Ben -nog- niet besmet (*afkloppen*), maar dat was wel nuttige info