Ik zag op het journaal (ja ja ik kijk het journaal) dat er weer een virus rondgaat, ik heb effe gekeken op www.virusalert.nl
Want we moet straks niet hebben dat heel pf met een virus opgezadeld zit
Het onderstaande ter info voor jullie allemaal
Naam:
W32.Bugbear-A (Tanatos)
Type:
Overig
Besturing:
Microsoft Windows
Datum:
30 september 2002
Risico:
Hoog
Bron:
(c) 2002, VirusAlert
Aliassen:
Tanat
Tanatos
W32/Bugbear.A@mm
W32/Tanat
W32.Tanatos
Aanduiding: ZEER GEVAARLIJK
Eigenschappen:
[laatste update: 03-10-2002 13.39]
Bugbear is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)
Toevoeging 02-10-2002 20.59
Opwaardering van risico van medium naar high-risk, inclusief factor logistiek. De factor innovatie is opgehoogd van 41 naar 55.
Vast komen te staan is dat BugBear in staat is om op basis van verschillende e-mailadresnamen en -domeinen weer nieuwe adressen te maken. Vervolgens stuurt het zich hier naar toe.
voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.
Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.
Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
(In de header van het mailbericht kan de werkelijke afzender worden nagegaan. Helaas kijken veel van dergelijke scanners hier niet naar.)
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in "Postvak IN" & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.
Eigenschappen van het e-mailbericht:
- Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]
- Tekst van het bericht: [idem]
- Naam bijlagebestand: [wisselend, dit bestand is wel altijd 50.688 bytes groot]
Update:ad Onderwerp:
Bekend is inmiddels het gebruik van ondermeer de volgende onderwerpsaanduidingen:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Alert is verzonden via VABP.nl, klik hier voor meer informatie.
Preventieve maatregelen:
- Installeer updates van uw antivirussoftware.
Alle business partners van VirusAlert hebben inmiddels updates beschikbaar,
klik hier.
Herkenning van besmetting:
Bestanden
1) Het virus plaatst zich in een vierletterige bestandsnaam, met extensie .EXE in de standaard Windows-sytem directorie. (Meestal C:\Windows\System). De vierletterige bestandsnaam is volstrekt willekeurig van samenstelling.
2) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.)
3) Het plaatst een 5-tal, .DLL bestanden op uw systeem (Deze bevatten de backdoor-code) Deze worden allen geplaatst in de standaard Windows\System directorie. (Meestal C:\Windows\System)
De virusschrijver krijgt vervolgens toegang tot het systeem via TCP poort 36794.
-iccyoa.dll
-lgguqaa.dll
-roomuaa.dll
-okkqsa.dat
-ussiwa.dat
Registry
Verwijzing naar het bestand genoemd onder punt 1).
Deze registry-sleutel luidt:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Overige
Het virus de-activeert lopende processen van de volgende executables:
(Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.)
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
- Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
Verwijder instructies:
- Verwijder het virus met de gratis online scanners van Symantec, zie link hieronder.
OF
Gebruik de gratis tool van Symantec voor het verwijderen van BugBear. Download het (.exe) bestand, klik hier. Sla dit bestand op op uw systeem. En start het programma. Volg de instructies op het scherm.
OF
Gebruik de gratis tool van Bitdefender voor het verwijderen van BugBear. Download het (.exe) bestand, klik hier. Sla dit bestand op op uw systeem. En start het programma. Volg de instructies op het scherm. Aan het einde van de scan wordt gevraagd om uw e-adres, wenst u dit niet af te geven. Druk dan tegelijk op [Alt - F4] Dit venster wordt dan afgesloten.
- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.
MIME-exploit
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder
Want we moet straks niet hebben dat heel pf met een virus opgezadeld zit
Het onderstaande ter info voor jullie allemaal
Naam:
W32.Bugbear-A (Tanatos)
Type:
Overig
Besturing:
Microsoft Windows
Datum:
30 september 2002
Risico:
Hoog
Bron:
(c) 2002, VirusAlert
Aliassen:
Tanat
Tanatos
W32/Bugbear.A@mm
W32/Tanat
W32.Tanatos
Aanduiding: ZEER GEVAARLIJK
Eigenschappen:
[laatste update: 03-10-2002 13.39]
Bugbear is een mass-mailer internetworm die zich onder sterk wisselende eigenschappen kan verspreiden. Tevens bezit het een backdoor component waardoor de virusschrijver c.q. hacker in staat is om creditcard-details en wachtwoorden opgeslagen op het systeem te ontvreemden.
Het maakt voor de verspreiding gebruik van e-mail. Doordat het virus gebruik maakt van het MIME-exploit in Outlook (Zie hieronder) kan het bij niet gepatchte systemen automatisch worden geactiveerd. (In andere gevallen kan het ge-activeerd worden door het bijlagebestand handmatig te openen.)
Toevoeging 02-10-2002 20.59
Opwaardering van risico van medium naar high-risk, inclusief factor logistiek. De factor innovatie is opgehoogd van 41 naar 55.
Vast komen te staan is dat BugBear in staat is om op basis van verschillende e-mailadresnamen en -domeinen weer nieuwe adressen te maken. Vervolgens stuurt het zich hier naar toe.
voorbeeld
Op het getroffen syteem is aanwezig het emailadres naam@mijnbedrijf.nl & roep@organisatie.nl
Het maakt dan een samenstel van deze twee adressen, bijvoorbeeld naam@organisatie.nl waar het zich vervolgens heen stuurt.
Nu hoeft het samengestelde adres niet werkelijk actief te zijn. Maar het zorgt sowieso voor grote overlast van mailservers.
Payload/Schade
* Spoofie-eigenschap: Het emailbericht wordt voorzien van een ander e-mailadres (FROM) dan die van het werkelijke (besmette) afzendadres/systeem.
Dit leidt tot veel verwarring: voorbeeldHet virus wordt vanaf systeem B verzonden, met afzendadres van A, naar bijv. een bedrijf, waar de mail automatisch wordt gescand. Deze mailscanner antwoord automatisch op het bericht in de gedachte A op de hoogte te brengen van de besmetting. Terwijl A niet de werkelijke zender is maar B!
(In de header van het mailbericht kan de werkelijke afzender worden nagegaan. Helaas kijken veel van dergelijke scanners hier niet naar.)
* Uitschakeling van bepaalde security- c.q. antivirussoftware.
* Installatie van een backdoor component. (Toegang voor virusschrijver tot uw systeem.)
* Verspreiding op tamelijk intelligente wijze, waardoor herkenning lastig is.
* Installatie van een aantal bestanden op uw systeem, inclusief een verwijzing vanuit de registry.
* Doorzending van het virusbestand richting alle aanwezig berichten in "Postvak IN" & verzending naar andere in bestanden opgeslagen e-mailadressen.
* Het in staat om e-mailadressen wisselend samen te stellen o.b.v adresnamen en -domeinen. (zie voorbeeld hierboven)
* Het geeft lokale printers, evt. gedeeld binnen een netwerk, tal van vreemde opdrachten. Waaronder ook het printen van de inhoud van de virusbestanden.
Eigenschappen van het e-mailbericht:
- Onderwerp: [wisselend, soms kiest het een onderwerp van in Outlook aanwezige berichten]
- Tekst van het bericht: [idem]
- Naam bijlagebestand: [wisselend, dit bestand is wel altijd 50.688 bytes groot]
Update:ad Onderwerp:
Bekend is inmiddels het gebruik van ondermeer de volgende onderwerpsaanduidingen:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Alert is verzonden via VABP.nl, klik hier voor meer informatie.
Preventieve maatregelen:
- Installeer updates van uw antivirussoftware.
Alle business partners van VirusAlert hebben inmiddels updates beschikbaar,
klik hier.
Herkenning van besmetting:
Bestanden
1) Het virus plaatst zich in een vierletterige bestandsnaam, met extensie .EXE in de standaard Windows-sytem directorie. (Meestal C:\Windows\System). De vierletterige bestandsnaam is volstrekt willekeurig van samenstelling.
2) Een copie van het bestand genoemd onder punt 1 wordt geplaatst in de standaard Windows-opstartdirectorie. (Waardoor het virus iedere keer na het starten van windows automatisch wordt geactiveerd.)
3) Het plaatst een 5-tal, .DLL bestanden op uw systeem (Deze bevatten de backdoor-code) Deze worden allen geplaatst in de standaard Windows\System directorie. (Meestal C:\Windows\System)
De virusschrijver krijgt vervolgens toegang tot het systeem via TCP poort 36794.
-iccyoa.dll
-lgguqaa.dll
-roomuaa.dll
-okkqsa.dat
-ussiwa.dat
Registry
Verwijzing naar het bestand genoemd onder punt 1).
Deze registry-sleutel luidt:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Overige
Het virus de-activeert lopende processen van de volgende executables:
(Dit zijn de programmabestanden van o.a. AV-software. Het kijkt wel actief zijn en deze worden afgesloten. Daarmee schakelt het dus AV-software uit.)
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JEDI.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
- Vervolgens zendt het virus zich door naar alle berichten (als reply) in het "Postvak IN". Ook zoekt het naar e-mailadressen opgeslagen in bestanden met de extensie; .DBX, .EML, .NCH, .MMF & TBB waarnaar het zich ook doorstuurt.
Verwijder instructies:
- Verwijder het virus met de gratis online scanners van Symantec, zie link hieronder.
OF
Gebruik de gratis tool van Symantec voor het verwijderen van BugBear. Download het (.exe) bestand, klik hier. Sla dit bestand op op uw systeem. En start het programma. Volg de instructies op het scherm.
OF
Gebruik de gratis tool van Bitdefender voor het verwijderen van BugBear. Download het (.exe) bestand, klik hier. Sla dit bestand op op uw systeem. En start het programma. Volg de instructies op het scherm. Aan het einde van de scan wordt gevraagd om uw e-adres, wenst u dit niet af te geven. Druk dan tegelijk op [Alt - F4] Dit venster wordt dan afgesloten.
- Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
De registry kunt u bekijken door te kiezen voor [start] -> [uitvoeren] -> regedit {enter}.
MIME-exploit
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder
laatste aanpassing
