Sober-virus verspreidt zich langzaam maar zeker !

[Blue-Sky]

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" border="0" align="left"> Een nieuw virus, 'Sober' genaamd, doet zijn ronde via e-mail. Voorlopig richtte de worm relatief weinig schade aan. "W32/Sober@MM', kortweg Sober, zou vorige zondag opgedoken zijn in Duitsland. Het wormvirus verspreidt zich via een attachment bij e-mails die geschreven zijn in het Engels of in het Duits. Wanneer de ontvanger het attachment opent, stuurt het virus zichzelf via zijn eigen SMTP motor door naar de e-mailadressen op de computer van het slachtoffer. De gevonden adressen worden opgeslagen in het bestand %sysdir%\MACROMED\HELP\MEDIA.DLL.
Om de verwijdering van het virusprogrammaatje te verhinderen, installeert de worm twee kopieën van zichzelf op de getroffen computer. Als de computergebruiker een van die kopieën verwijdert, dan start de tweede kopie op."
lees hierover meer

bron: VUNet-Datanews

[meon]

Goed nieuws voor diegenen die hun emailadressen hebben draaien bij dommel, de virusscanner die op de mailserver draait herkent het virus al een paar dagen, m'n zus kreeg immers deze mail van abuse:

Onderwerp: a virus has been found in your email!

******V I R U S A L E R T******

our viruschecker found the
I-Worm.Sober\r
virus in your email to the following recipients:
-> [email protected]

we stopped delivery of this email! please check your system for viruses, or ask your system administrator to do so.

Ik vind het gerusstellend te weten dat de definities erg snel worden bijgewerkt daar.
Verder stond in deze alert nog de headers van de betreffende mail.

[Weetgraag]

Heb hem ook al binnengehad en direkt herkent door NIS,
virus definities van 24/10. Maar wel raar heb moeten herstarten want Norten had emailscan afgezet zonder dat i iets gedaan had.
Ik heb dat met deBlaster ook gehad, heb in de vooravond nog een Fullscan gedaan en niks gevonden.

Greetz
Weetgraag

edit: ik kreeg deze juist binnen met dat virus in
------------------------------------------------------------
I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing.
Read the document, before another or my mailbox explode!

Yours sincerely:
[email protected]
--------------------------------------------------
dit meld Norton me
-----------------------------------------------------
Norton AntiVirus heeft de bijlage: anti_virusdoc.pif verwijderd.
De bijlage was geïnfecteerd met het virus [email protected].
----------------------------------------------------------------------

[Blue-Sky]

Het was dus inderdaad nuttig deze topic te plaatsen, nog eens het bewijs geleverd dat men de Antivirus software regelmatig moet updaten.
Users welke nu nog op Internet gaan zonder deze antivirus beveiliging hebben veel kans geïnfecteerd te worden en moeten dus dubbel opletten geen verdachte attachements te openen.

Let ook op een deel tekst hieronder in blauw > uit de link bovenaan deze topic lees hierover meer.
Om de verwijdering van het virusprogrammaatje te verhinderen, installeert de worm twee kopieën van zichzelf op de getroffen computer.
Als de computergebruiker een van die kopieën verwijdert, dan start de tweede kopie op.

Ik ben wel benieuwd of Weetgraag daar iets van merkt of die tweede kopie ook nog actief kan worden? (normaal niet)

[Weetgraag]

Gans de boel nog een keer gescant en niks gevonden,
zelfs met de zoekmachine laten zoeken naar de bekende namen waaronder het binnenkomt niks.
Dus ik veronderstel dat Norton zijn werk gedaan heeft.

Greetz
Weetgraag

[FlyingDoc]

De virussen worden met de dag smeriger... ik krijg per dag een 100tal mails binnen met virussen of afkomstig van virussen.. Het wordt beetje annoying...

Is mij vandaag bevestigd dat op sky ook a lot of probs zijn tegenwoordig, vertragingen van een paar dagen zijn niet zo uitzonderlijk meer

Greetz,

-fly.

[ubremoved_539]

Traag ... ondertussen is het op volle gang

Krijg het laatste uur gemiddeld een om de bijf minuten binnen... is toch wel stevig in vergelijking met andere virussen.

[The Oddity]

Laat het ons on-topic houden.. bij de virusen.. de sky mail servers.. dat staat al in een andere topic...

Maar het is blijkbaar gisterenavond een vruchtbare dag geweest op het internet voor de virusjes:
- 5 mails via skynet-adres: tegengehouden door Mail Protection
- 2 Mails (de allereerste) via Userbase: 1 tegengehouden door server andere door NAV.

Eens uitzoeken wat hier loos is.

[meon]

Ondertussen is het wel duidelijk dat de mailserver van de LUC het zwaar te verduren heeft, een vriendin kreeg een 14-tal mailtjes met de melding dat de bijlagen werden verwijderd (wegens bovenstaande virus).

[Grunger`]

mja , ik heb het ook efkes binnegehad vandaag.
kwam via een skynet adres binnen met attachement "screen_doc.zlq"
Met zever in de mail dat Kasperky of zo dat had ontdekt,...bla bla bla

oh well, norton took care with it

[Dealer.]

Krijg ier ook altijd dazelfde mailke binnen van da wormpje. Zelfs spam waar instaat dat het spam is van Norton Antivirus waarin ze zeggen dat je het bijgeleverde bestand -> (removal-tool.exe) moet openen om het virus te verwijderen maar dat is het virus zelf !!

NIET doen dus!!!

En ik krijg die mails van mensen die ik nog nooit gezien heb of gekend, dan vraag je jezelf toch af hoe je e-mail op hun pc terecht komt O_o...

[The Oddity]

Hoe jouw email bij die anderen komt?
Door bvb. mails te forwarden via TO: ipv BCC: dat wordt doorgestuurd en verder doorgestuurd EN verder toegestuurd EN ... en op het einde van een rit zit er daar iemand met 100en emailadresses. Tegen die stap kent de ontvanger u niet en gij de ontvanger niet. En als er zo ene in die ketting infected raakt: succes verzekerd.
maw: véél mensen moeten leren mailen: forwards or mass mailing: bcc!

[Sensei Zeon]

maar als j eens goed kijkt in outlook XP:

bcc staat standaard verborgen, ik heb 10 minuten moeten zoeken om het te vinden, de help van outlook kent bcc niet, google geeft verschillende onbruikbare hits, uiteindelijk heb ik het dan toch gevonden.

voor degenen die zoeken hoe:

bij options in het mail bericht op het pijltje klikken, en dan bcc aanvinken:

[meon]

Als je gewoon op "Aan" klikt krijg je zowieso de 3 velden (aan, CC en BCC) te zien. Die screenshot die jij doet vind ik niet, de optie om het veld BCC te zien zit onder "Beeld".

[Blue-Sky]

Hoe virus W32.Sober.A@mm of Odin verwijderen vind je > hier
Onderaan die pagina vind je hoe het moet in save modus. (verschillend naargelang welke versie van Windows)
Zie op die pagina onder "Opgelet"

[Waakvlam]

Wel iets vreemd voor met Norton. Volledige scan gedaan met NAV (vanop internet), zelfs de removal tool van symantec laten draaien en allemaal negatief. Soms kom ik toch nog een rooi kadertje van NAV tegen met de melding dat Sober ergens in m'n temp directory huist. Maar nooit een kadertje met 'File not complete'. Hoe zit dat dan, want m'n buren hebben er ook last van en ik kan hen niet verder helpen! Systeem is win2k en nav2002.

[airzimmy]

Je krijgt toevallig de error dat een file in je temp directory genaamd nav?.tmp het sober virus bevat? (? is een getal). Dan vermoed ik dat het een temp file van norton zelf is als hij de mail binnenhaalt, zoiets heb ik nog al ergens opgemerkt. Je kan allesinds je temp directory manueel leegmaken, als alle programma's gesloten zijn natuurlijk.