VirusAlert.nl logo
  21 augustus 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Titel:
Internetworm verstoort programma's en ontvreemdt vertrouwelijke gegevens
Rubriek:
Software virussen
Datum:
30 september 2002
Bron:
(c) 2002, VirusAlert
Bericht:

In Maleisië is een nieuw internet-wormvirus ontwikkeld dat zich razendsnel over de wereld verspreidt via e-mail. Het virus met de naam Bugbear verstuurt ongevraagd gegevens uit systemen, verstoort bestaande bestanden en heeft een z.g. backdoor component, waarmee vertrouwelijke gegevens als creditcard-details en wachtwoorden voor hackers toegankelijk zijn. Bugbear maakt gebruik van het MIME-exploit in Windows.

Bij systemen die niet regelmatige een update hebben ondergaan, activeert het zichzelf daardoor bij binnenkomst in het mailsysteem.
De kwalificatie die het virus volgens de VirusAlert schaal krijgt, is gevaarlijk. Het aantal waarnemingen van het virus, vertoont grote gelijkenis met die van andere grote virusuitbraken en bedraagt op dit moment al meer dan drieduizend

Herkenning: bestand altijd 50.688 bytes groot
Herkenning is lastig. De enige stabiele en herkenbare factor is de omvang van het bestand dat altijd 50.688 bytes groot is.
Het onderwerp van de mail is wisselt, de tekst is wisselt en de naam van het bestand wisselt.
Gedetailleerde gegevens over het virus vindt u op www.virusalert.nl

Reactie plaatsen, log dan hier in
Link:
Details over het Bugbear-virus by VirusAlert.nl
Advertentie:


 Reacties op dit bericht:
reactie door op 30 september 2002 om 23:43.

Volgens mij echt een high-outbreak! Heb het al 2 x ontvangen uit het buitenland. Thanx voor de mailing!

reactie door op 1 oktober 2002 om 18:38.

Gelukkig heb ik dit virus niet ontvangen. Nog niet. Bedankt voor de snelle mailing

Fulco

reactie door op 2 oktober 2002 om 10:38.

De eerste klant van mij is getroffen op 1-10 op een PC met Windows 2000.

In map opstarten het bestand WIS.EXE
en in de system-map een bestand DHTM.EXE en een DLL RFVQKUF.DLL

Met Sophos verwijderd.


reactie door op 3 oktober 2002 om 10:36.

Wordt het nu eindelijk niet eens tijd dat er goede, gratis antivirussoftware komt waar iedere paticulier gebruik van kan maken. In het verleden was er van diverse software systemen antivirussoftware te krijgen. Voor iedere aangifte van een maker van virusprogramma werd er een bonus uitgeloofd en de programmatuur werd gemaak en gesponsserd door grote bedrijven. Misschien dat we dan eens eindelijk van die malloten die virusprogamma's maken afkomen
MIKE.

reactie door op 5 oktober 2002 om 20:53.

Ik ben gelukkig ook niet getroffen door die virus en ik moet er niet aandenken......krijg nu al nachtmerrie's van

reactie door op 7 oktober 2002 om 14:16.

Ik doe het (virus)beheer voor 1500 systemen, ik raad systeembeheerders aan om *.vbs,*.pif,*.scr,*.com,*.bat,*.reg,*.js,*.exe extenties standaard te blocken bij de gateway. Ook virussen die nog niet ontdekt zijn door antivirusmagnaten hou je op deze manier buiten de deur. Ook is POP-mail een grote verspreider van virussen dus als er een Exchange omgeving aanwezig is raad ik aan daar door netwerkbeheer poort 110 te blocken via de firewall. Aan www, ftp, webmail is iets moeilijker te ontkomen behalve als je een goede VirusWall hebt. Voor de gewone gebruikers thuis; Open nooit mail van iemand die je niet kent, houdt je windows (www.windowsupdate.com) en je virusdefinities up-to-date. Open van bekenden ook geen attachments (bijlagen) die bestaan uit de bovenstaande extensies. Als ze je zoiets opsturen wees er dan zeker van dat dit virus vrij is door het eerst op te slaan op je harddisk dan te scannen en dan pas te openen. Dit omdat meeste virusscanners niet al te goed kunnen scannen, cleanen, deleten in een mailbox. Geloof nooit virusmeldingen die niet van een antivirus bedrijf komen. Als er dus mail komt van vrienden/kennissen van het internet negeer deze gewoon of kijk even op deze site of dit een echt virus is.

Reacties zijn altijd welkom; TheFox@akn.nl


reactie door op 7 oktober 2002 om 16:27.

Bij de details van het virus onbrak een onderwerp. Wij hebben mailtjes gekregen met het onderwerp "sites", in het mailtje staan diverse sites en deze tekst:

heren,

ik heb geprobeerd sites van onze concurrenten te vinden. Op een paar van de
bovenstaande sites staan wel veel bureaus, maar dat zijn of
architectenbureaus of grote bureau met zo'n 50 man/vrouw in dienst. Ik he

De bijlage heet bij ons brief.pif.
Misschien hebben jullie er wat aan.

Groetjes...


reactie door op 13 oktober 2002 om 13:00.

Ik heb het virus deze week wel al een x ondvangen en 4 klanten van mij.
Ik merk alleen dat mensen heellemaal in de stres raken omdat het in de krant heb gestaan, kunnen de kranten niet gewoon erbij zetten dat als je goede antivirus software heb er nix aan de hand is

reactie door op 18 oktober 2002 om 18:40.

Op mijn school is sinds 7 oktober het virus 4x binnengekomen. Het kan zich niet over het netwerk verspreiden, omdat de realtime file-protection van Norton Antivirus op onze server prima werk verricht en alles blockt resp. afvangt. Van de 35 systemen zijn er echter 16 nog van oudere datum. Als ik daar dezelfde protectiesoort opzet, is de software op die machines niet meer vooruit te branden. Er zijn nogal wat collega's die e-mailen, met alle risico's vandien. Eigenlijk weet ik niet goed hoe ik dit probleem bevredigend moet tackelen, behalve dan een e-mailverbod. Tips?

reactie door op 18 oktober 2002 om 18:42.

voor de volledigheid: de Virus Removaltool van de website van Symantec heeft perfect gewerkt! Op WIN2000/NT/XP moet je eerst wel in veilige modus starten, zoals ook in de bijgevoegde informatie valt te lezen.

reactie door op 22 oktober 2002 om 09:14.

Even als reactie op I. de Block;
Ook ik heb het bugbearvirus mogen ontvangen. Maar (cliché) ook ik heb gelukkig Norton AV op mijn pc geinstalleerd, en die heeft ook bij mij keurig werk verricht. (Norton mag zo langzamerhand Virusalert wel gaan sponsoren voor al die goede reclame hier op de site :)))
Enfin ook bij mij stond er een dergelijke boodschap in de mail, het was (ogenschijnlijk) afkomstig van een of ander bedrijf die ik overigens niet ken. Mijn vermoeden is dat het virus bepaalde mails doorstuurt vanuit het mailprogramma van anderen. Ik weet niet meer precies wat er stond; maar het leek verdacht veel op hetgeen er bij dhr/mevr de Block in de mail stond. Ook iets wat niet te vinden was, en ook de mail was afgekapt (incomplete). Dus misschien is dat een herkenning van het virus?? Overigens zie je ook hier steeds weer die dubbele extensie.

Groetjes...

reactie door op 23 oktober 2002 om 11:09.

Reactie op Carmen op 22 oktober 2002 om 09:14 over het incompleet zijn van de emailtekst.
Dit is inderdaad steeds het geval bij BugBear (en mogelijk ook bij andere worms). Kennelijk pakt hij een vast aantal bytes uit een document. Meestal erg weinig want als het een zakelijke brief is, komt hij niet veel verder dan de aanhef..
Overigens heeft terugsturen weinig zin omdat het antwoordadres meestal in elkaar geknutseld is met een bestaande account van iemand en de provider van iemand anders.
De vermelde afzender is ook niet de echte afzender; dat is een derde persoon met jouw adres en dat van de vermelde afzender in het adresboek van Outlook of van Windows (*.wab).
[Adresboek] (van persoon X)
...
persoon1@provider1
....
persoon2@provider2
...
persoon3@provider3
....

Er wordt dan vanaf de PC van persoon X (de eigenaar van het adresboek) een email vestuurt naar persoon1@provider1. De onderwerp regel wordt verzonnen of geplukt uit een bestaand ingekomen email op de PC van persoon X met de vermelding RE: of FW: ervoor. Als afzender wordt dan vermeld persoon2@provider3.

Als je dan op reply drukt op persoon 2 te waarschuwen, komt het bericht per omgaande terug omdat persoon2@provider3 (meestal) niet bestaat.

Ik gooi ze weg. Als ik weet wie 'persoon2' als account heeft zal ik deze waarschuwen. In feite zou je persoon X moeten waarschuwen, maar ja zoek maar eens uit bij wie je samen met persoon 2 in het adresboek staat...

Kees




 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS