Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Weer een nieuwe I Love You variant

Na een tijdje rust is er weer een nieuwe versie van het I Love You virus ontdekt. De worm, Loveletter.AD of VBS/Contract bestaat zoals gewoonlijk uit Visual Basic Scipt code en gebruikt het Outlook adressenboek om zichzelf door te sturen via het attachment resume.txt.vbs. Een beetje origineler had wel gemogen. Dan wordt er een programma gedownload dat passwords steelt (Hooker, hcheck.exe) en deze doorstuurt. Een aantal computers van een Zwitserse bank zijn al geïnfecteerd:

A new strain of the "I Love You" computer virus is targeting customers of a Swiss bank, stealing their account information and sending it off to the virus writer, U.S. computer security companies said today.

This new strain replicates itself using Microsoft's Outlook email program and includes a resume. A previous "Love Letter" version had a resume as well, of a Filipino student. The new resume is in German and represents a job applicant in Zurich, Switzerland.

Experts got the first infection reports this morning, and all said that the virus was not yet widespread. Because of its narrow focus, experts believe the virus won't spread very far but that it is a "proof of concept" for future viruses targeting customers of any bank.

The virus downloads the password-stealer, called "Hooker," from one of several computers on the Internet. A Kaspersky Labs spokesman, Denis Zenkin, said that among the possible download sites are computers at Michigan State University and the National Institutes of Health. Kaspersky Labs believes that the hacker placed the password-stealer there, in an area exposed to the public, for future access.

Met dank aan irrelevant voor het insturen van de link. De site van Symantec geeft ook nog wat informatie.

Vorig nieuwsartikel Volgend nieuwsartikel

Door

Feedback • 17-08-2000 13:47 56

56 Linkedin Google+

Bron: CNET

Lees meer

Nieuw variant op LoveLetter-virus bereikt Nederland 9 mei 2001
Bedrijfsnieuws

Reacties (56)

-Moderatie-faq
-156052+139+27+33Ongemodereerd0
Wijzig sortering
+3 craze
17 augustus 2000 14:39
Maak gewoon ff een loginscript waar de betreffende extensies met bijvoorbeeld notepad worden geassocieerd. Hoef je je ook nergens meer druk om te maken, willen bepaalde mensen het toch kunnen gebruiken roepen ze hun favoriete scriptingengine toch gewoon even met de hand aan?
+1 RRX
@craze17 augustus 2000 14:49
Het enige wat ik daar op kan zeggen is, dat ik daar nog niet eerder aan gedacht heb, briljant idee (hoe doe je dat :) :), een loginscript maken)
+1 craze
@RRX17 augustus 2000 15:46
Mja, je kan dat op een aantal manieren doen, in NT en Win2k (denk aan een client/server omgeving) geef je dat gewoon op in de gebruiker z'n profiel. Je maakt dan even een batchfiletje aan die je bijvoorbeeld in de "WINNT\system32\Repl\Import\Scripts" directory gooit. In de resourcekit van NT zit een handig tooltje dat "Associate.exe" heet.

Nha weetje wat, ik laat gewoon ff een stukje van mijn login batchfile zien:
net use k: /delete
net use k: \\servernaam\hierstaatexe
k:\Associate.exe .vb NotePad.exe /q /f
k:\Associate.exe .vbs NotePad.exe /q /f
k:\Associate.exe .vbe NotePad.exe /q /f
net use k: /delete
Zit je niet in een client/server omgeving gooi je het bijvoorbeeld in de startup folder van de gebruiker. Ik hoop dat dit een beetje helpt :)
+1 THF
@craze17 augustus 2000 15:25
Je kunt de script tool ook uitzetten!
Gewoon door bij internetopties dit uit te zetten. Das dan al geen gekloot meer met loginscripts :)
+1 craze
@THF17 augustus 2000 15:33
Ja dat kan opzich wel, maar als je dat bij 30 gebruikers ofzo moet doen, ben je toch wel even bezig. Daar naast kun je er niks aan doen als ze het zelf weer aanzetten. De loginscript wordt iederekeer als ze inloggen weer uitgevoerd, dus de kans dat ze het iederekeer ook weer aan gaan zetten is nogal klein.
+3 nitraat
17 augustus 2000 14:32
Ik snap niet dat er mensen zijn die dit soort akties nog goedkeuren ook. Laat dan zelf je verstand eens testen. Ik sla je toch niet op je bek met de redenatie had je er maar niet moeten lopen..... Dit soort mensen moet gewoon kei en keihard aangepakt worden. Dat er nog steeds mensen zijn die attacments openen komt gewoon door de onwetendheid van die persoon en daar maken anderen weer misbruik van. Ik mag blij zijn dat m'n moeder weet hoe ze de PC aan moet zetten, moet ze dan ook maar gelijk alles leren over virussen??
+2 Umarth
17 augustus 2000 14:05
Hmmm... je zou toch denken dan de meeste smtp servers attachments met de vbs extentie ondertussen gewoon droppen....... Dat is toch een makkelijke oplossing tegen dit soort virusjes....
+2 caesar
@Umarth17 augustus 2000 14:14
Ja lekker zeg. En wanneer iemand nu een onschuldige, nuttige vbs-file naar een collega wil sturen? Mag ik alsjeblieft zelf bepalen welke mail weggefilterd wordt?

De enige oplossing hiertegen is om software te gebruiken die niet zo ontzettend gevoelig is voor dit soort geintjes. Ik amuseer me overigens nog steeds kostelijk in nieuwsgroepen wanneer mensen een signature plaatsen met "begin", "end" en BLABLA.TXT.vbs. Hierna beginnen hele kuddes clueless newbies te roepen "je stuurt een virus mee"..... AAAARGHHHH......
+1 Umarth
@caesar17 augustus 2000 14:24
Je kan je vbs-je toch gewoon ff zippen dan.

Een virus signature is altijd kewl.....

}>
+2 devsel336
17 augustus 2000 13:50
Kunnen die scriptkiddies nou nooit eens een keer ophouden??

Kunnen we geen fonds oprichten?

"Help de scriptkiddies aan een degelijke coding-opleiding.. Giro 31337" :)

"+1, +1: Grappig, +1: Inzichtvol, -1: Overbodig, +1: Grappig, -0.80: Overgewaardeerd, -0.67: Overgewaardeerd, +0.57: Grappig, -0.50: Overgewaardeerd, +0.44: Ondergewaardeerd"

Blijkbaar heb ik de scriptkiddies nu ernstig getraumatiseerd }>
+2 ReqFilr
17 augustus 2000 17:14
Op NU.nl is er nu ook melding van gemaakt.

www.nu.nl/document?n=16089

Inclusief de tekst die getoont wordt aan de gebruiker die het bestandje geopent heeft.
Het 'I love you'-virus heeft er weer een nieuwe variant bij. Het gaat deze keer ook weer om een worm-virus dat zich via de e-mail verspreidt, dat meldt onder meer The Register donderdag. Tot nu toe zou het virus vooral in Zwitserland en Rusland huishouden.

Het nieuwe virus met als onderwerp 'Resume', heeft een bijlage met de tekst RESUME.TXT.VBS. De e-mail lijkt, voor ieder die het ontvangt, van een Zwitsers internetbedrijfje afkomstig te zijn. Als de bijlage geopend wordt, komt de volgende tekst in beeld:
0 looskuh
17 augustus 2000 14:20
Even wat genuanceerder zeggen:
--
Ik vind deze virussen alleen maar goed. Er moeten net zolang computers virussen krijgen totdat iedereen die met een computer werkt eens doorheeft wat de do's en dont's zijn.
De kranten hebben volgestaan over Iluvu, en NOG openen ze zo'n bestandje.
---
+3 gekkie
@looskuh17 augustus 2000 14:45
uhmm meen je dit ?
Kortom iedere werktuigbouwkundige jij maar over dat bruggetje laten rijden en als je dan het ravijn in donderd .. ja ach had de schat maar eerst een berekening van de stijfheid en sterkte moeten maken ... helaas helaas .. eigenlijk wel goed ... dan leert iedereen tenminste mechanica ... slaat toch ook nergens op ? :7

kortom tuurlijk is het niet zo slim om dat soort bestandjes te openen ... maar niet iedereen hoeft er een dagtaak en goal in het leven van te maken alles van computers af te weten. laat dat over aan de happy few die dat ook echt willen
+1 looskuh
@gekkie17 augustus 2000 15:30
Ja dit meen ik. Ik zeg niet dat iedereen moet weten dat het in VbScript is geschreven of wat voor een technische informatie dan ook.
Maar toen I love U uitkwam werd iedereen eens afgestraft voor het onjuiste gebruik van computers. Voor een auto is een rijbewijs verplicht, voor een computer is een "rijbewijs" verstandig. En vlak na I O+U stonden de kranten vol met tips, waaronder:
"Open niet een bestand behalve als U weet of het van betrouwbare bron komt en U duidelijk weet wat de inhoud is."
En als je dat dan doet als power user, ok, maar newbies moeten maar eens leren dat en hoe ze eens goed met een pc om moeten gaan. Het is immers een bedreiging van de veiligheid als ze dat niet doen.
+1 InterCC
17 augustus 2000 15:38
Een aantal computers van een Zwitserse bank zijn al geïnfecteerd

Hoe komt het virus daar op de comp?? Dan moeten ze daar dus ook Outlook hebben geen mail scanner.. Vind dit erg slecht van de bank. Heb het gevoel dat mijn comp beter beveiligd is dat die van een bank :)
+1 oehoe
@InterCC17 augustus 2000 16:14
Ik denk ook dat jou pc beter is beveiligd dan zo'n bank. Dat is nu juist de pest van de hele e-commerce-waanzin: iedereen schreeuwt en brult maar dat ze als een dolle online moeten, maar daarbij wordt nogal eens het aspect veiligheid vergeten. Tja, en dan ga je met dit soort grappen hard op je gebit. Jammer, maar waar.
+1 Saruman!
@InterCC17 augustus 2000 20:16
ff realistisch:

een virusscanner kan i.h.a. pas een virus detecteren als de signature bekend is!!!
+1 Jochem
17 augustus 2000 14:23
Ik kwam laatst ook nog een verdwaald Love virus tegen in mijn mail. Die dingen zijn gewoon moeilijk te killen. Is is vast nog wel iemand die zo'n virus op de compu heeft staan in Outlook Express.

Ennuh... De verleiding is gewoon groot om een attachment niet te openen! Beetje de ratio tegen de emo... blijft moeilijk.
+1 Umarth
@Jochem17 augustus 2000 14:54
Tja, en een preview plane van outlook is meestal genoeg om zo'n virus te triggeren......

Dat leverde bij ons toen de meeste problemen op.
+1 Chico Lapino
@Umarth17 augustus 2000 15:02
Tsja
had outlook maar een ECL (execution control list),
dan had je dat probleem niet gehad

maar ik weet nog altijd niet hoe je in outlook kunt instellen dat je bijvoorbeeld scripjes niet wil toestaan (tenzij extern opgeslagen en dan geexecuteerd)
+1 FireFly
@Umarth17 augustus 2000 16:33
Klopt : je kan een html-mail sturen met een javascriptje dat gekoppeld is aan dat vbscriptje met iets van "body onload=start_it_up()"

beste is je mail in plain text ontvangen, kan je achteraf als je echt wil nog in html bekijken :)
+1 Crazy Harry
17 augustus 2000 14:00
Ik verwacht dat ze de maker snel kunnen pakken deze keer, aangezien hij zo stom is geweest om de wachtwoorden naar zn eigen toe te sturen. :)

Wat kunnen ze dom zijn he :+

edit : typo
+1 ReqFilr
@Crazy Harry17 augustus 2000 16:12
Maar ja, als de maker dan in een land want waar er geen regels voor dit soort "terreur" bestaan heeft het natuurlijk weinig zin.
0 .oZer0reZo.
@Crazy Harry17 augustus 2000 18:12
[correctormode]
naar zn eigen toe te sturen.
Sorry Harry ... moet zijn 'naar zichzelf' ...
[/correctormode]
+1 Tampie
18 augustus 2000 02:42
Kun je niet gewoon de bestands-associatie van .vbs weghalen? werkt toch ook?
+1 Larry25
@Tampie18 augustus 2000 09:01
Ja, maar stel dat er een batch-file gemaakt wordt waar een commandline staat: wscript.exe blabla.vbs... dan wordt je systeem alsnog getroffen. Door het renamen wordt het programma niet opgestart.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*