McAfee waarschuwt voor Valentijn-virussen

McAfee waarschuwt voor twee nieuwe virussen die a.s. woensdag (Valentijnsdag), toe zouden kunnen slaan. Het gaat om het uit Spanje afkomstige VBS/San@M-virus en het VBS/Valentin@MM. Beide virussen hebben van McAfee een 'medium' risico beoordeling gekregen. Ze verspreiden zich erg snel en kunnen alle bestanden op de C:\-schijf nagenoeg onbruikbaar maken. Het gaat hier weer om e-mails in HTML-opmaak. De virussen maken gebruik van een kwetsbaarheid die omschreven wordt als 'Scriptlet.Typelib' en laten het bestand 'loveday14.a-hta' of 'loveday14.b-hta' achter. Hieronder een gedeelte uit het artikel:

San@M slaat de volgende keer dat de computer wordt aangezet of opgestart toe. In Outlook Express wordt een bestand 'index.html' geplaatst. Het bestand wordt de nieuwe signature in het e-mailprogramma. Het virus wordt vervolgens onzichtbaar meegestuurd met de reguliere mailtjes die iemand verstuurt. De mailtjes zijn dus niet als virus te herkennen, omdat zij geen specifiek subject of attachment bevatten.

Het virus stelt in Internet Explorer een Spaanstalige website in als homepage. Kwalijker is dat als de datum op het systeem op 14 (Valentijnsdag), 23 of 29 februari verspringt, de lokale bestanden op de c:\-schijf worden verwijderd. In plaats daarvan komen nieuwe, lege subfolders die eindigen op 'happysanvalentin'.

Lees meer

IT-banen

Reacties (45)

Verwijderd 12 februari 2001 19:38

Mmmmm.....

Herr_Qn: Eens kijken of heel Europa nu weer zo stompzinnig is om massaal deze mailtjes te openen

Ik vind het persoonlijk toch niet erg stompzinnig als je een doodgewoon meeltje, zonder specifiek subject of attachment, opent.

Het gaat hier niet om een I love you Virus zoals Bram Bouwmans wil laten doorschemeren. Nee het virus reist onzichtbaar mee in de signature! IMHO is dit een heel irritant virus

, want het enige wat je merkt aan het virus is het wijzigen van de startpagina en het dellen van je C-drive.

* 786562 amnesia

_JGC_ @Verwijderd • 12 februari 2001 21:12

Ik heb hier thuis Agent. OE gebruik ik niet. Soms zie ik wel eens hybris voorbijvliegen... ff op de h drukken en kijken van wie dat ding komt, meestal russen.

Het leuke aan Agent is dat je een browser moet opstarten wil je de HTML in een bericht bekijken. Is het dus toch weer aan de gebruiker om het te klikken...

Verwijderd 12 februari 2001 19:24

[I love you...]
De mensen leren het ook nooit... open nooit mailtje van mensen die je niet kent, zeker niet als ze een attachement hebben. Vroeger mocht je toch ook niet met vreemde mensen meegaan? Nou, zoiets geldt nog steeds... alleen dan i.p.v. met snoepjes lokken ze je met "attachement"... (jaja, een beetje vreemde vergelijking, maar wel waar

).
Anyway, laten we hopen dat de liefde ons niet allen blind maakt en onze harde schijf het gaat overleven.

Verwijderd @Verwijderd • 12 februari 2001 19:34

WEER zo'n fabeltje... alsof je van de mensen die je WEL kent GEEN virus kunt krijgen...

Juist die nieuwe virussen gebruiken de outlook adreslijst etc om zichzelf te verspreiden, dus die krijg je JUIST van bekenden!

Open dus NOOIT zomaar attachments, van wie dan ook!

TheGhostInc @Verwijderd • 12 februari 2001 20:02

Ik weet niet tegen wie je het roept, maar ik denk dat je beter zo'n melding op starpagina.nl kunt zetten, de gemiddelde tweaker zal het alleen openen als hij het scriptje eens wil bekijken.

* 786562 TheGhostInc

Verwijderd @Verwijderd • 14 februari 2001 07:09

De mensen leren het ook nooit... open nooit mailtje van mensen die je niet kent, zeker niet als ze een attachement hebben.

Dat is nu juist het probleem met deze virussen! Ze verspreiden zich via je outlook adresboek.
Je kan wel zeggen dat die mensen dom zijn, maar je mag ook niet aannemen dat een gemiddelde gebruiker op de hoogte is van de laatste virusontwikkelingen.
Als je een 'beetje apart' mailtje krijgt van een bekende, dan neem je aan dat het wel goed zit. Vertrouwen heet dat. Daar spelen dit soort virussen op in....

Opa 12 februari 2001 21:17

LOL!!! Da's dus puur toeval.

Anna Kournikova is nl ook weer actief. Ik kreeg net van drie collega's uit de USA een mailtje "Here you have, ;o)" met daaraan een attachment AnnaKournikova.jpg.VBS. En nog geen twee minuten later een haastig mailtje van een sysop dat we die Absoluut niet moeten openen.
Het gaat hier om een virus van vorig jaar: http://vil.nai.com/vil/virusSummary.asp?virus_k=9901 1

Tip: Als je McAfee < 4.5 gebruikt, moet je handmatig opgeven dat hij ook .VBS als "Executable" ziet en die dus ook scant als je alleen op executables scant.

Verwijderd @Opa • 13 februari 2001 02:16

vordert idd enige zelfbeheersing wanneer het Anna Kournikova betreft

Rense Klinkenberg

12 februari 2001 19:40

Gewoon niet als HTML, maar als plain text openen. Werkt wel goed. De meeste HTML mailtjes hebben ook een stuk plain tekst erin zitten.

Verwijderd 12 februari 2001 19:47

Hier zien we weer de bekende misbruik van Outlook.
Zelf gebruik ik nooit Outlook voor emails, maar altijd Eudora. Zo is kans op besmetting geringer en de attachments zijn volledig met extensie.

Eudora of Pegasus moet je nemen! Waarom altijd zo gemakkelijk risicovolle Outlook nemen. De Microsoft programma's zitten vaak onder vuur en hebben veel zwakke plekken. Daar kicken de virusmakers en hackers op!

Maar nee hoor.... Er lopen nog genoeg digibeten rond die lukraak op klikken.

Jammer dat virusscanners net niet gratis zijn (evaluatie oke) zodat de besmetting kleiner wordt.
Of Outlook zou verboden moeten zijn..... Altijd weer zulke gedoe rond Outlook-misbruik.

_JGC_ @Verwijderd • 12 februari 2001 21:13

Jammer dat virusscanners net niet gratis zijn (evaluatie oke) zodat de besmetting kleiner wordt

InoculateIT dan?

Rembert @Verwijderd • 13 februari 2001 10:08

Sja... na een zoveelste probleem met Eudora ben ik overgestapt op Calypso en dat blijft mijn favoriete E-mail proggie. Eronder heb ik de Eset NOD32 virusscanner draaien.Gaat ook errug goed.

Maarreh, ik weet niet hoe de huidige Eudora werkt maar voor zover ik weet maakt elk E_mail proggie dat HTML opmaak weer kan geven gewoon gebruik van de Windows Explorer DLLs. Met alle risico's van dien. Soit, het adresboek is geen Microsoft adresboek dus de kans dat jouw systeem als versterker gaat fungeren is wat kleiner, maar alle andere ellende kan dus nog steeds mis gaan.

In Calypso heb ik dus HTML mail uitgeschakeld.

botoo

12 februari 2001 20:20

McAfee waarschuwt....
en meld terloops op dat de virusbestanden minstens nr. 4121 moeten zijn. Helaas is DAT 4120 van 7 feb. de recentste

Maar morgen is er nog een dag, dat wordt overwerken voor de McAfee's.

_JGC_ @botoo • 12 februari 2001 21:15

Donderdag is die er pas. Bij mcafee updaten ze eens per week, donderdagochtend kan je de nieuwe DAT dus halen

Jaymz @_JGC_ • 13 februari 2001 09:52

Hmm, en woensdag is het de 14e. De dat's komen een dag te laat.
---------------------------------------------------------------------
Updeetje:

Virus Definitions: 4.0.4121
Created on: 12 Februari
Scan Engine: 4.1.20

Ze zijn dus toch op tijd.

KeX @Jaymz • 13 februari 2001 10:00

Dit is de laatste superdat die ik kon vinden. 4140

http://download.mcafee.com/updates/superDat.asp?as=f alse&ref=8

release 12 februari

Opa @Jaymz • 13 februari 2001 14:00

Dit is op zich interessant, want behalve de nieuwste DEF, 4121, bevat deze inderdaad een nieuwere engine, de 4140.
Is wel een iets grotere download (4,6 t.o. 1,6) maar dan heb je ook wat.

Verwijderd @_JGC_ • 13 februari 2001 08:19

SuperDat 4121 is vanaf vandaag (13 februari) al verkrijgbaar!

Verwijderd 13 februari 2001 08:39

Als mijn modem meer dan 2 seconden aan het downloaden is op een mailtje dan noem ik dat niet bepaald "onzichtbaar".

Het liefst zou ik een "disable HTML" optie in OE zien, maar voorlopig volsta ik maar met mijn modem uitzetten als hij klaar is met ophalen, en zoveel mogelijk 'features' disablen.

Crazy D @Verwijderd • 13 februari 2001 10:18

Het liefst zou ik een "disable HTML" optie in OE zien

Dat ben ik absoluut met je eens. Je kan wel aangeven dat je als plain text wilt verzenden, maar niet dat je inkomende mails als plain text wilt lezen

(of desnoods alleen in de preview window als plain text laten zien).

En als reacties op andere flames dat het achterlijk is dat VBScript ed. default aan staan: ten eerste vraag ik me dat af ('t is alweer een tijdje geleden dat ik een kale installatie heb gedaan), maar belangrijker, als dat niet zo is, zegt iedereen weer 'klote pakket je kan er niks mee'. Nu staan de opties aan, en dan is het weer 'klote pakket het is veel te virus gevoelig'.
Al vraag ik me af waarom ze ooit besloten hebben om scripts in een html-mail toe te staan, maar dat ter zijde.

Xtuv 12 februari 2001 20:11

't schijnt ook dat het "I love you" virus op valentijns dag weer in de ronte gaat

mth @Xtuv • 12 februari 2001 22:02

http://ars.userfriendly.org/cartoons/?id=20000511

tweakerbee 13 februari 2001 00:23

Vergis ik mij, of klopt het dat dit weer een VBS virus is, en je dus niks te vrezen hebt als je WSH eruit gekickt hebt?

Of kun je nog wel geinfecteerd worden?

DeTeraarist 13 februari 2001 00:55

Vreemd, bij http://www.mcafee.com kan ik er niks over terugvinden. Wel stond er vandaag iets over Anna Kournikova!

De nieuwe update is trouwens nu wel uit. (Staat ergens anders nog van niet, maar nu wel

)
Maar bij de informatie over dat virus staat dat een aantal oude patches voor Outlook en Windows e.d. al genoeg bescherming zou moeten bieden.

Waarom dan een update?

Eerst vertellen over oude patches en daarna zeggen dat een virusdat moet worden gedownload.

Ik vind het allemaal een beetje vreemd.

Op dit item kan niet meer gereageerd worden.

McAfee waarschuwt voor Valentijn-virussen

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: