Besmette Nimda-fix met trojan circuleert via mail

Er circuleert een mailtje op het net rond welke de ontvanger attent maakt op een mogelijke besmetting van zijn machine met het Nimda-virus. De indruk wordt gewekt dat het e-mailtje afkomstig is van SecurityFocus ARIS Analyst Team en Trend Micro. Er wordt aangeraden het bijgevoegde bestand, FIX_NIMDA.EXE, uit te voeren zodat de machine ontdaan wordt van het Nimda-virus. De executable besmet de machine echter met een niet nader genoemde trojan. Zowel SecurityFocus ARIS Analyst Team en Trend Micro hebben laten weten niet verantwoordelijk te zijn voor deze e-mail. Aangeraden wordt dus de bijgevoegde fix niet te starten en de mail te verwijderen:

An e-mail message claiming to come from the SecurityFocus ARIS Analyst Team and Trend Micro is being used to deliver what appears to be a Trojan horse to unsuspecting users. Do not run this attachment. These messages do not come from Trend Micro or SecurityFocus, as a quick check of the headers will reveal.
The e-mail message comes with an executable attachment named FIX_NIMDA.exe. The name is similar to the one used by Trend Micro for their free Nimda removal tool (FIX_NIMDA.com).

Wellicht ten overvloede: De fix die gevonden kan worden op de sites van SecurityFocus ARIS Analyst Team en Trend Micro zijn niet besmet. Zie ook SecurityFocus en de Automatisering Gids. Met dank aan I-eye en xiphoid!

Lees meer

Nieuwste IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (23)

+3rob van den broek
2 oktober 2001 15:50

kijk uit! ik kreeg deze "fix" per email van Symantec.com terwijl ik niet geregged ben bij Symantec dus ze hebben ook een manier om het te doen voorkomen dat Symantec deze fix stuurt

straat
2 oktober 2001 15:43

Ook voor deze mailtjes geldt natuurlijk gewoon wat altijd al gold: nooit *.vbs/*.exe openen, van wie de mail ook komt. Dit kun je echter bij veel mensen moeilijk in hun hoofd krijgen

+1aad123
@straat • 3 oktober 2001 22:54

Eigenlijk geldt zelfs dat als de afzender niet bekend is het mailtje maar het beste meteen vernietigd kan worden. Doe ik tenminste wel.

RRX
@straat • 5 oktober 2001 15:52

opzich zou ik nog best kunnen begrijpen, dat iemand dit mailtje opent. aangezien de indruk wordt gewkt dat het mailtje afkomstig is van: "SecurityFocus ARIS Analyst"

+2it0
2 oktober 2001 15:50

Voor mijn werk zend ik dus dagelijks mailtjes naar mensen met volgende lijn "please let me know if these exe's work for you"
of iets in die trant....

Dus dat het gebeurt is niet zo raar denk ik.

+1empirebart
2 oktober 2001 15:48

oftwel je moet gewoon tegenwoordig alle bestanden die je downd 3x scannen voordat je ze ken openen.
komop zeg jongens waar zijn we mee bezig.
Kill The Scriptkiddies...!!!

+2LordHelmet
@empirebart • 2 oktober 2001 16:06

oftwel je moet gewoon tegenwoordig alle bestanden die je downd 3x scannen voordat je ze ken openen.

Of natuurlijk gewoon de PGP/GPG key van de uitgever verifieren zodat je zeker weet dat het bestand/mailtje afkomstig is van degene van wie het afkomstig lijkt te zijn.

En als je daarbij nog twijfels hebt aan de capaciteiten van de medewerkers van die instantie kun je nog overwegen om er een virusscanner overheen te laten gaan natuurlijk.

+1ferdinand
2 oktober 2001 17:20

[Off topic]
Volgens mij scannen vrijwel alle virusscanners elk bestand dat wordt gedownload, gemaakt, gewijzigd. Dus zo'n bestandje wordt er dan toch meteen uitgevist?
[Off topic]
Of ben ik nu naief bezig?

Auteur+1ReqFilr
@ferdinand • 2 oktober 2001 17:38

Tja, als iedereen altijd hun virusscan software up to date had was de impact van welk virus dan ook veel minder. Laat staan dat niet iedereen een virusscanner heeft!

Vooral de "standaard" computergebruiker die ergens iets heeft gehoord over het nimda-virus kan nog wel eens zoiets uitvoeren. De bron "lijkt" secure en het mailtje ziet er aardig netjes uit...

En het overgrote deel komt er misschien niet eens achter dat er nu een Trojan op hun machine actief is.

+1Dennis_Dennis
@ReqFilr • 2 oktober 2001 19:02

Tja, als iedereen altijd hun virusscan software up to date had was de impact van welk virus dan ook veel minder. Laat staan dat niet iedereen een virusscanner heeft!

Nou ik ben iemand zonder virusscanner, en het is echt niet zo dat ik een of andere beginner ben, maar waar het probleem bij veel mensen ligt (en ook bij mij), is dat die virusscanner heel je systeem supertraag maakt. Als ik een mailtje open en die virusscanner moet gaan kijken duurt het dus weer langer, maar goed ik heb nog nooit een virus gehad via mijn mail

(althans niet geopend).

Mensen moeten gewoon het begrip virus beter doorhebben, als ze nu eens zouden beginnen met geen exe en vsb files te openen, en als je dan ook nog eens je java-scripts uitzet. Dan is de kans dat je een virus krijgt met 99,99% verkleind.

(maar goed maak dit aan de computer-leek wijs, ze zouden verplicht elke dag op tweakers moeten kijken, na een tijdje weten ze het misschien dan

)

plok
@Dennis_Dennis • 2 oktober 2001 20:31

Mensen moeten gewoon het begrip virus beter doorhebben...

Zolang nog hele volksstammen zonder condoom vrijen ben ik bang dat het begrip computer-virus iets te hoog gegerepen is voor deze doelgroep.

+1arjenk|IA
@Dennis_Dennis • 2 oktober 2001 23:19

Nou, ik zou maar een scanner installeren. Plus een firewall. Maar misschien ben ik paranoia

Of gewoon veel te nieuwsgierig

Gisteren gebeurde er dit: ik zie in de log van de firewall dat er druk poorten gescand worden vanaf een beperkte range IP adressen. Dus een traceroute gedaan. Helemaal niets! Dan maar even kijken met de browser... Kedeng! Ziet er uit als een Microsoft pagina, maar voor ik het wist had ik locaal een copietje van JS_NIMDA.A en twee van PE_NIMDA.A-0 binnen! Gelukkig acuut onschadelijk gemaakt door de virusscanner. Natuurlijk is het dom wat ik deed, maar toch:
1) Zonder firewall was de kans groot geweest dat de trojan naar binnen was geglipt terwijl ik gewoon op tweakers.net zat.
2) Zonder virusscanner had ik niet eens geweten dat ik geinfecteerd was geweest, laat staan dat het eenvoudig ongedaan gemaakt had kunnen worden.

Ik ben in ieder geval bijzonder happy met deze setup. Aan mijn PC geen polonaise!

eGo2K
2 oktober 2001 17:24

Hmmm..

Tijdje geleden toen er nieuws was over het Nimda virus, had ik geschreven dat je opzich al geinfecteerd kon raken als je het mailtje opende. Nouja,.. 1 van de mods heeft mijn bericht weggegooid maar ik heb bewijs dat Symantec precies hetzelfde zegt!...

When the worm arrives by email, the worm uses a MIME exploit allowing the virus to be executed just by reading or previewing the file. Information and a patch for this exploit can be found at

found @
http://www.symantec.com/avcenter/venc/data/w32.nimda .a@mm.html

Ben blij dat je tenminste nog kunt lezen wat het mailtje te zeggen heeft bij deze trojan...

alt-92
@eGo2K • 2 oktober 2001 23:28

1) je bericht is niet weggegooid, maar waarschijnlijk 'weggemod' .

2) die MIME-exploit was er al sinds IE/OE 5.0 uitkwam en is te verhelpen met een patch van MS die al sinds maart 2000 te krijgen is.
Updates en fixes checken dus.

Doe je dat niet, tja....

B.A. Baracus
2 oktober 2001 15:41

Van de regen in de drup:

Aetje
2 oktober 2001 15:44

*zucht* Denk je dat je eindelijk het meest kinderachtige mee had gemaakt in die Intel- Via zaak krijg je dit ineens voor je kiezen.

* Aetje wil gewoon ns een potje real-life URT instagib met die scriptkiddies doen

alt-92
2 oktober 2001 15:46

Basis-beveiliging toch?
Alleen updates zelf van een trusted source halen, en zelfs die niet zonder meer dubbelklikken.

Er is genoeg gewaarschuwd tegen het gebruiken van source of binaries waarvan de herkomst niet duidelijk is.

teddybear
2 oktober 2001 16:08

En nu zul je zien dat iedereen ook weer waarschuwingen tegen deze nepper gaat rondsturen.....

0BOOTZ
@teddybear • 2 oktober 2001 16:21

leuk..... nog meer junkmail in mn mailbox...

*kill the scriptkiddies and the unknowing web users*

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers