Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties
Bron: Nu.nl

Virussen Een nieuw virus genaamd W32/Badtrans.B-virus slaat flink om zich heen. Het virus werd op 24 november ontdekt en wordt momenteel actief verspreid over het internet. Badtrans.B is een mass mailing internet worm die zich via verspreidt door ongelezen emailberichten in Microsoft Outlook te beantwoorden.

De worm verspreidt zich via het Messaging Application Programming Interface (MAPI) waarmee direct een bericht (e-mail of fax) kan worden gestuurd vanuit bijvoorbeeld een tekstverwerker. Het virus wordt geactiveerd zodra het mailtje in het voorbeeldscherm verschijnt. Er hoeft dus geen bijlage geopend te worden om het virus te activeren.

Het virus gebruikt nieuwe technieken die voorkomen in Aliz en Nimda en heeft in aantal slachtoffers het Sircam virus al ingehaald. De '.B'-extensie in de naam staat voor de 'bad data transmission'-boodschap die het bij zijn slachtoffers aflevert. Wanneer Badtrans.B wordt geactiveerd laat het tevens een zogenaamde Remote Access Trojan (RAT) achter in de Windows directory:

Het virus-mailtje komt binnen zonder echte onderwerpregel, gewoon 'RE:'. Als de bijlage van het virusmailtje actief wordt, kopieert het zichzelf in het Windows-systeem onder de naam KERNEL32.EXE. Daarnaast verandert het register HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnce waardoor de worm in werking treedt zodra de computer opnieuw opstart. Ten slotte plaatst het virus het bestand kdll.dll op de computer, een bestand waarachter een Trojaans paard verscholen zit die wachtwoorden probeert te stelen. Een Trojaans paard is een programmaatje dat ontworpen is om een taak uit te voeren waar de gebruiker niet om gevraagd heeft.

Het is mogelijk dat de onderwerpregel, tekst en attachement van het mailtje variabel zijn. Een patch voor het Badtrans.B-virus kan hier gedownload worden. Met dank aan T-Blizzard voor het submitten van de link.

Moderatie-faq Wijzig weergave

Reacties (102)

voor iedereen met de standaard cliches omtrent microsoft,en het openen van attachments verdergaat, wil ik even wijzen op het feit dat je je mail niet eens open hoeft te maken, maar dat het virus gewoon aan het MAPI'en gaat zodra een oude/ongepatchte versie van Outlook het mailtje binnen krijgt. Het is deze keer wederom Outlook, dat moet ik toegeven, maar via windowsupdate was dit inderdaad al tijden te verhelpen, het wachten was op een virus dat deze exploit..ehr...exploiteert :)
Het nadeel van dat windowsupdaten is dat je voor alle computers nogal wat moet gaan downloaden, niet elk bedrijf / elke persoon heeft zo'n internettoegang. Ik heb vannacht de hele nacht in het bedrijf waar ik werk zitten windowsupdaten. We hebben pas een tijdje ADSL daar, en ik heb verder nooit meer aan WindowsUpdate gedacht in dit tijd |:( De virusdefinities van Norton zijn van 24 november, 4 dagen te laat dus eigenlijk. Die van McAfee waren van 21 november, een dag te laat. Dus de kans dat het virus ongemerkt binnenkomt is vrij groot, maar het virus had geen schijn van kans gehad als de mensen OF geen Outlook gebruikten, OF een wat beveiligdere versie hadden gehad.

De mensen blijven outlook gebruiken omdat het bij Windows zit en/of bij Internet Explorer. Het is een makkelijk te gebruiken client. Als je op tijd patches toepast is het ook goed te doen met die veiligheid. Wat ik nu iig ga doen voor de mensen met Outlook in mijn omgeving, is op zoek naar een programma dat bij zo'n MAPI-call altijd nog een keer om bevestiging vraagt. Ik ben de naam kwijt, maar er is zo'n superklein programmaatje dat dat voor je regelt.

Mocht iemand hierover ideeen hebben, post dan ff hieronder (lijkt me niet al te offtopic, omdat je met zo'n programma al die doormailvirussen eigenlijk kan stoppen).

ALS je het virus te pakken hebt (of met een virusscanner onderschept hebt), mail dan ook de afzender en stop dit virus, want het is ZEER hinderlijk.
Outlook XP flikkert extensies die kunnen worden geexecuteerd standaard al weg, dus die users hebben nergens last van.

Daarna kun je je security zone binnen OE en Outlook op 'restricted' zetten en daarin ALLES uitzetten, dus alle scripting, active x etc.

* 786562 Otis
Das allemaal mooi en aardig, maar dan kun je dus geen enkel attachment meer zonder gezeik openen, dus ook geen die je absoluut wel kunt vertrouwen.
Dat heb ik er niet voor over. Kun je net zo goed je floppydrive en netwerkkabel eruit trekken; weet je ook zeker dat je geen virussen krijgt.
Hoho, dat zie je niet helemaal goed....

Je moet de CDROM speler er ook nog uithalen :+
Outlook XP flikkert extensies die kunnen worden geexecuteerd standaard al weg, dus die users hebben nergens last van.
Ik vind dat dus weer een typische Microsoft oplossing: in plaats van het probleem oplossen, de symptomen bestrijden.

Weer een reden erbij om geen Outlook te gebruiken: een programma dat op eigen houtje bepaalt dat het MIJN bestanden kan weggooien hoef ik niet.

Ik gebruik Eudora, en behalve dat die nauwelijks gevoelig voor virussen is, zet de attachments direct op schijf (bij mij bv. D:\download), zodat de virusscanner ze kan afvangen... bovendien wordt je mail-archief niet zo groot...
De virusdefinities van Norton zijn van 24 november, 4 dagen te laat dus eigenlijk.
Wat bedoel met 4 dagen te laat? Het virus is de 24e ontdekt en wordt ook door de defs van de 24e afgevangen hoor! Super service juist, precies zoals we van Norton gewend zijn!
Het nadeel van dat windowsupdaten is dat je voor alle computers nogal wat moet gaan downloaden, niet elk bedrijf / elke persoon heeft zo'n internettoegang. Ik heb vannacht de hele nacht in het bedrijf waar ik werk zitten windowsupdaten. We hebben pas een tijdje ADSL daar, en ik heb verder nooit meer aan WindowsUpdate gedacht in dit tijd
Daarvoor is dus Technet en Corporate WindowsUpdate.

Hoef je de files maar een keer naar binnen te halen en kun je op je lokale netwerk updaten.
Als je clients met win2k hebt, HFNetChk gebruiken (ook al is die een beetje buggy af en toe).
En voordat iedereen weer begint met microsoft afzeiken, deze patch is al een paar maanden te downloaden!!

Maar goed voor ons tweakers levert dit natuurlijk geen enkel gevaar op :)
Voor internet explorer 6.0 NL is er geen patch te vinden, is dit soms al verwerkt in 6.0 ?
Affected Software:
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Note: Internet Explorer 5.01 Service Pack 2 is not affected by this vulnerability.
Ik denk IE 6.0 dus ook niet.
de patch staat op mozilla.org ;)
Voor ie 6.0 Nl gewoon naar windows update gaan krijg je vanzelf de patch voorgeschoteld

http://v4.windowsupdate.microsoft.com/nl/default.asp
Wel vreemd dat de virus nu pas echt verspreid na maanden al bekent te zijn en nooit binnen een dag dat de security leak uitkomt.
Deze exploit is dus al sinds maart bekend, veel eerder dan die van de sircam virus.
Dit is een nieuwe versie die oa Nimda en Eiza functionaliteit heeft
Uit de gegeven link voor de patch:
Microsoft Security Bulletin (MS01-020) Print

Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
Originally posted: March 29, 2001

Affected Software:

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Note: Internet Explorer 5.01 Service Pack 2 is not affected by this vulnerability.
Hieruit blijkt dat er voor IE6 gebruikers geen patch nodig is, toch? Had IMHO wel even in de post vermeld mogen worden...

/edit: uit dezelfde link (overigens NIET n.a.v. de post van Executer):
V1.2 (September 21, 2001): Bulletin updated to discuss need to perform a Full or Typical Install when eliminating this vulnerability via an IE 6 upgrade.
Dit is een van de redenen dat ik een andere mail-client heb genomen.
MAPI = universeel :)

Elke windows bak heeft daar last van :)

MAPI werkt namelijk met de default mail client, dus welk programma je ook gebruikt het werkt met Mapi ;)
Sorry, maar da's niet waar. Geinfecteerd raken zonder outlook (express) is een stuk lastiger, zo niet onmogelijk (Mozilla herkent het corrupte attchment gewoon niet); het is wel zo dat dit virus outlook (express) niet nodig heeft om zichzelf verder te verspreiden.
Maar goed ook, anders was ik ook mooi het haasje geweest :)
Of je kunt net zo stom zijn als ik 's ochtends vroeg met kater...

Doe ik mijn best om erachter te komen wat er in dat vreemde mail zit (in Opera)... uiteindelijk heb ik zelf een file eruit ge-UUdecoded. Denk ik "is vast een virus" en ga prompt er op dubbel-klikken!

Maar goed, eventjes Windows verlaten en die twee files deleten, een beetje opruimen en DrWeb laten scannen en alles is weer naar behoren.
me2! Ik gebruikte toch al opera (vanwege het feit dat opera veel sneller browst), maar ben sinds kort ook de mailfunctie binnen opera gaan gebruiken.
Het werkt zelfs bij webbased mail bekijken! Ik kreeg onmiddelijk een pop-up explosion, waarschijnlijk staat het virus er nu ook op (op die computer op school dus }> ).
Hiervan heb ik er inderdaad al 2 mogen ontvangen. Maar gelukkig doen die virusscanners hun werk toch wel goed :)
Gisteravond 1!
Norton AV 2002 deed zijn werk perfect.
Al zou ik iedereen willen waarschuwen om nooit een attachment te openenen dat pif als extensie heeft!
Niet alleen een PIF extensie.

Ik weiger pertinent alle deze extensies:
*.EXE
*.COM
*.BAT
*.PIF
*.SCR
*.VBS
*.INF
*.REG
*.WSF
*.LNK

Als iemand mij dat wil sturen, dan pakt hij/zij het maar in met WinACE.
Heb je er wel eens aan gedacht om een mailtje met de rechtermuis knop te openen en dan via eigenschappen, tabblad details naar de bericht code te gaan kijken?

Zo kun je een heel e-mail lezen zonder dat een virus actief kan worden wand je opent hem in platte ascii.
Onbetrouwbare e-mailtjes bekijk ik altijd eerst op die mannier om later te beslissen wat er mee te doen is.
Iedere vorm van programma code haal je er zo namenlijk uit dus ook de java en VSB stukken.
Ik open geen enkele attachment, tenzij die in een mail zit van iemand die ik ken en de file de extensie *.jpg *.gif *.mpg o.i.d. heeft. Ik open sowieso al geen mail van mensen die ik niet ken met een vaag onderwerp. Een mail met als onderwerp "FREE PORN" open je toch nog nieteens? Ik heb trouwens al wel een mail gehad met als onderwerp "RE:" maar ja, dat soort vaag spul gaat meteen in de trashcan zodra ik het zie... En dan heb ik ook nog eens altijd de virusscanner draaien, zo zal er niet snel een virus op de pc komen...
Ik gebruik hotmail, dus wat doe ik...

Verdacht mailtje>doel opslaan als>naar de desktop ofzo>WYSIWYG html editor starten>onbetrouwbare mail in html van desktop in html editor laden>lezen

Geen virus dat zo actief wordt...
Mee eens, maar ik kreeg net ook een mailtje met dit virus en ik hoefde niets te openen. Zodra ik hem aanklikte voor een voorbeeld werd het virus al actief. Gelukkig had ik gisteren net mijn scanner up to date gemaakt en hield het virus tegen.
Als iemand deze methode nou eens zou gebruiken om een "virus" te verspreiden die gebruikers verteld dat ze hun Windows zo moeten instellen dat het de extensies weergeeft, en ook om patches te installeren zou het een stuk minder last op leveren.
Bij dit virus gaat het extensie verhaal niet op... als je goed gelezen had staat er dat dit virus zich automatisch uitvoert bij het bekijken van het bericht. Je hoeft dus geen vaag bestand te openen.

offtopic:
Kreeg er vandaag ook eentje binnen, gelukkig heb ik NAV 2002 lopen, dus dat ding had geen schijn van kans :).
Hij execute automatisch als je een ungepatchte Outlook Express hebt.

En het is een .pif dus gewoon een type .bat file ...
Dat kun je gewoon niet maken als Microsoft zijnde (of wie dan ook), denk eens aan de schadeclaims die je krijgt! En met extensie weergeven had je de infectie niet kunnen voorkomen, het bewuste mailtje ontvangen met een Outlook versie zoals genoemd is al genoeg...
en heeft in aantal slachtoffers het Sircam virus al ingehaald
vertel mij eens hoe je dat kunt weten...
ik heb een kdll.dll in mijn winnt/system32 maar een up to date avp vind niks... en die registry key is er niet... zou het kunnen dat er ook een onschuldige kdll.dll bestaat????
Nope maar mayB herkent jouw scanner de ingebakken trojan/keylogger niet. Probeer F-Secure of F-Prot
En hoe zit het nou voor de mensen die IncrediMail gebruiken :? ? Worden wij ook slachtoffer van? k gebruik deze emailprogramma naar volle tevredenheid. Ik gebruik geen virusscanner... En nog geen virus in mijn systeem gehad al anderhalf jaar lang :*) !
Je hebt de laatste 1.5 jaar geen virus gehad :?
en wat gebruik je om dat te ontdekken???? :Z

Juist een virus scanner |:(
idd, gewoon negeren, misschien gaat het vanzelf wel weg ;)
Ik heb nu twee (possibly infected) mailtjes in m'n mailbox liggen. Ze hebben allebei als subject "Re:" en zijn allebei 31 Kb...
Ik neem aan dat dit het virus is dat hier beschreven wordt...
Maar ik draai XP en heb dus geen last van dit virus?
Ik kan gewoon dit mailtje bekijken of het niet heel toevallig toch iets anders is?
Ik vind het altijd zo'n gezeik met virus scanners, die infecteren je hele systeem... :(
Maar ja, als het moet dan moet het...
ik heb er al 4 gehad :)
allemaal subject: Re:


check deze anders eens:

http://clinic.mcafee.com/clinic/ibuy/campaign.asp?ci d=2608

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True