Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties
Bron: Kaspersky

Na het W32/Badtrans.B-virus is er nu weer een nieuw hardnekkig virus aan het rondzwerven op het internet, het W32/Goner@MM-virus. In tegenstelling tot de meeste virussen tot nu toe, beperkt dit virus zijn verspreidingsmethode niet uitsluitend tot email, maar maakt ook gebruik van ICQ en een IRC bot, aldus McAfee. Het virus is te herkennen aan het bestand 'goner.scr' wat als attachment van een email wordt verspreid. Indien een computer is besmet, probeert het virus alle mensen op de ICQ list het bestand regelmatig toe te zenden. Daarnaast probeert het programma een aantal virusscanners onklaar te maken, en ZoneAlarm uit te schakelen. Voor de meeste populaire anti-virus programma's is er inmiddels een update beschikbaar waarmee het virus bestreden kan worden:

Goner virus In order to be activated, "Goner" requires a user himself to manually launch the worm-carrier file (GONE.SCR) that will initiate the target computer infection routine. To accomplish this the worm creates its copy in the default Windows system folder under the same name (GONE.SCR) and registers this file in the start-up section of the Windows system registry. In result "Goner" will be activated each time the computer is rebooted. After this "Goner" starts its spreading routine. To make it more effective the worm uses two data transmission channels simultaneously: e-mail and ICQ, the popular Internet-paging software. When spreading via e-mail, "Goner" gains access to Microsoft Outlook, creates a new message that contains infected file GONE.SCR, and unbeknownst to the user sends it out to all the recipients from Outlook address book. The distributed e-mail messages look as follows:

Subject: Hi
Attach: gone.scr
Body:
How are you ?

Meer informatie over dit virus is onder andere te vinden op de site van McAfee, Kaspersky en Symantec.

Moderatie-faq Wijzig weergave

Reacties (100)

The distributed e-mail messages look as follows:

Subject: Hi
Attach: gone.scr
Body:
How are you ?
Iedereen weet toch ondertussen wel dat je dergelijke vage mailtjes niet moet openen :?
voor de luie mensen onder ons. :z
Symantec heeft al een Removal Tool. :)
http://www.symantec.com/avcenter/tools.list.h tml
Ja, DAT weet iedereen ja.

alleen veel mensen die net kunnen internetten, hebben vrolijk Outlook 5 / Internet Explorer 5.xx ofzo, en die is juist 't probleem:
Preview = activatie. Nix openen, gewoon meteen de lul.

Mensen die Windows Update niet kennen, en volledig vertrouwen op hun outlookje die ze al tijden hebben zjn dus de pineut, daarom verspreid deze zich ook zo snel.

En viruskenners... tja, werkt prima, alleen is dit virus van 4 dec, en als je bv eens in de week/maand updated heeft je viruskenner lekker veel zin.
Explorer 5.xx ofzo, en die is juist 't probleem:
Preview = activatie. Nix openen, gewoon meteen de lul.
preview werkt niet met een scr file in outlook dat werkt alleen bij plaatjes
right...

en dat WHATEVER.EXE dat outlook express standaard gewoon fijn opent dan bij bv Badtrans????

da's dus juist de bug in outlook, hij ZOU alleen plaatjes moeten doen, not dus, fijn ook exe's mee starten.
Sorry maar ScralP heeft gelijk !
Dit virus moet je zelf activeren door te dubbelklikken op de attachment.
Het wordt NIET gedaan door de preview funcitie van outlook.
En als je mij niet gelooft dan hier de txt van Mcafee :
Method Of Infection
This mass-mailing worm sends itself to all users found in the Outlook Address Book using a plain text format. Therefore, the attachment does not start automatically when the user opens the message and does not get activated automatically when then Outlook preview pane if used.
Complete virus description is hier te lezen :
http://vil.nai.com/vil/virusSummary.asp?virus_k=9927 2
Iets preciezer: De Badtrans worm maakt gebruik van een beveiligingslek in de MAPI instructie set, waardoor hij bij het openen (dus ook previewen!) van het mailtje zijn gang kan gaan ZONDER dat je ergens op hoeft te klikken of iets hoeft te openen.
Het is dus niet zo dat Outlook gewoon attachments uit zichzelf opent.
Hoi,

Weet jij hier een fix voor?

Ik word gek van Outlook. Wat een kutprogramma, ik shok me de tiefus dat e ineens gelijk met die open-save box op kwam. Ik weet niet hoe ik het moet fixen. Microsoft zegt bv dat Outlook Express 6 dat bv niet heeft, nou mooi wel dus.

Dit is gewoon ranzige Outlook gekut code.
oh.... oeps :)

naja, volgende keer ff meer lezen ipv replyen, of al die virussen wat meer uit elkaar houden :)
Sim-pel, Outlook 2001 SP2 gebruiken en je krijgt de potentieel gevaarlijke email bijlages helemaal niet meer binnen. Aan de andere kant wil een beetje scanner dit probleem ook wel voor je onderscheppen.

Maar ja, het is mijn werk en de gemiddelde huis-tuin-en-keuken gebruiker is helaas niet zo ver.

Het probleem is: er komt zoveel aan software, tools enzo op de markt, veel gebruikers installeren maar een eind weg en zijn zich (begrijpelijk) niet bewust van de risico's die ze lopen, zelfs Tante Annie die n keer in de week met haar modempje het net op gaat is een potentieel slachtoffer voor de wannabee-lolbroeken die willen inbreken of een grappig virus hebben bedacht.

Het is een moeilijk op te lossen probleem, niet iedereen is zo met IT bezig als de gemiddelde tweaker hier, dus simpelweg de stelling nemen dat "iedereen het nu maar moet weten", daarmee ben je er niet, er wordt iedere keer wel een andere variant bedacht om het virus te verspreiden.

Per ongeluk een keer te snel klikken en je hebt er weer een besmetting bij.
En sinds wanneer wil jij dat een software pakket beslist, of jij iets wel of niet binnenkrijgt ?? dat bepaal ik nog altijd zelf wel !!!

Natuurlijk mag hij wel waarschuwen... anders krijg jij ineens ook bestanden niet meer binnen, die jij wil wilt hebben...

Bestanden openen die van anderen komen is altijd link, maar een beetje hobbist weet well, wat hij wel en niet kan doen... al is een foutje snel gemaakt, dat geef ik zonder meer toe.

Kortom, als je virussen een halt wilt toeroepen, zal je mensen moeten opvoeden, hoe ze met zaken moeten omgaan... anders zal het altijd een probleem blijven
Sim-pel, Outlook 2001 SP2 gebruiken en je krijgt de potentieel gevaarlijke email bijlages helemaal niet meer binnen. Aan de andere kant wil een beetje scanner dit probleem ook wel voor je onderscheppen.

Maar ja, het is mijn werk en de gemiddelde huis-tuin-en-keuken gebruiker is helaas niet zo ver.
En wie ben jij om te beslissen welk email pakket de organisatie moet gebruiken? Meestal is de IT afdeling de uitvoerende instantie, niet de beslissende. (uiteraard wel adviserend!)


Ik zit zelf in de detachering, en kom veel bij erg grote bedrijven (Philips, Rabobank, Campina), en guess what? Die draaien Outlook 98. Een overstap van het ene naar het andere email pakket is een bijna net zo grote impact als de overstap van OS.

En zeker in 'deze tijden' is het moeilijk om over te stappen, aangezien een overstap kostbaar is... (nu is een outage van een paar uur dat ook, maar dat kan als 'incidenteel' worden afgeboekt)
Ik zit zelf in de detachering, en kom veel bij erg grote bedrijven (Philips, ...), en guess what? Die draaien Outlook 98.
Ik weet niet waar jij je info haalt, maar dit is m.i. onzin. Philips draait company wide Lotus Notes, voor e-mail, agenda etc.
Uiteraard zit iedereen opgescheept met Outlook *Express* op z'n PC maar dat wordt niet gebruikt voor 'officiele' zaken, hoogstens een lokaal nieuwsgroepje of zo.
Als het je werk is dan zal het filter van Outlook Sp2 je toch flink hinderen in het uitvoeren daarvan. Als beheerder zul je toch veel met EXE's etc moeten werken.
Dat is de XP versie 2001?
Wolvie zegt:
En sinds wanneer wil jij dat een software pakket beslist, of jij iets wel of niet binnenkrijgt ?? dat bepaal ik nog altijd zelf wel !!!
Rustig maar! ;)

Ik ben zelf ook niet blij dat een software pakket voor mij gaat bepalen wat ik wel of niet zou willen binnenkrijgen (dat kan ik zelf wel), waar het om gaat is dat mensen die niet superbewust met emails en bijlagen bezig zijn en dus een risico lopen, die mensen kunnen geholpen zijn met dergelijke auto-filtering, that's all.

DynaMike Y zegt:
En wie ben jij om te beslissen welk email pakket de organisatie moet gebruiken? Meestal is de IT afdeling de uitvoerende instantie, niet de beslissende. (uiteraard wel adviserend!)
Rustig maar! ;)

Zie mijn opmerking hierboven, als IT'er neem ik binnen onze organisatie geen directe beslissing over een email pakket, maar onze IT afdeling is niet alleen uitvoerend (alsof de gebruikers zelf wel even gaan bepalen wat ze leuk vinden).
De gebruiker vraagt functionaliteit, die leveren wij als IT afdeling daarbij rekening houdend met beveiligingsaspecten (en die wegen hier bijzonder zwaar). Maar dat was niet het punt, mij ging het er om dat de minder bewuste emailer geholpen kan zijn bij automatische filtering van bijlagen.

* 786562 TgF
Als het je werk is dan zal het filter van Outlook Sp2 je toch flink hinderen in het uitvoeren daarvan. Als beheerder zul je toch veel met EXE's etc moeten werken.
Ja, klopt, heb je helemaal gelijk in.

Ik ben zelf wel in staat om het gevaar van bepaalde mails in te kunnen schatten, maar (zoals eerder gezegd) voor mensen die er niet zo in thuis zijn kun je dit als een hulpmiddel zien, wanneer de email client zelf mogelijk gevaarlijke bijlages uit de mail filterd dan is dat voor die mensen toch een vorm van bescherming.

Aan de andere kant, het genoemde filter is bij ons actief :( en ja, dat is lastig, maar inmiddels weten een aantal mensen hoe ze de spullen wel bij mij kunnen krijgen. Binnen ons bedrijf wordt security iets zwaarder gezien als gebruiksgemak.
Daarom zou eigenlijk mailpakketten met HTML ondersteuning moeten verbieden :)

* 786562 memphis
Daarom zou eigenlijk mailpakketten met HTML ondersteuning moeten verbieden
Onzin. Ik gebruik zelf The Bat! welke ook html mail ondersteunt, maar die gebruikt niet de webbrowser control zoals IE en Outlook die gebruiken. Je kan me virussen sturen wat je wilt, ik heb er geen last van.
Maar op zich ben ik ook geen voorstander hoor van html mail, maar dat is met dit virus gewoon geen probleem. Domme gebruikers die eerst klikken en dan pas denken, die zouden verboden moeten worden. En het Windows adresboek zou verboden moeten worden omdat heel veel virussen zichzelf naar iedereen daarin doorsturen.
Uhm, als dit soort teksten erin staan worden mensen nieuwsgierig. Dit is DE methode om ervoor te zorgen dat het attachment word geopend.

Eigen ervaring, helaas :'(
ja, maar het is Sinterklaas heh...dan open je wel vaker dingen waarvan je niet weet wat er in zit :)
Dat heet een surprise }>
hmm...heb hier ookal een attachment met .scr extentie. Heet alleen anders; NEWS_DOC.DOC.scr
Zal al weer een variant zijn....

[EDIT]
Zonealarm werkt ook inderdaad niet meer :(
nuh, das geloof ik die "oude" badtrans nog :)

fijn he, al die virussen, je haalt ze zelfs al door elkaar :)


Edit: idd :) di's badtrans

http://www.symantec.com/avcenter/venc/data/w32.badtr ans.b@mm.html

stukkie knip/plak:

In all cases, MAPI will also be used to find unread mail to which the worm will reply. The subject will be "Re:". In that case, the attachment name will be one of the following:

PICS
IMAGES
README
New_Napster_Site
NEWS_DOC
HAMSTER
YOU_ARE_FAT!
SEARCHURL
SETUP
CARD
ME_NUDE
Sorry_about_yesterday
S3MSONG
DOCS
HUMOR
FUN
Ik had ze bijna allemaal al gezien behalve:
YOU ARE FAT!
en
S3MSONG.

Leipe virussen. Zelfs Mozilla opent het e.e.a. automatisch.
Zelfs Mozilla opent het e.e.a. automatisch.
Dat is gelukkig niet helemaal waar: Mozilla geeft een prompt om het bestand op te slaan onder een of andere heel vage naam. Er wordt gelukkig niets uitgevoerd, maar ik schrok ook flink toen ik de prompt zag...
.scr is toch een screensaverbestand?
Ja. Maar die kunnen k virussen bevatten... zoals nu weer blijkt...
Screensavers zijn niets meer of minder dan normale executables, alleen hebben ze een andere extensie. Je kunt screensavers super simpel maken in Visual Basic (waar dit virus ook in is gemaakt).
.scr is voor windhoos gewoon een executable.. en executables kunnen alles .. joepie
Een scr bestand is ook gewoon een executable. Allen met iets andere properties.
Heerlijk als je deze meldingen gemaild krijgt van McAfee, en als je op de server kijkt zie je dat de juiste update er inmiddels al (automagisch) opstaat.
Ik vind die blerende emails afkomstig van McAfee die als kettingbrieven rondwaren anders net zo irritant als virussen.

Waarom nooit van Symantec? Het is gewoon spam van McAfee volgens mij. 'The boy who cried wolf'... :'(

Norton Antivirus werkt gewoon, en doet wat het moet doen.
Mcafee stuurt die berichten niet rond als spam, maar stuurt ze alleen door naar mensen die daar op subscriben. Heb ik ook gedaan. En het is wel handig. Ik update mijn dat-files automatisch 1 maal per week, maar dan kan je dus 6 dagen achterlopen. Zo'n mailtje is dan een trigger om tussendoor een keer extra te updaten, voordat je de mail gaat openen.

Als de mensen op de mailinglist ze dan naar alles en iedereen gaan rondsturen, dan kan Mcafee daar ook niets aan doen.
Die mailtjes waar mcafee in staat die door iedereen rond gestuurd worden hebben meestal NIKS met mcafee te maken. Meestal zijn dat gewoon HOAX!
McAfee zal namelijk nooit onderaan haar mailtjes verzoeken of je ze mischien door wilt sturen ...
Eudora, heeft ook van dit virus geen last; de att. wordt weergegeven, maar ook de echte ext. staat er achter (bijv. idontloveyou.doc.z6). Dat voorkomt een hoop ellende. (just a line to tell you).
Outlook Express 6 heeft er ook geen last van hoor. Ik krijg keurig de volledige extensie te zien. :*)
Oulook XP is helemaal perfect! Die blokkeerd gewoon de toegang tot executables en andere mogelijk virushoudende bestanden. Echt perfect! wil je mij een exe sturen? Zip em maar, dan kan ik em zelf nog scannen! ;)
Sinds wanneer hebben virussen een 'about'-box trouwens? :?
Heb je Windows 9x/2000/XP wel eens gezien? Zitten toch ook overal about boxen in? ;)


Effe nog een handmatige oplossing, mocht je een andere virusscanner gebruiken:

Opstarten, NIET INLOGGEN
Via andere computer:
- REGEDT32 :Verwijder key: HKLM\Software\Microsoft\Windows\Currentversion\Run\...gone.scr
- C$: Verwijder bestand: c:\<windir>\system\gone.scr
Verwijder bestand: WININT.INI (path onbekend)
Log in als admin
Zoek op "gone.scr" op alle disken, verwijder als gevonden.
(Her)installeer McAfee (datfile 4173 of hoger).
Mogelijk zijn programma's beschadigd. Virus verwijderd ca 30 specifieke bestanden. Lijst van geaffecteerde programma's staat als het goed is bij sarc en mcafee
Reparatie afhankelijk van die software.
Klaar
Goed verhaal. En puntje echter:
Datfile 4174 doet Goner.
En ik kreeg net mail van mn server dat 4175 al weer uit was :)
Mwah, al een tijdje. Die mensen willen ook de credits voor hun werk hebben h...
Die verschijnt automatisch als het virus wordt geactiveerd ofzo. Makers zijn waarschijnlijk trots op hun werk ofzo :? :r
Gek eigenlijk, die wormvirussen. Outlook is er heel eenvoudig tegen te beveiligen namelijk (ik snap ook niet, dat Microsoft zelf niet zoiets als het volgende gedaan heeft).

In je adresboek voeg je een contactpersoon toe met de naam 000 (nulnulnul). Die komt automatisch boven al je contactpersonen te staan. Hierbij vul je geen e-mailadres in. (Dus ook geen niet-bestaand e-mailadres!) Als je nu een mailtje aan je hele adresboek probeert te versturen, krijg je een foutmelding, omdat niet bij alle ontvangers een e-mailadres is ingevuld. Als je die melding zomaar krijgt, wordt het tijd voor McAffee of iets dergelijks.
mag ik je er even meedelen dan dat de virusontwerper hier ook al lang weer wat op bedacht heeft.
de it afdeling hier heeft al een pc volgens die norm aangepast waarvanaf enkele dagen later een dergelijk virus toch nog dat weet te omzeilen. 8-)

als ik de naam van dat virus nog kan achterhalen edit ik het hier nog wel even bij. :*)
Het kan nog wel simpeler ook.

zet je computer ergens in 2006 of 2007 en stuur jezelf een mailtje met bijlage.

sorteren op nieuwste datum boven en er wordt in de preview al weinig meer geopend wat je zelf niet aanklikt. (of over een poosje al jaaaaren kent.. :) )
Yep, ik kwam vandaag op m'n werk en had meteen 2 mailtjes met het virus. Maar gelukkig ben ik altijd voorzichtig en had ik al een heel donkerbruin vermoeden dat het een virus was :)

Dus weggooien die hap als je mail krijgt van iemand die je niet kent en/of als het er wazig uitziet. Virus mailtjes kun je vaak wel herkennen gelukkig.

Heb je een wazig vermoeden, dan beter het zekere voor het onzekere nemen en nooit zomaar attachments openen.
Dus weggooien die hap als je mail krijgt van iemand die je niet kent en/of als het er wazig uitziet. Virus mailtjes kun je vaak wel herkennen gelukkig.
Helaas komen ze om te beginnen al van bekenden af... BadTrans gebruikt ook nog eens een bekend subject... Maar dit virus moet wel makkelijk te herkennen zijn, ja.
Je kwam op je werk en had dus een virus. Gebruiken jullie geen virusscanner dan?
Wat zet er iemand toe aan om millioenen schade te veroorzaken door virussen in de wereld te helpen?

Zo'n persoon mogen ze van mij levenslang op sluiten
:( Ik kots op die gasten :r
hmm misschien iemand die hier miljoenen aan kan verdienen ?
de Anti virus markt verdient namelijk aan virussen.
je mag natuurlijk niemand beschuldigen maar zo'n opdracht uitbesteden is niet zo moeilijk als je genoeg geld hebt en daardoor heel veel geld gaat verdienen lijkt me. 8-)
hmm misschien iemand die hier miljoenen aan kan verdienen ?
de Anti virus markt verdient namelijk aan virussen.
Ik zie geen enkele reden waarom de anti-virus makers hier moeite voor zouden moeten doen... Er lopen MEER dan genoeg kids rond die met van die standaard 'maak je eigen virus' kits dagelijks nieuwe virussen de wereld in sturen...
Beleggen in McAffee en Symantec zou ik zeggen.
Die bedrijven zullen het nu wel goed doen.
waarom is dit pas om tien voor 2 gepost??
vanochtend was het al op het nieuws,
vanochtend had ik me exchange ook al geupdated

dus dit is gewoon oud nieuws
Ik was laatst nij iemand die een virus binnen kreeg per mail (niet deze), maar esafe begon meteen al te toeteren zonder dat het bericht was geopend. betekent dit nu dat het virus meteen actief is zonder het te openen of dat de scanner het bericht al voorscant ?
De meeste virusscanners hebben tegenwoordig ook een Mail Scan optie, dan scant hij hem dus al in de mailbox.

Van eSafe weet ik het niet, maar bijvoorbeeld McAfee scant de hele box.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True