Virus vermomd als Microsoft security bulletin

Op Symantec valt te lezen dat er een nieuw virus in omloop is dat vorige week voor het eerst gesignaleerd werd. Het W32.Gibe@mm-virus doet zich voor als een veiligheidsbericht van Microsoft met als subject 'Internet Security Update'. Hierin wordt de gebruiker aangeraden het bijgevoegde attachment uit te voeren teneinde verschillende gaten in Internet Explorer en Outlook te dichten. In tegenstelling tot het tot het oplossen van problemen, beginnen deze dan pas. Het virus mailt zichzelf naar alle adressen die het kan vinden, en installeert een trojan waardoor de PC via een backdoor openstaat voor kwaadwillenden:

VirusDue to an increased rate of submissions Symantec Security Response has upgraded the threat rating of W32.Gibe@mm from Category 2 to Category 3 as of March 11, 2002.

W32.Gibe@mm is a worm that uses Microsoft Outlook and its own SMTP engine to spread. This worm arrives in an email message--which is disguised as a Microsoft Internet Security Update--as the attachment Q216309.exe.

Door Bram Kouwenberg

Nieuwsposter

Feedback • 12-03-2002 18:44 38

12-03-2002 • 18:44

38

Bron: Symantec

Lees meer

Andere MS-software ook kwetsbaar voor wormaanvallen
Andere MS-software ook kwetsbaar voor wormaanvallen Nieuws van 27 januari 2003
Aantal e-mailvirussen verdubbeld in 2002
Aantal e-mailvirussen verdubbeld in 2002 Nieuws van 17 december 2002
Sendmail 8.12.6 bevat een Trojan
Sendmail 8.12.6 bevat een Trojan Nieuws van 9 oktober 2002
Gevaarlijk Bugbear virus op komst
Gevaarlijk Bugbear virus op komst Nieuws van 1 oktober 2002
'Yoohoo' virus aast op filesharing
'Yoohoo' virus aast op filesharing Nieuws van 30 augustus 2002
MessageLabs meldt wederom grote toename virussen
MessageLabs meldt wederom grote toename virussen Nieuws van 19 juni 2002
JPEG worm W32/Perrun bewandelt nieuwe wegen
JPEG worm W32/Perrun bewandelt nieuwe wegen Nieuws van 14 juni 2002
Telavista garandeert 0% virussen met e-mailbeveiliging
Telavista garandeert 0% virussen met e-mailbeveiliging Nieuws van 8 mei 2002
Microsoft's Baseline Security Analyzer is gereed
Microsoft's Baseline Security Analyzer is gereed Nieuws van 10 april 2002
'Draadloze virussen' liggen op de loer
'Draadloze virussen' liggen op de loer Nieuws van 27 februari 2002
Header-virussen omzeilen contentscanners
Header-virussen omzeilen contentscanners Nieuws van 17 februari 2002
Virusinformatie via SMS helpt systeembeheerder
Virusinformatie via SMS helpt systeembeheerder Nieuws van 27 januari 2002
Anti-virusbedrijven zien winst flink stijgen
Anti-virusbedrijven zien winst flink stijgen Nieuws van 18 januari 2002
Maker W32.Donut gaat tegen Microsoft in
Maker W32.Donut gaat tegen Microsoft in Nieuws van 16 januari 2002
Vijf keer zo veel virussen in Groot-Brittannië
Vijf keer zo veel virussen in Groot-Brittannië Nieuws van 16 januari 2002
Microsoft: "W32.Donut is geen echt .Net-virus"
Microsoft: "W32.Donut is geen echt .Net-virus" Nieuws van 13 januari 2002
Virussen kostten bedrijven ruim € 14 miljard in 2001
Virussen kostten bedrijven ruim € 14 miljard in 2001 Nieuws van 10 januari 2002
W32.Donut: eerste virus dat .Net-software besmet
W32.Donut: eerste virus dat .Net-software besmet Nieuws van 10 januari 2002
Eerste shockwave virus ontdekt
Eerste shockwave virus ontdekt Nieuws van 8 januari 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (38)

-Moderatie-faq
38
35
26
7
0
0
Wijzig sortering

Sorteer op:

Weergave:
star-saber 12 maart 2002 18:50
ik kreeg hem ook al een paar keer

vreemd dat norton niets melde

[edit]

ik heb wel geprobeerd uit te voeren maar deed het niet onder XP

virusscanner vindt ook nix

niet XP compatible?
Firefox @star-saber12 maart 2002 19:00
Symantec (Norton AV), evenals bijv. Computer Associates (Inoculate IT) Network Associates (McAfee) en de meeste anderen brengen wekelijkse updates uit waar de virus signatures van de in de afgelopen week gevonden versies zijn verwerkt.

Pas wanneer er een medium/high risk virus wordt gevonden zullen ze afwijken van hun gebruikelijke wekelijkse cyclus en een update tussendoor uitbrengen.
Vunzz @Firefox12 maart 2002 20:16
Computer Associates brengt bijna dagelijks een update uit.
Met Norton heb ik slechtere ervaringen, er moet wel heel wat aan de hand zijn, willen zijn een extra update uitbrengen!
Sir Abarth @Firefox12 maart 2002 19:16
Pas wanneer er een medium/high risk virus wordt gevonden zullen ze afwijken van hun gebruikelijke wekelijkse cyclus en een update tussendoor uitbrengen.
AVP (Kapersky Labs) brengt wel elke dag updates uit.
Het verbaast mij ten zeerste dat andere bedrijven dat niet doen.
DJSmiley @Sir Abarth12 maart 2002 19:24
AVP soms zelfs meerdere keren op een dag..

vind ik zelf errug goed, bij een vaste verbinding (kabel) is het geen punt, als dailupper update je m gewoon eens per dag ofzo.

M'n mailserver is gebaseerd op AVP (MDaemon) en die updated om 't uur (indien updates er zijn natuurlijk)

En dat scheelt een hoop, scannen op de server (de email) vangt eigenlijk de meeste virussen al op. (behalve dat verrotte MSN van mn broertje dan)

Mail is #1 virusbron, MSN #2
Beaves @star-saber12 maart 2002 19:00
Een virus scanner is zo up-to-date als de laatste virus definitie dus het kan best zo zijn dat Norton helemaal geen definitie had van dat virus en dat die daardoor ook geen melding gaf.

Een virus scanner loopt altijd achter op de virussen, want een virus is zo gemaakt en het kost tijd om daar een definitie voor te maken en te verspreiden, een virus scanner biedt daardoor ook een niet al te hoge veiligheid, het blijft zaak om geen rare dingen te openen zoals dit soort e-mails. Alleen jammer dat de meeste consumenten dat nog steeds niet door hebben.
boesOne 12 maart 2002 20:45
Eigenlijk zou een virusscanner elke attachment waarin een stuk code zit met een SMTP enigine als verdacht moeten beschouwen.. Ze werken toch met code profiles ? Is zo'n stuk code niet redelijk uniform ? ben niet echt programmeur, dus ik kan me lelijk vergissen, maar ik denk het toch wel te herkennen moet zijn.. het is alleen jammer voor de mailtjes met daaraan vast een werkende niet schadelijke Eudora installer :)
markvt @boesOne12 maart 2002 22:38
op zich zou het goed mogelijk zijn door te kijken of de attachment de scripting host aanroept (indien een vbs script en dan nazien of er smtp wordt gebruikt.)

of 2. kijken of er een internet .dll wordt gebruikt en dan de gebruiken geen optie geven om te runnen alleen een optie om op te slaan.
Waar ze de file eerst moeten scanne.
Verwijderd @boesOne12 maart 2002 23:42
E-mail virussen gebruiken niet direct het SMTP protocol maar gewoon Outlook. SMTP zou een beetje te ingewikkeld zijn voor die zielige virusschrijvertjes. :r

Kijk maar, klein stukje van een virus wat ik laatst van de systeembeheerder(!) op mn oude werk toegestuurd kreeg:

sub spreadtoemail()
..
set out=WScript.CreateObject("Outlook.Application")
set mapi=out.GetNameSpace("MAPI")

Ik vind trouwens dat Microsoft dat hele scripting gebeuren op Windows (wat zeker ook zn goede kanten heeft hoor) eens goed moet nakijken en bepaalde dingen standaard niet zonder extra bevestiging van de gebruiker uit moet voeren.
Adion @Verwijderd13 maart 2002 07:47
Het is natuurlijk wel vervelend als je bij je scripts ook elke keer moet ok klikken ofzo.
Tenslotte zijn scripts juist bedoeld om dingen te automatiseren.
Het probleem blijft nog steeds dat mensen gewoon executable attachments openen waar ze nauwelijks/niet van weten waar het van komt.
Zelfs als je vbs beperkt (je kan het zelfs disablen als je het niet gebruikt denk ik) zal een exe nog steeds vrij zijn om alles te doen wat die wilt.
Persoonlijk heb ik tot nu toe mijn McAfee nog niet nodig gehad, je ziet het gewoon nogal snel als je een virus krijgt. En de echt lastige virussen die op bootsectors van disketten zitten enzo komen blijkbaar niet meer voor (te moeilijk voor de meeste virusschrijvers?)
Verwijderd @Adion13 maart 2002 16:56
je kan een virusscanner zo instellen dat er niet naar bootsectoren e.d. geschreven mag worden (met autzondering van programma's die je zelf aangeef) Je kan je virusscanner net zo veilig/paranoya maken als je zelf wil, dit gaat alleen ten kosten van gebruikersvriendelijkheid.. denk maar aan een firewall, een java applet kan (kan) schadelijk zijn dus je kan kiezen om ze niet te executeren... maar dan kan je bijv niet meer gebruik maken van de antileech facility gebaseerd op java
Verwijderd 13 maart 2002 13:01
Hmm, als ik deze pagina open krijg ik een melding van Norman Virus Control:

Norman Virus Control heeft een worm gevonden en verwijderd:

VBS/Script_based@mm

Ik kan hier alleen helaas geen plaatje bij toevoegen...
Gendji @Verwijderd13 maart 2002 23:54
Heb hier net een topic over geplaatst op GOT:

http://gathering.tweakers.net/showtopic.php/438808/1/25
Verwijderd @Verwijderd13 maart 2002 20:10
bovenstaande post is verkeerd gemodereerd... moet niet interessant zijn maar grappig ;)
Verwijderd 12 maart 2002 18:47
heb ik ook gehad, niet gedraait... :P
en dan word het ook nog als low-risk bestempelt, pff
btw, als het een specifieke backdoor is, dan kan je de dader toch makkelijk achterhalen?
Crazy D 12 maart 2002 19:28
Leuk verzonnen. Mjah en hoeveel mensen gaan er deze keer instinken... als je een beetje nadenkt snap je ook wel dat MS niet naar iedereen een update gaat mailen, maar ja, hoeveel mensen denken na... gezien de vorige virussen: bijna niemand :(.
spokey 13 maart 2002 10:24
Wij gebruiken hier zins begin dit jaar Norton AV (slim licentie) en niet meer McAfee omdat die de prijs ver 6 voudigd heeft.
Tot nu toe vind Norton AV meer virussen dan McAfee ooit heeft gedaan (laatste engine en defenities) en dat Norton AV hun definities niet dageljks update is onzin, zie onderstaande link waar zowat dagelijks een nieuw bestand staat.

ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/ norton_antivirus/static/vdb/
systech @spokey13 maart 2002 13:40
off-topic-je

Ik ben sys. op een scholengemeenschap, we gebruiken ook slim-licenties, maar norton av kan ik niet vinden in hun productenlijst. Hoe kom je hieraan als ik vragen mag? Denk wel het uitproberen waard, mcafee is inderdaad x keer duur geworden :r
Verwijderd 13 maart 2002 14:43
Dat virus wordt volgens mij door MSN verspreid.
DavidAxe 12 maart 2002 23:36
Dat er bijna nooit iemand op het idee komt om een andere mail client te gebruiken, scheelt een hoop narigheid :D

(het geeft ook wel meteen aan hoe luchtig de meeste mensen over virussen denken) |:(
Guardian Angel @DavidAxe12 maart 2002 23:51
Heb ik een blackout of is een mailclient NIET een programma dat mail ontvangt?

Dus ik zou juist GEEN mailclient nemen want dan ontvang ik ook geen virussen.

Ik slaap ff verder door...
Coffeemonster @DavidAxe13 maart 2002 09:24
Was het maar zo makkelijk ;(. Veel mensen willen niet zo snel overstappen naar een andere client. Ik had bijvoorbeeld Eudora bij mijn ouders op de computer gezet (veiliger), maar ze zijn naar Outlook overgestapt omdat mijn vader dat ook op z'n werk gebruikt en mijn moeder nu aan alle kennissen (die ook Outlook gebruiken) om uitleg kan vragen.
memphis 12 maart 2002 20:23
Wanneer maken ze een outlook die niet reageert op (vreemde) VSB, java etc scriptjes :?
gridfox @memphis12 maart 2002 20:42
Outlook 2002/XP slaat een beetje door hierbij. Executable attachments worden afgeschermd (.exe eerst inpakken) en zodra een extern programma het adresboek aanroept, wordt er om goedkeuring verzocht. De laatste vind ik zelf een nuttige toevoeging.
Verwijderd @gridfox12 maart 2002 20:54
Ook als er een waarschuwing komt, zijn er nog mensen die vrolijk op 'ja' klikken zonder te lezen. Om vervolgens te zeggen: jaaaaa, maar dat wist ik helemaaaaal nie! |:(
DigiK-oz @gridfox12 maart 2002 23:01
Klopt, outlook XP schermt alle attachments zowat af. Kan je wel aanpassen (een aantal extensies wel toelaten) met een tooltje (detachxp). Deze info staat dus ergens in de registry gok ik, dus als je het tooltje niet vertrouwd, zelf even zoeken.

Maar de "gemiddelde" gebruiker wordt op deze manier redelijk beschermd tegen zichzelf, omdat er niet alleen een waarschuwing komt, maar je KAN zelfs het attachment niet openen.
Skaah @memphis12 maart 2002 20:42
Dat komt omdat het gewoon een attachment is, het is hier een .exe progje, dat kun je net als mspaint.exe gewoon uitvoeren, eigenlijk kan MS of Outlook hier niets aan doen, dit werkt ook voor andere email clients. Het is weer de gemiddelde gebruiker die er geen verstand van heeft |:(
Verwijderd 12 maart 2002 19:10
zeker pas geleden dan? :P
k had ooit ergens eens een virii scanner die zelfs virussen herkende zonder z'n database geupdate te hebben. heb hem ergens op cd, maar dan moet k weer zo erg lang zoeken dat k gewoon liever wat meer nadenk :)
DennisBoom @Verwijderd13 maart 2002 10:04
De meeste (alle?) virusscanner kunnen ook zoeken met heuristieken en zoek naar (gelijkenissen met) patronen. Op die manier berekenen ze een soort score en als die boven een bepaalde waarde komt, dan is de kans groot dat het om een virus gaat.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq