Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: C|Net News.com, submitter: Longbeard

Virus - cartoonC|Net News.com laat ons weten dat een nieuwe variant van het Sobig virus zich over het internet verspreidt. De nieuwe virusvariant, Sobig.E, wordt verspreid via een e-mail met de titel "Re: Movie" of "Re: Application". Deze e-mail is ook voorzien van een attachment in de vorm van een zip-file die plaats geeft aan het virus. Sobig verandert je computer in een zogenaamde 'open relay'. Spammers gebruiken open relays om anoniem e-mails te verzenden. Op deze manier is het zo goed als onmogelijk om het e-mail-adres en het ip-adres van de spammer te achterhalen. Het virus is trouwens voorzien van een houdbaarheidsdatum. Op 14 juli zal het uit zichzelf ophouden met zich te verspreiden. Tot die tijd doe je er goed aan om je virusscanner van de laatste updates te voorzien.

Lees meer over

Gerelateerde content

Alle gerelateerde content (28)
Moderatie-faq Wijzig weergave

Reacties (42)

Nu ben ik niet de slimste op het gebied van programeren, maareuh: die datum kunnen ze er toch ook zo uit slopen :?

En voor zover ik weet zal dit door elke respectabele firewall worden tegengehouden toch? Of nestelt het zich in OE/Outlook waardoor je al een firewall met MD5 checking moet hebben ?

Veel mensen die breedband hebben hebben inmiddels wel al een firewall. En mensen met een inbel verbinding zullen het snel in de gaten hebben als er tientallen mailtjes via hun verbinding worden verstuurd...

Spam is in sommige landen nog steeds toegestaan, maar dit lijkt me toch redelijk strafbaar? Dit is namelijk gebruikmaken van mijn bandbreedte waarvoor ik betaal. En dan niet alleen voor het ontvangen van hun troep, maar ook nog eens voor het versturen er van :(
Als spammers het verzonnen hebben, zou het wellicht kunnen zijn dat ze niet op standaard poort 25 doelen en zo proberen een evt. firewall te omzeilen.
Natuurlijk is het versprijden van een virus strafbaar. Maar als ik een open relay heb draaien is het volgens mij niet strafbaar om daar gebruik van te maken.

Voordeel voor de spammers is dat het bijna onmogelijk om aan te tonen waar het virus nou vandaan komt, dus je wordt als spammer niet zo snel gepakt. Aangezien 99% van de mensen toch geen firewall heeft (en ook niet nodig heeft) wordt het progje niet zo snel opgemerkt, hooguit merk je dat je verbinding langzaam wordt. Iedere thuisgebruiker die een goede virusscanner heeft (die naar mijn mening wel iedere thuisgebruiker zou moeten hebben), heeft ook geen last van dit (of ieder ander) virus.

Gelukkig is er alleen een goede kans op veel spam en verder is het vrij onschadelijk.

De uiterste datum is er vast voor om te voorkomen dat ze te snel "bestreden" worden. Een open relay tot 14 juli is niet zo heel erg zullen veel mensen denken. Dat is maar een paar weekjes. Maar de mensen die dit nu installeren zullen over 2-3 weken ook wel de vernieuwde versie met latere datum gewoon installeren.... De spammers blijven dus goed zitten.
Natuurlijk is het versprijden van een virus strafbaar. Maar als ik een open relay heb draaien is het volgens mij niet strafbaar om daar gebruik van te maken.
deel 1 van deze quote klopt. deel 2: daar denk ik anders over:

Zie het zo:
het feit dat mijn voordeur open staat, geeft niemand het recht mijn huis in te gaan en laat staan dat het een insluiper het recht geeft mijn spullenboel te ontregelen.

en ten laatste welke echte ISP ( let op woordje ęechteĽ) treedt er niet op tegen open relay's
Je zult wel op poort 25 moeten doelen, anders is er geen mta die je bericht oppikt. (De kans is in ieder geval heel klein dat op een willekeurige andere poort de mailserver waar jij je spul naar toe stuurt mail accepteert.)
Hoeft alleen naar buiten toe, het virus kan zelf op een andere poort luisteren zolang het maar weet welke poort voor de uitgaande mail moet worden gebruikt. Als het pakketje wat de spammer gebruikt zich voordoet als een reply zal hij zondermeer door slechte firewalls worden doorgelaten, zonder dat een ander programma er tussen kan komen. Als ze poort 25 gebruiken heb je nog kans dat er een mail server draait die het afvangt.
Euh, een goede firewall heeft alles dicht op een paar poorten na. Zelf poorten gaan open zetten heeft dan geen zin, want die worden geblocked door de firewall.
Yep, maar net als bij een OS hangt de veiligheid af van de beheerder. (En er bestaan schrikbarend veel peperdure firewalls die vrolijk alle verkeer doorlaten, omdat de admin het te veel werk vindt om bij te houden welke poorten daadwerkelijk nodig zijn... :()
Al staat een poort open heb je er nog nix aan. De meeste firewalls/ routers gebruiken NAT. Zolang de computer geen verbinding naar buiten opzet naar de spamserver zelf, kan de computer toch niet benaderd worden. :Z
T'ja maar gewoon een pc'tje met een standaard RedHat installatie als router heeft al een firewall waar je heel simpel kan zeggen wat je wil zorgt voor een goed begin zonder centen...


http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/install-guide/s1 -firewallconfig.html
En mensen met een inbel verbinding zullen het snel in de gaten hebben als er tientallen mailtjes via hun verbinding worden verstuurd...
Hoe dan volgens jou? Als hij niet zelf de verbinding openzet, maar wacht tot er verbinding is, is het mogelijk ongezien mails te versturen wat je dan alleen zou zien als je het dataverkeer bekijkt terwijl je zelf niks actiefs op internet doet. De gemiddelde gebruiker weet niet eens waar hij dat zou moeten zien, laat staan dat hij daar constant naar kijkt.

Het is naar mijn mening veel te makkelijk onder windows om ongezien mails te versturen, als een 'nieuwe applicatie' probeert te mailen zou de eerste keer een windowsmelding die om toestemming aan de gebruiker vraagt moeten verschijnen.
Als hij niet zelf de verbinding openzet, maar wacht tot er verbinding is, is het mogelijk ongezien mails te versturen wat je dan alleen zou zien als je het dataverkeer bekijkt terwijl je zelf niks actiefs op internet doet.
Heb jij wel eens 100 mailtjes verstuurd via een 56k (of trager) lijntje? Zelfs bij plain text berichten duurt dat erg lang. Als je ondertussen ook nog eens zelf gaat internetten merk je dat wel: timeouts, halve plaatjes en zo voort :)

Nu zal de onwetende mens (sapiens stupiditus) hooguit met de helpdesk bellen of de verbinding verbreken en het opnieuw proberen, maar opvallen doet het in elk geval.
Heb jij wel eens 100 mailtjes verstuurd via een 56k (of trager) lijntje? Zelfs bij plain text berichten duurt dat erg lang. Als je ondertussen ook nog eens zelf gaat internetten merk je dat wel: timeouts, halve plaatjes en zo voort

Nu zal de onwetende mens (sapiens stupiditus) hooguit met de helpdesk bellen of de verbinding verbreken en het opnieuw proberen, maar opvallen doet het in elk geval.
Onwetende mens? Je bedoelt normale gebruikers (99% van de gebruikers) die niet zoals jij en ik zulke "nerds" zijn dat ze dit allemaal snappen, ik zou dat niet "stupiditus" durven noemen. Is iedereen die niet een openhart-operatie kan verrichten ook dom vergeleken met een chirurg? Ieder z'n vak.

Een beetje slim virus kijkt hoe snel het allemaal gaat en stuurt niet zoveel mails dat het op gaat vallen maar gewoon een paar per minuut, dat merkt de gebruiker echt niet.
Die datums kunnen ze wel wegslopen natuurlijk, alleen weten ze niet of het ook de spammers zijn die het virus aangepast hebben. Het is alleen zeker dat ze er gebruik van maken :).
49 van deze mailtjes ontvangen in de afgelopen 24 uur, ik ben benieuwd hoeveel het er de komend 24 uur worden. sobig.c was qua hoeveelheid verkeer per etmaal minder erg.

Met betrekking tot de opmerkingen over bijgewerkte antivirusprogramma's:
De signature is gisteren toegevoegd door de grote antivirus bedrijven, de meeste gebruikers hebben deze blijkbaar nog niet geinstalleerd wat niet zo gek is gezien de datum van release.
49 mails?
op mn werk hadden we dr afgelopen dagen denk 1000.
Stront vervelend.
Je kan er niks tegen doen? alleen maar afwachten?
Aha, nu wordt het me duidelijk. Ik dacht al dat iemand mijn e-mailadres had ingevuld bij een "ik wil spam site" want ik krijg helaas de laatste week explosief veel spam en de tekst die er steeds boven staat heeft erg veel weg van een virus ja...

Jeetje, altijd zorgvuldig met m'n e-mailadres omgegaan, zijn we nog de lul door degenen waarbij we in het adresboek staan die wat minder voorzichtig zijn :(
Hmmm, lekker :(
Maar iig hebben @Homers daar geen last van voor zover ik weet.
@Home heeft immers poort 25 dichtgegooid en je kan nu (soms helaas) alleen via de SMTP van @Home zelf mail versturen.

Eigen servertje zit er dus niet meer in, wat oa ook deze geintjes tegenhoud als ik het niet mis heb.
Dat kan wel , je moet echter je mail laten verwijzen naar een andere machine die voor jou poort 25 tunnelt naar een andere poort op jouw pc.
Naarbuitensturen kan je nog steeds wel. Ik heb met @home nog steeds een eigen mailserver. Mail ontvang ik via QMTP op poort 209 van mijn backup MX (alhoewel ik sindskort ook gewoon over poort 25 kan via VPN)
Als dit ding op een andere poort luistert, is dit ding bij @home nog steeds effectief.

Overigens vraag ik me af: je hoort overal "dit virus zeer actief, dat virus zeer veel verspreid", etc. Heb ik geen vrienden dan? hebben die 20 gebruikers op mijn mailserver dan ook geen vrienden? Ik kom nml alleen maar verdwaalde Klez-H mailtjes tegen of spam met broken MIME die opgevreten wordt door ripmime.
Tis wat... de exchange servers krijgen niet eens meer tijd om koffie te halen :'( en de helpdesk ook niet omdat gebruikers bellen dat ze een virus hebben en dat dan blijkt dat er in de email staat: "the body of this message has been removed. Virus has been intercepted by [exchangeservernaam 1t/m 7]. Sja...gebruikers....
Om over system admins dan nog maar te zwijgen, en er verstand van hebben is hun werk,
3 mailtjes met de strekking you sent a message containing virus sobig.e@mm to user ...
Dat zijn de mensen die het zouden moeten weten.

Met name ook dat het from adres fake is, en het dus nutteloos is daar een mailtje naar toe te sturen dat je systeem besmet is en je mailtje met dat virus geblokkeerd is. (Zou je de kosten op die admins kunnen verhalen om iemand langs te laten komen die dan vaststelt ... maar mevrouw u heeft helemaal geen virus op uw systeem.)
Ach weet je het emailen vanaf een ander adres is geen probleem. Het enige probleem is inderdaad dat het ip-adres van de verzender meegaat en dat het spoofen hiervan blijkbaar minder makkelijk gaat.

Ik vraag me dan overigens wel af of ze dan servers gebruiken van diegenen hun outlook accounts of andere servers... Zou slimmer zijn om de lokale account-mailserver te gebruiken want dan is het sneller verstuurd. Maargoed spam sucks, miljoenen/miljarden nutteloze emails per dag. Trek al die shit eens af van de isp hun bandwijdte, zul je misschien na een paar maanden nog een verlaagd abo-bedrag krijgen voor je kabel/adsl verbinding ook, omdat spammail dood is..... De meeste dromen zijn bedrog.... maar als ik wakker wordt dan spamt men mij nog......... ik ontvang de mailtjes en erger me rot......... elke spammer die ik zie sla ik..... (nougoed koop marco spamsato's cd maar en bedenk je eigen tekst)(misschien hierover maar eens een post openen en kijken of iemand mee de spam-muziek cd uit wil brengen.... OMFG ik ga offtopic...)
Wat ik nou zo vreemd aan zo'n verhaal vind, is dat spammers vrijwel altijd een doel hebben, en dat is om mensen ergens geld in te laten steken, of om mensen iets te laten zien. En voor beide redenen kun je d'r eigenlijk niet omheen om een vorm van contactinformatie mee te zenden. Telefoonnummer, e-mail adres, website, noem maar op. Telefoonnummer en website zijn allebei vrij traceerbaar, en een e-mail adres ook, als de spammer idd geintresseerd is in de responses op zijn mailing.

Dus waarom zou een spammer nou zoveel moeite doen om een aantal open relays te krijgen? Ze zijn toch wel traceerbaar....
Je moet zowiezo je virusscanner goed bij houden. :Z
Je klinkt als m'n moeder man...

doe je je sjaal om als je naar buiten gaat ?
kijk je wel uit bij het oversteken ?
:D
en waarschijnlijk luister je ook naar je moeder want anders had je dit waarschijnlijk niet kunnen tikken
en je spruitjes opeten!
Sinds wanneer gebruiken websites iemand anders zijn computer om spam te versturen; en dan nog met behulp van een virus?
Trouwens, als het virus zelf in een zip-bestand zit, is er toch nog genoeg tijd om het te laten scannen en om er voorzichtig mee om te springen :?
Trouwens, als het virus zelf in een zip-bestand zit, is er toch nog genoeg tijd om het te laten scannen en om er voorzichtig mee om te springen
Zoiets zat ik me ook al af te vragen; er wordt gezegd dat het virus actief wordt bij het openen van de attachment, maar het openen van een zipfile heeft toch normaal gesproken niet direct het uitvoeren van een executable in die zipfile tot gevolg? Of heb ik nu ergens iets gemist?
Waarschijnlijk zit het virus in een zip file omdat Outlook 2000 SP2 and Outlook XP SP1 een attachment block hebben voor:
.ade .adp .asx .bas .bat .chm .cmd .com .cpl .crt
.exe .hlp .hta .inf .ins .isp .js .jse .lnk .mdb .mde .msc
.msi .msp .mst .pcd .pif .prf .reg .scf .scr .sct .shb
.shs .url .vb .vbe .vbs .sct .wsf .wsh

En vanuit een .zip bestand mag je openen wat je wilt, en de meeste mensen zullen dit uit nieuwsgierigheid dus ook doen.

[Reactie gewijzigd door tweakers.net ivm opmaak die de pagina uit het verband rukt]
Je zou bijna denken dat de schrijver open relay servers in de aandacht wil brengen. (iets goed doen door iets slechts te schrijven :?)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True