Sophos: augustus één van de ergste virusmaanden ooit

Sophos, een virusbestrijdingsbedrijf dat zich richt op de zakelijke markt, heeft een persbericht de deur uit gedaan waarin het bedrijf bericht dat augustus één van de ergste virusmaanden ooit was. Vorige maand zagen 778 nieuwe virussen het licht waarvan vier uitermate succesvol waren. Sobig-F stond met stip op één als meest voorkomend virus, maar ook de Blaster-worm wist een groot aandeel besmettingen op zijn naam te schrijven. Daarnaast waren vorige maand nog een tweetal minder bekende nieuwe virussen actief, die in een normale maand zonder twijfel op nummer één zouden staan, maar nu slechts 5,5 respectievelijk 5,3 procent van de besmettingen voor hun rekening namen:

"August 2003 will be remembered as one of the worst months in the history of computer security. A series of different viruses have bombarded computer systems around the globe, culminating in the newest member of the Sobig family which swamped internet email traffic and took the pole position in the chart. The top four viruses are all new entries - any of which would have been number one in a normal month," said Graham Cluley, senior technology consultant at Sophos Anti-Virus.


Positie - Vorige maand - Naam virus - Percentage

1	New	W32/Sobig-F	37,6

2	New	W32/Blaster-A	18,8

3	New	W32/Nachi-A	5,5

4	New	W32/Mimail-A	5,3

5	Re-entry	W32/Yaha-P	2,1

6	3	W32/Klez-H	1,3

7	2	W32/Bugbear-B	1,1

8	Re-entry	W32/Yaha-E	0,8

9	New	W32/Dumaru-A	0,6

10	Re-entry	W32/Sobig-A	0,3

Overig			26,6

IT-banen

Reacties (48)

Devil N

2 september 2003 14:22

[mierenneuk mode]
Het virus op plaats 5 is Yaha-P, en plaats 9 moet Dumaru-A zijn, zie ook de link in het nieuwsbericht. 't Is sowieso een beetje raar als Mimail-A en Yaha-E twee keer in de lijst staan.
[/mierenneuk mode]

Verwijderd @Devil N • 2 september 2003 15:47

Misschien een beetje een domme vraag hoor, maar waar komen die namen vandaan? Dus Sobig A t/m F? Zijn dat iets aangepaste versies van originele virussen? Aangepast in de zin van dat ze daarom niet meer herkend worden als een bekend virus?

@ Dark Y: Aha, dat dacht ik al. Dus gewoon een aangepaste versie van een al bestaand virus!

pstalman @Verwijderd • 2 september 2003 17:04

abcdef
123456

versie nummers

paella 2 september 2003 14:17

Die top 10 lijst komt redelijk overeen met wat ik zie op ons bedrijfsnetwerk (op blaster na natuurlijk

)

edit: het vage is dat we ook heel veel SoBig berichtjes krijgen, alleen dan zonder de executable...?!?!? Dus wel met subject + body, maar verder niets. Echt meer dan de helft soms... heel vaag.

[reactie op antwoord hieronder]: Nee, headers zien er "gewoon" uit. Trouwens, in principe zijn er maar 2 scanners waar ie uit kan worden gehaald, en de onze doet het iig niet...

Verwijderd @paella • 2 september 2003 17:48

je komt ze ook wel tegen met een verminkt attachment. McAfee noemt dez Sobig.F@dam (damaged). Blijkbaar gaat het virus ergens slordig om met z'n verspreiding.

jp @paella • 2 september 2003 14:31

Onderweg een scanner gepasseerd die het bericht doorlaat, maar attachments die het niet vertrouwd stript, denk ik.

Check the headers

BaRF @paella • 3 september 2003 09:12

Dit heb ik ook (momenteel worden er weer 2399 verwijdert

), ik krijg voornamelijk waarschuwingen dat ik het virus zelf verspreid. Gelukkig weet ik dat dat niet kan, maar het is echt kut...

WhiteDog 2 september 2003 14:19

Wie kijkt er nog naar om... de meeste mensen hebben ondertussen wel een virus-scanner en firewall. Het zit bij zowat elke nieuwe pc die verkocht word...

Hoop alleen dat bij de meeste mensen ook automatisch de laatste updates worden gedownload, anders heb je er niets aan

The Jester @WhiteDog • 2 september 2003 14:25

Hangt er maar vanaf welke scanner wordt bijgeleverd.
Epox, bij voorbeeld, levert PC-Cillin. Een install + update hield bij een klant van mij Sobig.F niet tegen.

De ene scanner is de andere niet...
PC-Cillin was overigens niet de enige die (erg) laat was.

_JGC_ @The Jester • 2 september 2003 17:54

Probleem bij die PC Cillin OEM installaties is dat ze 3 maanden na registreren ophouden, zonder daar ook maar iets over te melden. ja, je krijgt een mailtje van Trend antivirus waarin ze zeggen dat je voor 15 dollar de nieuwste versie kunt kopen, maar dan ga je er nog niet vanuit dat de auto-update functie helemaal niet meer werkt

En de updater maar zeggen: "The connection to the server was terminated unexpectedly". Uiteindelijk in de logs kijken: 8 aug de laatste update, profile van klant bekijken: 8 aug auto-update service verstreken

dadj @WhiteDog • 2 september 2003 15:24

"de meeste mensen hebben ondertussen wel een virus-scanner en firewall." Augustus lijkt me wel HET bewijs dat dit dus niet zo is.

Brahiewahiewa @dadj • 2 september 2003 17:01

"de meeste mensen hebben ondertussen wel een virus-scanner en firewall." Augustus lijkt me wel HET bewijs dat dit dus niet zo is.

Onzin. D'r zijn bijna 500 miljoen PC's op deze wereld en daarvan waren er 500000 besmet met Blaster; da's ongeveer 1 promille. De rest van de computers is kennelijk beschermd.

Swinnio @WhiteDog • 2 september 2003 15:15

Ook al download je automatisch altijd de laatste updates, dan nog worden er altijd een behoorlijk aantal computers besmet alvorens er alarm wordt geslagen en de makers van antivirus-software een update gaan uitbrengen.
Bovendien is het altijd mogelijk dat er securityleaks ontdekt worden bij applicaties/software die je firewall momenteel probleemloos toestaat.
Dus jouw suggestie dat je bij een goed geconfigureerde firewall en een actuele virusscanner compleet veilig bent, klopt niet.

Verwijderd @WhiteDog • 2 september 2003 17:50

Een aanvulling op een virusscanner is natuurlijk software die altijd .exe, .pif etc attachments uitfiltert. Daarmee vang je automatisch ook de meeste nieuwe onbekende virussen nog voor je AV update.
Is er eigenlijk AV software die dat zelf ook kan doen? Op onze Linux mailserver gebruik ik er MailScanner voor (www.mailscanner.info) in combinatie met AV software.

mjtdevries @Verwijderd • 3 september 2003 13:03

Is er dan AV software voor mailservers die daar geen opties voor heeft?
Afaik heeft alle AV software voor exchange die optie standaard.

Verwijderd @Verwijderd • 2 september 2003 15:42

@(DikkeDouwe)

dta is dus very snugger he.

virusscanner eraf slopen. Nou dankzij figuren zoals jij hebben die virussen zo'n lang leven vol succes.
en dat trage merk je echt niet hoor. Ik heb hier een duron 850 staan (jaja antiek mensen

). met gewoon NAV 2003. Alleen het opstarten is 10 seconden langer geworden. nou dat heb ik er wel voor over. want je doet het niet alleen voor jezelf zon scanner. maar om die virussen geen kans te geven. Want als jij er om schreeuwt om zo graag host te zijn voor zoiets, ben je mooi wel gelijk bij voorbaat al schuldig aan heel wat besmettingen. OMDAT je bewust die scanner er af laat of sloopt. Dusuh dankje feestelijk.
Tis gewoon dom en gevaarlijk om zoiets te doen. Sorry dak zo hard uithaal. maar als mensen zo denken dan ben je goed verkeerd bezig en zit IK ook met de problemen als ik niet uitkijk.

Little Penguin @Verwijderd • 2 september 2003 16:45

Nou dankzij figuren zoals jij hebben die virussen zo'n lang leven vol succes.

Op zich is het niet erg als men de scanner er af gooit. Als men dan OE en IE maar vervangt voor Mozilla of Opera.

99.9% van de e-mail virussen werkt toch alleen maar op O[E].

Tegen Blaster ed werkt zonder virusscanner alleen maar direct de patches installeren en/of achter een firewall (adsl router oid) gaan zitten...

Spacecowboy

@Verwijderd • 2 september 2003 15:33

Mmh, mijn pc is ook redelijk nieuw, draait gewoon NAV 2003, maar ik merk niks van traagheid.

Zonder virusscanner ben je toch vatbaarder voor virussen, zeker de wat enthousiaste gebruikers.

TeeDee 2 september 2003 14:19

Dit was te verwachten natuurlijk.

Ik had alleen niet verwacht dat het gat tussen Blaster en Sobig zo groot zou zijn. Ik heb meer te kampen gehad met Blaster dan met Sobig. Maar ja, dat is maar één ervaring, Sophos heeft er meerdere.

Volgens mij was het vorig jaar I Love You toch?

* 786562 TeeDeeAls alle providers ter wereld nu eens "prescanning" oid in zouden stellen? Dus alle traffic over hun apparatuur scannen en evt. cleanen oid. Maar dat zal wel toekomstmuziek/te ver gezocht zijn

Spacecowboy

@TeeDee • 2 september 2003 15:35

Dat komt denk ik doordat die blaster worm tegen microsoft specifiek gericht was, dit valt zeker in het nieuws de "leek" wat meer op, met als gevolg dat deze sneller de patch zal installeren.

Verwijderd 2 september 2003 14:24

Dat was me nog niet opgevallen

Hopelijk hebben de mensen die er last van gehad hebben begrepen dat ze toch beter in een virusscanner kunnen investeren.
Alhoewel ik het betwijfel. Mensen die niet wisten wat er gebeurt was brengen hun pc binnen. Ik bel de mensen op.
Meneer, mag ik u een virusscanner installeren? Tuurlijk. Doet u maar. Wat moet dat kosten?
Dan geef ik een bedrag.
Wat, zoveel? Voor hoe lang is dat dan?
1 jaar meneer.
Laat dan maar. De kans op een virus is toch niet zo groot.
Dan er AVG maar opgezet. Is toch gratis voor thuisgebruik.
Dan krijg je een hoop gezeur dat ze dat moeten up-daten.
En zo blijf ik wel bezig. Maar voor het internet in het algemeen zijn dergelijke individuen niet erg aangenaam.

egosuma 2 september 2003 14:25

En ook al een nieuwe gevaarlijke variant:

http://us.mcafee.com/virusInfo/default.asp?id=helpCenter&hcName=sobig

Ik zie dat bugbear nog steeds voorkomt in het rijtje.
Toch wel een 'oud' virus dacht ik. April 2003 ofzo..
Ben best verwonderd dat een virus het zo lang kan volhouden

mjtdevries @egosuma • 3 september 2003 13:07

Ik ben niet verbaasd. Er zijn nog veel oudere virussen die ook nog vrolijk in het wild gedijen.

Mensen blijven gewoon erg dom en lui waar het virussen betreft.
Je zou toch denken dat na de eerste serieuze virusuitbraak vorige maand iedereen weer eventjes zijn scanner up-to-date heeft gemaakt.
Maar nee hoor, een week later blijkt iedereen nog steeds of alweer geen interesse meer te hebben in een up-to-date virusscanner.

Als dat nog steeds niet mensen de ogen opent, dan helpt helemaal niets!

Verwijderd 2 september 2003 14:24

Die top 4 zijn toch allemaal windowsfiele virussen?
Bordering on off-topic maar ik begrijp niet dat Microsoft SP2 voor XP uitgesteld heeft. Hoop bedrijven gebruiken dat toch en een hoop gevoeligheden voor virussen kun je zo oplossen.

The Jester @Verwijderd • 2 september 2003 14:31

Het zijn allemaal windows-virii.
Er zijn tot dusver 7 Linux-virii en die zijn allemaal onderdeel van researchprojecten. Security issues worden doorgaans bijzonder snel opgelost, dus virii krijgen doorgaans geen kans op het Linux-platform.
Bovendien zijn de meeste on_line linux-bakken mail- web- of ftp-servers en staan dus gewoon vrijwel helemaal dicht.

Verwijderd @The Jester • 2 september 2003 15:33

Tsja, maar als Linux ooit echt doorbreekt in de Desktop-markt houdt dat ook snel op. Je kan nu misschien meer dan genoeg mensen zo ver krijgen dat ze Linux als volwaardig alternatief zien voor kantoorbezigheden die zich beperken tot een Office suite, maar het beheer van een Linuxmachine is toch nog heel andere koek. En zelfs als de distro's geweldige Linux Update Services krijgen, dan nog zullen gebruikers die moeten doorvoeren. Of denk je dat de privacygroeperingen minder zullen zeuren als Linux iets dergelijks doorvoert? Belangrijker nog, denk dat er vrij weinig Linux gebruikers zijn die er überhaupt over zouden peinzen een dergelijke service te installeren... Maar goed, dat kan ook veranderen bij een doorbraak in de Desktop-markt...

blouweKip @Verwijderd • 2 september 2003 17:49

Er zijn al genoeg distro's met prima update services, verschil tussen linux en windows is dat je in linux een stuk beter als gewone gebruiker kunt werken dan in windows, en ik zie die gebruikers echt geen virus executable maken en hem dan handmatig als root gaan draaien (meer ook omdat de gemiddelde gebruiker dat niet eens kan)

Verwijderd @Verwijderd • 2 september 2003 15:29

En al die gevoeligheden kan een verantwoordelijke, goede beheerder die op tijd patcht ook oplossen. Daar heb je SP2 niet voor nodig. SP2 is alleen handig voor al die duffe, slechte, onverantwoordelijke amateurs die je het liefst toch een automatische, niet uit te stellen, niet uit te zetten, niet te ontwijken update zou geven... Alleen jammer dat de QA van bedrijven als Microsoft nog altijd onder de maat is...

Verwijderd 2 september 2003 14:37

Tis erg zat natuurlijk dat dit gebeurd maar rara wie spint er garen bij dit soort berichten ? Zou wel eens een kijkje in de keuken bij die bestrijdingbedrijven willen nemen, kan ik met m'n eigen ogen zien of dit klopt ... Nogmaals erg zat allemaal.

Abom @Verwijderd • 2 september 2003 14:43

Of wat klopt? De hoeveelheid virussen die rond gestuurt worden?

Het klopt wel degelijk, onze e-mail scanner heeft et nog nooit zo druk gehad als afgelopen maand.

Verwijderd 2 september 2003 15:42

Als mail admin krijg ik voor ieder mailtje dat geinfecteerd binnenkomt een notificatie in mn eigen (externe) mailbox.
Ik kan het gewoon niet meer bijhouden, mn eigen mailbox stroomt alleen al over van de notificaties... en dat terwijl ik nog niet 1 virus mailtje heb binnengekregen

paella @Verwijderd • 2 september 2003 16:53

Ik heb dat maar snel uitgezet, het werden er er veeeeel te veeeeel. En de meeste komen bij ons op info@ en nieuwsbrief@ binnen, wat op zich ook wel te verwachten is, er gaan op naam van die adressen ook duizenden berichten per week uit.

Verwijderd 2 september 2003 14:54

Augustus natuurlijk !

Alle studentjes die net leren coden in c++ maar geen idee hebben van de inpakt die ze veroorzaken, of gewoon geen bal geven omdat ze geen ervaring hebben in de sector.

Het is idd niet moeilijk om sourcecode te vinden voor genoemde varianten.. 2 minuutjes google en ik had ze

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: