Zafi.b bezig aan een opmars

Viruswaarschuwing Viruslist maakt melding van een nieuw virus genaamd Zafi.b dat goed is voor 40 procent van alle virusmeldingen. Dit in assembler geschreven virus verspreidt zich sinds 11 juni via e-mail, lokale netwerken en peer-to-peer-netwerken. E-mailberichten die verzoeken om op een link te klikken naar een elektronische kaart, onder andere in het Nederlands, Duits en Italiaans, kunnen beter met rust worden gelaten, daar dit een van de berichten is waarmee het virus wordt verspreidt. Op p2p-netwerken zit het virus verstopt in onder andere de files "winamp 7.0 full_install.exe" en "Total Commander 7.0 full_install.exe". Het virus staat ook bekend onder de naam Erkez.B en is inmiddels bij diverse anti-virusmakers bekend, waaronder F-secure. Meer informatie over het virus kun je vinden in een sticky op Beveiligingen & Virussen en in de volgende discussie op ons forum, Gathering of Tweakers.

IT-banen

Reacties (55)

Sfynx 14 juni 2004 20:48

Gelukkig moet je hier zelf een domme handeling verrichten (een vaag bestand openen, een link aanklikken) voordat er iets kan gebeuren. Dus een minder groot gevaar dan wormen als Blaster/Sasser.

Rafe @Sfynx • 14 juni 2004 21:01

Maar dat het virus ook Nederlandse teksen stuurt (sterker nog, die heb ik alleen maar gekregen) maakt het wel een stuk gevaarlijker in het land. Het is dat ik zag dat de link zo'n raar blokje in de URL had, anders had ik in het begin niets raars (op de afzender na) gezien. Meeste virusmails zijn in (brak) Engels, zoiets valt veel sneller op.

Kevinp @Rafe • 14 juni 2004 21:40

Het word tijd dat subject verplicht word. Dan zetten veel mensen daar wel iets zinnigs neer. Waardoor je weer of je het kan vertrouwen. Dit is ook maar tijdelijk maar toch.

NBK @Kevinp • 14 juni 2004 23:41

Dat is niet waar. De meeste mensen houden het subject gewoon zo kort mogelijk. De meeste virussen hebben gewoon netjes een subject.
Het is omdat de meeste virussen in het engels zijn en er daarom voor ons nogal makkelijk uit te vissen zijn. Toen ik een mailtje van dit type onder me neus kreeg vroeg ik me toch serieus af of me filter me in de steek had gelaten. Ik filter namelijk alle .pif (.scr, .vbs .etc)bijlages automatisch uit me mail. Maar een nederlands mailtje dat naar een site linked die ook echt e-cards verstuurd en waarvan de link het vervolgens niet doet nodigt redelijk uit om toch maar de bijlage te proberen.

Anoniem: 73130 @Sfynx • 14 juni 2004 21:58

Ik voorspel een grote carriere voor dit beestje.

- Nederlandse tekst?
- E-Card?

Daar valt waarschijnlijk 90% van mijn familie, vrienden, bekenden en collega's voor. Ik zoek maar vast dekking...

FoOL @Anoniem: 73130 • 14 juni 2004 22:48

Nou, ik denk dat een Italiaan niet zo gauw op een link gaat klikken in een Nederlands mailtje, evenals Amerikanen, Chinezen, etc.

Ik voorzie dus geen al te glorieuze toekomst... Engels blijft toch de beste taal voor dit soort ongein

Anoniem: 58853 @FoOL • 14 juni 2004 23:15

Ervaring met het versturen van customized, bad language virusmails

Anoniem: 97640 @FoOL • 15 juni 2004 09:09

Helaas kijkt het virus naar welk top level domain de mail gaat .be, .fr, .es en stuurt dan in de lokale taal het mailtje!
Zeer vies gedaan dus.

Anoniem: 115224 @FoOL • 16 juni 2004 00:33

Zolang het geen .ZE (Zeeland) is, reageer ik er niet op... Nou krijg ik verdomd weinig email... Alleen maar virussen zoals NL (?) domeinen

BertG @Sfynx • 14 juni 2004 21:05

Edit: dit was bedoeld als reactie op HennoS om aan te geven dat er genoeg mensen zijn die die domme handeling uitvoeren omdat deze op slimme manier verstopt is in een overtuigende mail, en dus veel mensen die in eerste instantie niet goed kijken en ook niet beter gaan kijken er zo intuinen (zoals Rafe ook zei in zijn reactie). Oke, misschien niet helemaal on-topic en inmiddels ook dubbel (F5

)

Dit is toch wel een erg sneaky manier op virussen te versturen, en er zijn een hoop mensen die er in tuinen. Er zijn genoeg mensen die op de link klikken zonder na te denken dat het een virus zou kunnen zijn. Vooral als het van "Jan de Buurman" is bijvoorbeeld, onder het mom van: "Jan stuurt ons toch geen virus."

Mijn ouders hadden laatst mail van de systeembeheerder van hun internetprovider, daar stond in dat er veel virussen vanaf hun pc werd verstuurd en dat ze het bijgeleverde bestand moesten openen om het virus op hun pc te verwijderen. Dit was een redelijk net mailtje, alleen ondertekend met "Have fun, de systeembeheerder".
Gelukkig vragen mijn ouders mij altijd om raad zodra het woord virus ergens verschijnt (in de digitale wereld dan). Ik heb virusscanner geupdate en pc gescand, voor de zekerheid kon me niet voorstellen dat het van die pc zou komen, maar je weet nooit. Niets gevonden, mailtje van internetprovider beter gelezen, zag de manier van groeten, rinkel rinkel (belletje), bestand bekeken dat geattached zat, heette iets in de geest van repair&&^#%.exe.pif en dus direct maar weggegooid die mail.

Bovenstaande mail was dus wel gestuurd namens het servicemailadres van de provider, ik weet niet hoeveel mensen er goedgelovig wel op geklikt hebben. Maar aangezien er ook al redelijk vaak "Hi, I have this nice picture for you" mails van collega's komen, vrees ik het ergste.

Anoniem: 55170 @BertG • 14 juni 2004 22:07

Mijn ouders hadden laatst mail van de systeembeheerder van hun internetprovider, daar stond in dat er veel virussen vanaf hun pc werd verstuurd en dat ze het bijgeleverde bestand moesten openen om het virus op hun pc te verwijderen. Dit was een redelijk net mailtje, alleen ondertekend met "Have fun, de systeembeheerder".

Ik ken geen enkele NL ISP waarbij de "systeembeheerder " dergelijke mails schrijft.

De grote isp's laten zulke mail over aan abuse- afdelingen; en in die mails zullen altijd logische & relevante verwijzingen staan naar de website van de isp in kwestie.

... en "have fun" ipv m.vr.gr past ook niet echt

roderickvd 15 juni 2004 03:16

Vraagje: werkt dit virus ook op Mozilla/Thunderbird, of betreft het alleen Microsoft Outlook [Express]?

BTB @roderickvd • 15 juni 2004 09:13

Heel goede vraag. Voor zover ik weet schiet de `ondersteuning' van virussen nogal tekort bij Mozilla/Firebird (en andere mail-clients)

MAher @roderickvd • 15 juni 2004 08:13

'k geloof dat het intussen toch wel duidelijk is dat virussen voornamelijk misbruik maken van de domheid/nieuwsgierigheid van de gebruiker...
Onafhankelijk van welke client je gebruikt, als je een bijlage opent met een virus dan ben je gewoon gesjocht. punt.

Dat Outlook [express] het standaard wat makkelijker maakt voor virussen is imho slechts bijzaak en het gebruik van een andere client ontslaat je niet van de verpichtign je hersens te gebruiken. (en een up-to-date virusscanner

)

The Jester 14 juni 2004 22:08

Het smerige aan deze worm, is dat hij ervoor zorgt dat:
regedit, taskman, alle programma's met vir erin alsook alles met firewall in de naam platlegt.
Het is dus, eenmaal geïnfecteerd, ondoenlijk om middesl CTRL-ALT-DEL de taskman op te roepen en het process te killen. Regedit draaien om de autostart weg te tiefen gaat dan ook niet meer (zelfs niet in safemode).

Symantec heeft pas voor de live-update een bescherming sinds 13/06, terwijl de worm al eerder actief was.

Dit is écht een hele smerige worm.

ControlFreak @The Jester • 15 juni 2004 11:09

FF tip voor die die geinfecteerd zijn... Rename je regedit naar bijvoorbeeld regdit en dan werkt ie weer. Dit komt omdat het virus op naam van het bestand blockt. Dus toch niet zo'n geavanceerd virus als je zou denken

ILUsion @ControlFreak • 15 juni 2004 12:48

Ik denk nu eenmaal dat een hiërarchisch bestandssysteem juist steunt op bestandsnamen? Volgens mij is het wel mogelijk om het programma te laten scannen naar je registereditor maar dan zit je met enkele mogelijkheden:
- scannen en de naam vergelijken met regedit.exe
- alle exe's scannen en de eigenschappen vergelijken met die van register editor

problemen waarmee je te maken hebt zijn verschillende versie van regedit door een andere taal of een andere versie van Windows dus moet je die ook allemaal bijrekenen.
Daarnaast is het overigens niet haalbaar om de harde schijf helemaal te scannen omdat zo'n geratel vaak al laat vermoeden dat er iets mis is als je maar gewoon zit te surfen...

Daarnaast is het niet echt aan te raden om een Windowsbestand een andere naam te geven: als er iemand op je pc wat onderhoudswerken uit moet voeren, moet hij helemaal de Windows-map uitspitten om regedit.exe te vinden (terwijl een normale systeembeheerder liever dit doet: Win+R (of Start>Uitvoeren(Run) ) en "regedit" om zo in het register te komen dan voor elke computer tien minuten te zoeken om dan een sleuteltje aan te passen...

ControlFreak @ILUsion • 15 juni 2004 13:15

Het is ook niet de bedoeling dat je het bestand zo laat. Ik denk toch echt wel dat je daarna (wanneer je het virus uit je register hebt gehaald) je naam weer terugveranderd. En trouwens een systeembeheerder zou sneller werken met regedt32.exe i.p.v. regedit Dit omdat je met de 32-bit versie rechten kan geven en daardoor mensen op hun eigen computer kan beschermen voor deze virussen. (trouwens het virus blockt dit programma ook niet)

[Roland] 14 juni 2004 20:55

Hallo!

CARLA heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.indexabD1

Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Bovenstaand is een voorbeeld van dit virus, de link werkt niet en kaspersky heeft de bijlage al onschadelijk gemaakt, echter lijkt dit bedriegelijk echt, vooral vanwege de Nederlandse tekst, ik heb deze en een variant met als afzender Cap Gemini gezien, het is dat een collega 2 van dit soort mailtjes achter elkaar kreeg anders was hij er waarschijnlijk ingetuind (al was kaspersky weer zo snel dat dat toch niet gelukt zou zijn)

Anoniem: 60780 @[Roland] • 14 juni 2004 21:44

...kopiren...

De redactie taalsite primair onderwijs...

Haha. Dead givaway.

Mizitras @[Roland] • 14 juni 2004 21:19

Wie is Carla ?

Anoniem: 58827 @Mizitras • 14 juni 2004 21:23

Een lekkere blonde stoot met lange golvende blonde haren cup d en een virus op d'r pc.

Anoniem: 99011 14 juni 2004 20:49

Meer informatie over het virus kan je vinden op securityresponse.symantec.com/avcenter/venc/data/w32.erkez.b@mm.html

LOL ik heb hem zelf ook ff virus removal tool downloaden

syl765 14 juni 2004 21:07

Lekker kort door de bocht

ikheb geen virusscanner en dus ook geen virus !!

Ik doe nooit geen aids test dus ik heb ook geen aids.

BaatZ @syl765 • 14 juni 2004 21:23

Tis een goede redenering, maar toch klopt het niet. Voorzichtige gebruikers krijgen geen virussen.

Ik heb in januari mijn bak opnieuw geinstalleerd, en toen geen virusscanner erbij gedaan. Pas gisteren heb ik Norton Antivirus 2004 geinstalleerd, en heb er mee gescand. Ik had geen enkel virus. Ook spyware komt bij mij niet verder dan enkele tracking cookies.

Nu moet ik eerlijk toegeven dat ik erg spaarzaam ben met het geven van mijn email adres, en alleen attachments open van mensen nadat ik ze gereplied heb om te bevestigen dat ze inderdaad een attachment verzonden hebben, maar toch. Virusscanners vreten zoveel resources

mxcreep @BaatZ • 14 juni 2004 21:31

Dat noem je : meer geluk dan wijsheid !

paella @BaatZ • 17 juni 2004 07:55

Dan nog moet je je systeem up-to-date houden, zie de Blaster en Sasser wormen... had jij wel last van gehad (maar waarschijnlijk zit je achter een router of heb je je systeem wel degelijk up-to-date via windowsupdate?)

0siris @syl765 • 15 juni 2004 13:16

ik denk dat de analogie in zijn geval moet zijn:
"ik heb nooit seks dus ook geen aids"

Noob-Saibot 14 juni 2004 20:59

lekker vaag, heb geen virusscanner of firewall geinstalleerd en dus ook niet aan staan en heb nooit last van virussen enzo, volgens mij trekken virusscanners en firewall's virussen aan ofzo

garagaholic @Noob-Saibot • 15 juni 2004 11:25

Als je geen virusscanner hebt dan zul je ook niet zo snel merken dat je een zulksoortig virus 'hebt'. Ik dacht toentertijd (windows zonder scanner) dat ik ook geen last had. Fout! Scanner geinstalleerd en dr toch wat gevonden.

Nu heb ik geen actieve virusscanner meer, heb F-prot wel, voor t geval ik 't zaakje niet meer vertrouw, maar dit is vooral doordat ik nu linux draai, met windows vind ik dit zeer af te raden

soczol

14 juni 2004 20:53

Zeg dat wel, heb er nu al een stuk of 150 gehad

pic: http://www.soclatez.com/erkez.jpg

THC 14 juni 2004 21:05

Tsss alsof de gemiddelde computer gebruiker niet eens weet dat Winamp volgens de fibonachi reeks gaat werken. Winamp 7 komt daar niet eens in voor.

http://www.winamp.com/player/faq/#10

Maar waarom drukken mensen nog steeds in E-mails op links, ook de gemiddelde gebruiker heeft toch inmiddels door dat dat niet zo verstandig is. Mijn pa is echt geen held in computers, maar hij gooit mailtjes waar hij het niet 100% zeker van weet gewoon weg.

UltimateB 14 juni 2004 21:23

Ik heb gesproken met de beheerder van postkaarten.nl, die gast wordt helemaal gestoord op dit moment van alle telefoontjes en mailtjes die verschijnen als reactie hierop.

Ik heb onderhand ook al 50-100 van deze mailtjes gehad... het wordt steeds gekker met die virus mailtjes

Op dit item kan niet meer gereageerd worden.

Zafi.b bezig aan een opmars

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: