InformationWeek meldt dat er weer een interessante nieuwe worm over het internet dwaalt. De worm haalt steeds nieuwe titels en teksten uit nieuwsberichten op CNN's website, om een e-mailbericht zo echt mogelijk te laten lijken. Ook het attachment heeft een naam die goed bij het bericht past, waardoor het bericht overkomt als een authentieke nieuwsbrief van CNN. Als Crowt.a, de applicatie in het attachment, eenmaal geïnstalleerd is, begint het met het opslaan van toetsaanslagen, die vervolgens naar de maker gestuurd worden. Deze toetsaanslagen kunnen belangrijke gegevens voor bijvoorbeeld online bankieren bevatten, waar de verspreider van het virus dan weer misbruik van kan maken. Deze worm speelt dus in op de grote behoefte aan nieuws en het feit dat veel mensen sowieso al geabonneerd zijn op de nodige nieuwsbrieven. Daar heeft de maker van deze worm handig op ingespeeld.
Lees meer
Antivirusbedrijven overspoeld door MyTob-varianten
Nieuws van 5 juni 2005
Traditionele worm verdwijnt uit viruslandschap
Nieuws van 19 maart 2005
MySQL-worm 'MySpooler' valt servers aan
Nieuws van 28 januari 2005
Mogelijke auteur webcamvirus opgepakt in Spanje
Nieuws van 20 januari 2005
Microsoft zou volgende maand antivirussoftware voorstellen
Nieuws van 18 januari 2005
Testrit met Microsofts antispywareprogramma
Nieuws van 14 januari 2005
Bots sporen spyware op
Nieuws van 13 januari 2005
Ontdekker fouten virussoftware wellicht naar Franse cel
Nieuws van 12 januari 2005
Windows Media drm-features misbruikt door trojan
Nieuws van 12 januari 2005
Microsofts 'Titan' zal tien virussen elimineren
Nieuws van 11 januari 2005
Anti-Santy-worm probeert phpBB-sites te repareren
Nieuws van 3 januari 2005
Santy-makers niet voor één gat te vangen
Nieuws van 24 december 2004
Santy bestookt phpBB-websites
Nieuws van 22 december 2004
Netsky blijft virus top tien van Sophos aanvoeren
Nieuws van 3 december 2004
Reacties (30)
:strip_icc():strip_exif()/u/83337/countess6-nice.jpg?f=community){kind=small}
de makelijkste manier om van dit virus af te komen is natuurlijk om de CNN site aan te passen.
het virus moet op een bepaalde manier aan zinnige headlines komen. waarschijnlijk omdat headlines steeds op een bepaalde plaats in de HTML te vinden zijn.
door de site te verandere en ervoor te zorgen dat de headline die het virus krijgt altijd luid "dit is een virus" (zonder dat het op de website te zien is natuurlijk) zou het virus vanzelf moeten sterven
het virus moet op een bepaalde manier aan zinnige headlines komen. waarschijnlijk omdat headlines steeds op een bepaalde plaats in de HTML te vinden zijn.
door de site te verandere en ervoor te zorgen dat de headline die het virus krijgt altijd luid "dit is een virus" (zonder dat het op de website te zien is natuurlijk) zou het virus vanzelf moeten sterven
Het 'breaking news' maken op CNN is genoeg 
Is wel grappig ge-mod, maar als de worm de headlines uit de RSS feed haalt (wat waarschijnlijk is, anders moet je de HTML steeds parsen, en die verandert op CNN vrij vaak afhankelijk van het bericht du joure) dan zouden ze tijden een permanente RSS entry op de bovenste positie kunnen plaatsen.
Op die manier zouden de slachtoffers van de worm alsmede reguliere lezers op de hoogte zijn van het probleem.
Zal overigens wel niet gebeuren - veel waarschijnlijker is dat de sites/servers waar data naartoe gestuurd wordt onbruikbaar wordt/worden gemaakt.
Op die manier zouden de slachtoffers van de worm alsmede reguliere lezers op de hoogte zijn van het probleem.
Zal overigens wel niet gebeuren - veel waarschijnlijker is dat de sites/servers waar data naartoe gestuurd wordt onbruikbaar wordt/worden gemaakt.
:strip_exif()/u/2177/avatar.gif?f=community){kind=avatar}
Je zou zeggen dat het dan eenvoudig is die gast op te pakken. Je hoeft alleen na te gaan waar al die gegevens heen gestuurd worden.
Dat kan even goed een of gratis service zijn voor webruimte (zoals er zovelen zijn). Die hoeft niet geregistreerd te zijn met echte gegevens én kan geconsulteerd worden vanuit bijvoorbeeld een internetcafé of hotelkamer.
Op die manier kan je imho je identiteit al redelijk lang verbergen mits je zelf voorzichtig bent. En dan heb ik niet eens gesproken over spoofingmethodes en proxys
Natuurlijk betekent dat allemaal niet dat hij ongrijpbaar zal zijn, maar ik denk dat het oppakken van een cybercrimineel die weet wat hij doet niet zo eenvoudig is als jij wil doen uitschijnen
Op die manier kan je imho je identiteit al redelijk lang verbergen mits je zelf voorzichtig bent. En dan heb ik niet eens gesproken over spoofingmethodes en proxys
Natuurlijk betekent dat allemaal niet dat hij ongrijpbaar zal zijn, maar ik denk dat het oppakken van een cybercrimineel die weet wat hij doet niet zo eenvoudig is als jij wil doen uitschijnen
/u/107051/jeroenmadtrix60.png?f=community){kind=small}
Psst, die worm kijkt op het moment dat ie gestart wordt naar de nieuwste headlines van CNN (vanuit de pc van het slachtoffer), vermoedelijk via de RSS feed ofzo. Nagaan waar al dat verkeer heen gaat heeft dus geen nut, dan krijg je de slachtoffers te pakken, en niet de maker van de worm.
Er worden ook gegevens naar de maker gestuurd:
Als Crowt.a, de applicatie in het attachment, eenmaal geïnstalleerd is, begint het met het opslaan van toetsaanslagen, die vervolgens naar de maker gestuurd worden.
is vrij makkelijk hoor: http://cocorosa.ath.cx is zijn host en zijn email is ramonvaldezar@yahoo.com.ar
kijk maar op http://www.sophos.com/virusinfo/analyses/w32crowta.html# onder advanced.
maar dat is natuurlijk maar een gratis account.
kijk maar op http://www.sophos.com/virusinfo/analyses/w32crowta.html# onder advanced.
maar dat is natuurlijk maar een gratis account.
Dit lijkt me wel tegen de policy van Yahoo in gaan. Die zullen dat account nu wel afgesloten hebben. Dat domein is ook wel te filteren door de ISP's (ik kan er vanaf Chello al niet meer bij)(
Je pakt daar de dader niet mee, maar je zorgt er wel voor dat hij geen resultaten van de worm meer door krijgt.
Je pakt daar de dader niet mee, maar je zorgt er wel voor dat hij geen resultaten van de worm meer door krijgt.
:strip_icc():strip_exif()/u/30558/a.jpg?f=community){kind=small}
huh 
Pinging cocorosa.ath.cx [10.0.1.128]
alle sites werken fijn
hoe kan het nu dat deze site naar een lokaal ip geroute wordt?
Pinging cocorosa.ath.cx [10.0.1.128]
alle sites werken fijn
hoe kan het nu dat deze site naar een lokaal ip geroute wordt?
Dat is het IP adres van je ISP. Die hebben de DNS aangepast naar een voor hun lokaal netwerk. Daar slaan zij alle gegevens op die op jouw pc ingetypt worden.
Maar ik vraag me af waarom juist dit virus in het nieuws komt? Omdat het een nieuwe techniek is óf omdat er gebruik wordt gemaakt van een grote site?
Als je namelijk op de site van McAffee kijkt, dan is het niet 1 van de meest gevaarlijke/meest verspreide wormen...
Maar ik vraag me af waarom juist dit virus in het nieuws komt? Omdat het een nieuwe techniek is óf omdat er gebruik wordt gemaakt van een grote site?
Als je namelijk op de site van McAffee kijkt, dan is het niet 1 van de meest gevaarlijke/meest verspreide wormen...
Zelfde hier vanaf sapo.pt waarschijnlijk heeft de dns beheerder van ath.cx ook maatregelen getroffen.
Ik vraag me alleen af waarom dit nummer en geen localhost. Iemand daar een verklaring voor?
Ik vraag me alleen af waarom dit nummer en geen localhost. Iemand daar een verklaring voor?
Zou dit ook in Mozilla mail/browser werken of alleen in Outlook/IE/ActiveX ??
:strip_icc():strip_exif()/u/31038/crop591302acebbd4_cropped.jpeg?f=community){kind=small}
het gaat hier om een e-mail bericht, kortom zeer standaard stuurt ie naar iedereen een e-mail. En met welke mail client je hem ook openmaakt, die attachement blijft hetzelfde.
ja, maar als het een of ander activeX component gebruikt, dan werkt het niet ine een non-outlook client. Als het bv vbs gebruikt, dan werkt het niet onder non-ms os-en... etc
het maakt dus wel uit wat voor technologie het attachment gebruikt
het maakt dus wel uit wat voor technologie het attachment gebruikt
/u/36659/crop65f402601bb24_cropped.png?f=community){kind=small}
ook niet in een geupdate wel-outlook...
dat geflame op ms/outlook de heletijd... een up2date outlook2003 komt geen drol doorheen.
dat geflame op ms/outlook de heletijd... een up2date outlook2003 komt geen drol doorheen.
Geen paniek echter; gelukkig kan je gebruik maken van een virusscanner en een firewall, die dit beestje onschadelijk maken.
edit: verkeerde subthread
/u/32913/crop5609886665acc.png?f=community){kind=small}
Mmm... als ik een nieuwsbrief krijg van CNN, terwijl ik me niet eens heb aangemeld dan krijg ik toch echt wel een vermoeden dat er iets niet helemaal zuiver is.De worm haalt steeds nieuwe titels en teksten uit nieuwsberichten op CCN's website, om een e-mailbericht zo echt mogelijk te laten lijken. Ook het attachment heeft een naam die goed bij het bericht past, waardoor het bericht overkomt als een authentieke nieuwsbrief van CNN.
Oftewel, naar de trashcan ipv openen...
Stel je voor dat het nitwits zijn? die denken zoals beschreven "Ahh heerlijk...nieuws" en vervolgens is het einde oefening...niet iedereen denk zo na
tis al eerder gezegd, maar als ik zo'n ongevraagde nieuwsbrief krijg gaat ie als"shift;delete en enter" tenminste ook niet via de prullebak. vaya con dios dus.
:strip_icc():strip_exif()/u/110476/debian_tux_eyes.jpg?f=community){kind=small}
Maar dat is dus niet bij een leek het geval. Ik weet dat mijn oom bijvoorbeeld dat mailtje zal gaan openen als hij hem krijgt. Het enige wat je daar tegen kunt doen is waarschuwen en goed in de gaten houden op welke nieuwsbrieven je geabonneerd bent
Nen normaal denkende mens moet toch bedenkingen hebben bij attachments die meekomen met nen nieuwsbrief van CNN, zelfs als ze zich daarvoor hebben ingeschreven.
Krijg je de nieuwbrief :
headlines :
virus verspreidt zich door CNN nieuwsbrief
headlines :
virus verspreidt zich door CNN nieuwsbrief
/u/56638/ik2.JPG?f=community){kind=small}
tsja das ook een manier natuurlijk, moet zeggen ze worden steeds echter 
of juist steeds beter, zo worden wordscanner nml ook steeds beter en zitten we beter tegen een eventuele echte serieuze aanval oid ;p
/u/51769/SPACELY3.GIF?f=community){kind=small}
kleine verbetering maarja als je gewoon let op wat je opent gewoon de attachment niet uitvoeren.
Als je the full header controleerd kan je er achter komen of de mail echt van een bepaald persoon komt.
Maar welke figuur instaleerd iets van CNN?
Wie heeft er een CNN nieuwsbrief ik niet dan valt het wel op. En als je die wel hebt valt het ook op opeens 1 extra nieuws brief.
Als je the full header controleerd kan je er achter komen of de mail echt van een bepaald persoon komt.
Maar welke figuur instaleerd iets van CNN?
Wie heeft er een CNN nieuwsbrief ik niet dan valt het wel op. En als je die wel hebt valt het ook op opeens 1 extra nieuws brief.
:strip_icc():strip_exif()/u/79988/XD_small.jpg?f=community){kind=small}
Zal die zo slim zijn die toetsaanslagen naar een andere PC te sturen, voordat ie ook snel gepakt wordt, like the webcam guy
Maar t moet eens stoppen met al die virussen, maakt internet er niet leuker op. Ik open geen mailtjes met verdachte afzenders en attachments, alleen dingen waarvan ik zeker weet dat ik ze kan vertrouwen. Gelukkig krijg ik praktisch nooit van die ongein
Maar t moet eens stoppen met al die virussen, maakt internet er niet leuker op. Ik open geen mailtjes met verdachte afzenders en attachments, alleen dingen waarvan ik zeker weet dat ik ze kan vertrouwen. Gelukkig krijg ik praktisch nooit van die ongein
:strip_exif()/u/23102/anandus.gif?f=community){kind=small}
Waar haalt de worm z'n nieuws vandaan? Een RSS-feed ofzo?
Op dit item kan niet meer gereageerd worden.