Äldre inlägg (arkiv) till 2003-06-06

[Carola Svanberg]

God kväll  
Jag har via Norton antivirus nyss knuffat ur ett AGanga W32 (xx.zlq) och ett konstigt från inge.ledje@telia.com. Ni som vet vad ni gör, hur uppdaterar jag ZoneAlarm väggen? Jag var in på ZA-sidan, men det är synd att säga att jag förstod.  Hur exakt hittar jag (WindowsME) temp-filerna? Får jag bort lite skräp, och piffar upp väggen så blir det nog lugnare.  
I marginalen fråga, vem är största boven, jag och mitt vandrande mellan rötter, google och en snabbis in på 1890, eller dotterns snurrande på Bananaislands och Lunarstorm. Tack och god natt.Carola

[Gunnell Forsén]

Jag brukar tömma mappen Temporära Internet-filer under Windows varje dag förutom att jag har ett bra virusprogram. Kolla gärna Cookies-mappen också under Windows och mappen Tidigare. Rensa allt varje dag såvida man varit ute och surfat. Det sparar även plats på hårddisken och eliminerar risken att få spam.
 
Din adress Carola ligger någonstans där Ganda-viruset har kopierat den och sedan skickat mail till dej. Jag får också såna mail till min ena hotmail-adress eftersom det är den adressen som jag lämnar ut offentligt. Min ordinarie adress som ligger under Outlook lämnar jag ut enbart till utvalda personer.  
 
Anbytarforum kan ju vara en bov faktiskt eftersom man kan maila till varann därifrån - förmodligen har min adress vidarebefordrats via en person som mailat till min hotmailadress från Abf och från den personens adressbok så har viruset kopierat e-postadresser. Men man kan nog råka ut för Ganda lite här och var. Ett bra antivirus-program som gör att man inte kan öppna bifogad scr-fil eller som helt stoppar eländet innan det når mailboxen, är väl säkraste sättet att inte få in viruset i sin dator. Om jag förstått rätt.
Hälsningar/Gunnell

[Rune Edström (Rune)]

Hej
Bäst ni är uppmärksam framöver
rune
 
Vi har uppgraderat masken Fizzer till F-Secure Radar nivå 1, den högsta varningsnivån då den under måndagen fått ökad spridning, framförallt i Asien. Fizzer är just nu den mest spridda masken i världen, totalt sett.  
 
Fizzer är en av de mest komplicerade maskarna vi har sett någonsin. Bland annat är den väldigt stor, ca 200 kb, och innehåller en stor mängd olika komponenter, däribland en webbserver som har bl a bakdörrsfunktioner, AOL klient, IRC bakdörr, Denial of Service agent, spridning via e-post och Kazaa m.m. Allt detta gör den väldigt svåranalyserad.
 
F-Secure Anti-Virus har haft skydd mot Fizzer sedan 9 maj.
 
Mer information tillsammans med bortagningsinstruktioner finns i vår virusbeskrivning:
http://www.F-Secure.se/virus/virusinfo.asp?Namn=Fizzer

[Monica Trennéus]

Hej  
Idag har jag fått 2 mejl som hade virus. Jag hoppas att alla forskare har virusprogram istallerat för det är ju tråkigt om någon skickar mig information som min dator slänger ut.
 
Hälsningar
Monica Trenn?us

[Stig Hansson]

Har just fått ett mail innehållande ett virus från webmaster@svar.ra.se. Troligen har jag vid något tillfälle lämnat ut min adress dit eftersom den här typen av virus skickar sig självt vidare med ledning av adressböcker. Det som i så fall är allvarligt är att SVAR inte har något antivirusprogram installerat. Det har jag däremot så ingen skada skedde. Har fler än jag drabbats?

[Lotta Nordin (Lotta)]

Hej Stig!
 
Många virus plockar adresser i adressböcker och på cachade sidor och använder dom som avsändare. Så det behöver inte nödvändigtvis komma från den avsändaren som står i ebrevet. Det är till och med mycket vanligt att det inte gör det.
 
Mvh//
Lotta

[Rune Edström (Rune)]

Hej
Verkar aldrig ta slut på skiten som kommer på internet  Kl 08.08
rune
 
****************************
Status: Maskvarning
Spridning: Medel
Radar nivå: 2
****************************
 
Under natten 18 till 19 maj upptäcktes en ny e-post och nätverksmask. Masken, som heter Palyh (kallas även Mankx) har initialt fått relativt stor spridning och vi har även fått in rapporter om att den finns i Sverige.
 
Palyh kommer som en bifogad PIF fil till e-postmeddelanden. Avsändaren är alltid support@microsoft.com. Masken har inga funktioner för att automatiskt starta den bifogade filen när man öppnar meddelandet, utan det krävs att man startar filen för att masken ska aktivera.
 
När Palyh aktiveras skickar den sig själv till alla e-postadresser den hittar på datorn och kopierar även sig själv till alla tillgängliga nätverksenheter.
 
Palyh försöker även ladda ner filer från fyra olika webbplatser. Detta gör att masken kan uppgradera sig själv, byggas på med nya funktioner samt installera andra program t ex en trojan automatiskt.
 
Palyh sprider sig endast fram till 31 maj 2003. Efter det slutar den skicka e-postmeddelanden och kopiera sig själv till nätverket. Den försöker fortfarande ladda ner och starta nya program från de fyra webbplatserna efter detta datum. Tiden är baserad på datorns tidsinställningar.
 
F-Secure Anti-Virus har detektion för Palyh med uppdateringar senare än 03:49 19 maj 2003.
 
Mer information om Palyh finns på:
http://www.F-Secure.se/virus/virusinfo.asp?Namn=Palyh
 
Senare under dagen kl 13.35
 
F-Secure har uppgraderat masken Palyh till F-Secure Radar nivå 1, den högsta nivån, då antalet rapporterade infektioner har ökat dramatiskt de senaste 12 timmarna.

[Christian Andersson]

Hej Stig.
 
Jag tror nog att man ligger och skannar adresser här på Anbytarforum, jag har aldrig haft någon kontakt med SVAR via email.
 
Det vore trist om vi måste sluta med att lämna våra adresser på forumet .....
 
Kanske skulle det gå att generera en bild av email-adressen i stället för att lägga ut den i klartext .....
 

 
Vad säger de som har om att här på Anbytarforum?
   

[Gunnell Forsén]

Förmodligen är inte Anbytarforum boven i dramat, utan möjligen några av oss som svarar via mail till varandra. SVAR har antagligen inte ett dugg med mailet att göra utan någon som fått viruset i sin dator har SVARs adress i sin adressbok varifrån viruset kopierat den. Sedan skickar viruset mail från adressen till andra adresser som det också har kopierat.  
 
Jag har själv fått mail från helt främmande människor som själva inte skickat dem och dessutom har andra fått mail från min adress, med Ganda-virus. Själv brukar jag maila tillbaka och tala om att det skickats virus i deras namn.  
 
Kan återigen rekommendera att ha en skräp-adress som lämnas ut officiellt och gärna då Hotmail som har bra antivirusprogram.  
 
Hälsningar/Gunnell

[Torgny Henriksson]

jdbgmrg. Jag fick följande virusvarning från en för mig okänd person:
Hej  på er allihopa!
 
Jag fick ett virus genom att jag fanns i en adressbok och eftersom DU finns i min adressbok, har det antaglingen kommit till DIN dator också
 
 Viruset heter jdbgmrg.exe DET tas inte bort av vare sig Norton eller McAfee virusprogram. Viruset gör ingenting i 14 dagar men sen börjar det förstöra hela systemet och skickas automatiskt till alla MSN-messenger och från DIN adressbok vare sig DU mejlat eller ej.
 
 
Det är lätt att ta bort. Gör så här.
 
1.  Gå till start, sedan sök
 
2.  Tryck på Filer/mappar och skriv in namnet jdbgmgr.exe  
 
3.  Du måste söka i C
 
4.  Viruset har en grå nallebjörn som logo med namnet jdbgmgr.exe. ÖPPNA DEN INTE
 
5.  Högerklicka och ta bort den/delete
 
6.  Gå även till papperskorgen och ta bort den därifrån också.
 
7.  Om DU har fått detta virus MÅSTE Du kontakta alla i DIN adressbok för att de har antagligen också fått det.
 
8.  DETTA MÅSTE GÖRAS SÅ FORT SOM MÖJLIGT
Någon som vet något om detta?

[Gunnell Forsén]

Är inte detta ett hoax-virus??? jdbgmrg.exe är en fil som SKA finnas om jag inte minns fel. Rätta mej om jag har fel. Den ska isåfall INTE tas bort!
 
Läs gärna om detta hoax på F-secures hemsida.
http://www.f-secure.se/virus/hoax/hoaxinfo.asp?Id=117
 
Det har även diskuterats tidigare under det här ämnet i Abf.
 
Hälsningar/Gunnell

[Michaël Lehman (Philippos)]

Detta är en gammal hoax (alltså en falsk virusvarning), som vid detta lag har gått ett oräkneligt antal varv runt jorden. Filen jdbgmrg.exe är inte ett virus, utan en standardkomponent i Windows. Läs mer  här.

[Birgitta Ohlsson]

Hej
 
Detta är ett så kallat Hoax, alltså en bluff som dyker om med jämna mellanrum. jdbgmgr.exe används av windows för att klara av långa filnamn. Det är alltså inget virus. Så här står det på F-secures sida:  
 
jdbgmgr är en standard Windows komponent som finns i varje Windows installation. Den används som Java felsökningshanterare i Microsoft Java runtime motor. Ikonen av originalfilen JDBGMGR.EXE ser av någon anledning ut som en nallebjörn. Kolla in denna sida på Symantec vad de säger om jdbgmgr.exe och flera andra hoax:
 
http://securityresponse.symantec.com/avcenter/hoax.html
 
 
Mvh
 
Birgitta

[Birgitta Ohlsson]

Christian Andersson
 
Hoppas du inte öppnade filen till mailet du har med som illustration här ovan. Det innehåller  viruset Ganda, fast det visste du kanske redan?
 
Mvh
 
Birgitta

[Christian Andersson]

Hej Birgitta!
 
Naturligtvis öppnade jag inte! Vill du ha det av mig :-? Anledningen till att jag gjorde mig besvär var ju för att varna de godtrogna.
 
Jag är övertygad om att man skannar av sidor som exempelvis Anbytarforum i sig jakt på fungerade email-adresser. Eller också köper man adresserna av någon som redan har skannat. Det pågår ju hela tiden. Vad tror ni alla SPAM kommer ifrån. Ett exempel på SPAM är ju just de erbjudanden man får om att köpa en CD med miljontals email-adresser.  
 
Så slutar vi med att publicera email-adresser i klartext här på Anbytarforum tror jag vi kan slippa mycket bekymmer. Trist men icke desto mindre sant.
 
mvh Christian
 

[Birgitta Ohlsson]

Hej Christian
 
Finns ingen anledning för dig av vara otrevlig när jag bara vänligt påpekade att det var ett virusmail du använde som illustration. Det framgick ju inte direkt i ditt inlägg att det var ett virusmail eller hur? Nej tack jag vill inte ha ditt mail. Jag har själv fått ett antal av dessa, senast ett igår kväll med exakt samma subject som det du hade med i inlägget.
 
Birgitta

[Lotta Nordin (Lotta)]

Hej Christian!
 
Varför läser du inte hur virusen bär sig åt för att skicka sig själva vidare? Det står i den här diskussionen på åtskilliga ställen och även på de olika antivirusprogrammens hemsidor. Eller tror du på fullt allvar att man (=virustillverkaren?) sitter dygnet runt och letar adresser, eller köper dom, och själv skickar ut virusbrev ett och ett? I så fall får du nog ta och tänka om.
 
När man besöker en hemsida lagras den i datorn, cache, och där hamnar alltså även de epostadresser som finns på sidorna man besökt. Har man fått virus i sin dator scannar virusprogrammet alltså lagrade sidor i datorn det hamnat i efter adresser och använder dessa som mottagar- och avsändaradress, samt adresser som finns inlagda i adressböcker.
 
När det gäller spam är det en annan sak. Då är det ju oftast frågan om personer/företag som vill tjäna pengar på något, och då kan dom ju ägna ett tag åt att samla in adresser på olika sätt.
 
Mvh//
Lotta

[Gunnell Forsén]

När det gäller Ganda så kan man också få mail som är tomma och endast med bifogad fil xx.scr  
Filändelsen är värd att komma ihåg! Det är den som talar om att det är Ganda.
 
Hälsningar/Gunnell

[Christian Andersson]

Hej Lotta.
 
Jag tror nog att man använder båda metoderna. Så jag tror faktiskt på fullt allvar att det kan gå till på det viset. Också. Vad som står i denna diskussionen behöver väl inte vara hela sanningen. Och du sitter väl inte inne med all kunskap om hur virusspridningen fungerar??  
 
Hade man epost-adresserna som bildfiler så skulle man inte heller kunna skanna dem i i cache-minnet, eller hur?
 
Ursäkta att jag gav mig in debatten, den är tydligen till bara för en del. Jag ville bara peka på en möjlig lösning för att minska problemet.
 
Mvh Christian.

[Gunnell Forsén]

Jo, vettu Christian att här får man passa sej!! Men det är inget att bry sej om - vad jag vet så får man komma med vilka inlägg man vill och peka på både det ena och andra.Man får väl välja själv vad man vill ta till sej och inte och det är väl bara om man ser direkta felaktigheter som det kan vara på sin plats att kommentera.  
 
Jag tycker det är kanonbra med dina inlägg så fortsätt med dom! Ingen har mer rätt att göra inlägg än nån annan vad jag vet....Vad gäller virus och annat skräp som finns ute i cybern, så är det väl bara bra om man kan tipsa varann om hur man undviker eländet! Rune Edström har bl a uppmärksammat oss alla på några virus och det har gjort att jag uppdaterat mitt antivirus-program snabbt som ögat!  
 
Hälsningar/Gunnell

[Michaël Lehman (Philippos)]

Filändelsen .scr är förvisso inte nödvändigtvis en virusindikator. .scr-filer är egentligen skärmsläckare, men ändelsen utnyttjas även av vissa viri.

[Lotta Nordin (Lotta)]

Hej Christian!
 
Att ge tips om hur man undviker att få virus i sin dator är alldeles utmärkt, och jag kan inte se att jag har sagt något negativt om din id? om epostadresser som en bildfil. Däremot tror jag inte att en virustillverkare skulle sitta och själv scanna efter epostadresser på t ex Anbytarforum, det skulle vara alldeles för tidsödande och en virustillverkare vill ju sprida sitt virus så fort som möjligt, och då är det bästa sättet att låta virusprogrammet sköta scanning och utskick alldeles på egen hand från den dator det hamnar i. Dessutom gör det ju att det är svårare att spåra varifrån det ursprungligen kommer, och det är väl det som egentligen är vitsen med att det är programmerat att göra just så.
 
Eftersom det ebrev du kopierat ovan innehöll Ganda så kommer här en beskrivning på hur viruset Ganda bär sig åt:
När denna Internetförbindelse finns tillgänglig börjar masken att leta efter e-postadresser på den infekterade datorn. Den letar efter adresser i filer som finns i cachade kataloger och över allt på hårddisken. Masken samlar e-postadresser från Windows Adressbok (den använder biblioteket WAB32.DLL för att komma åt adressboken) samt från följande filer:
*.eml, *.*htm*, *.dbx  
 
Masken har sin egen SMTP motor. Den kopplar upp sig till SMTP servern som nämns i registret eller till SMTP servern 'm1.611.telia.com'. Masken skickar sig själv till alla funna e-postadresser, ibland med förfalskad avsändaradress. Den falska adressen kan vara vald från funna adresser eller från en av följande adresser
och så kommer en radda med adresser. Ovanstående är hämtat från F-Secures hemsida.
På samma sätt bär sig dom flesta andra virus åt vad gäller spridning.
 
Bästa sättet att slippa virus är fortfarande att ha ett bra antivirusprogram som uppdateras ofta. Ett annat bra sätt är att låta bli att använda sig av Outlook och Outlook Express.  
 
Mvh//
Lotta

[Christian Andersson]

Hej Lotta och allra andra.
 
Jag hade egentligen inte tänkt att svara, men eftersom debatten återtagit en saklig nivå kan jag inte låta bli.
 
Din medskickade beskrivning av hur GANDA-viruset fortplantar sig är alldeles utmärkt. Men den säger inte ett dugg om hur viruset startar sitt härjningståg.
 
Skickar virus-fabrikören sin nya konstruktion till sin bäste ovän och hoppas på det bästa?? Jag tror inte viruset sprider sig fortast möjligt på det sättet. I värsta (läs=bästa) fall så sprider det sig inte alls ......... Det krävs nog ett mindre massutskick för att få fart på det hela. Och vad finns det som talar emot att tillverkaren eller någon annan använder samma metod för att regenerera ett virus som börjar tappa fart?
 
Fast mitt inlägg handlade ju egentligen om det skulle kunna vara praktiskt genomförbart att skapa en bildfil av våra email-adresser här på Anbytarforum. Eller åtminstone en liten bild av snabel-a.  
 
Mvh Christian
 
e_c_anderssonhotmail.com

[Viktor Ericsson]

Christian
Ett av sätten att få en snabb spridning av ett virus är att skicka ett inlägg till ett antal stora news grupper. Det finns alltid folk som måste klicka  på allting.
 
///Mvh Niclas

[Christian Andersson]

Hej Niclas-Viktor.
 
Ja, sätten är säkert många, uppfinningsrikedomen har inga gränser ibland.
 
Provade förresten att ladda hem samtliga email-adresser från Anbytarforum. Med lämplig programvara och en hyfsad uppkoppling tog det inte särskilt lång tid. Sen får Lotta tro vad hon vill.
 
Men vi ska väl egentligen inte hålla på att tipsa om hur man sprider virus, utan snarare hur man undviker dem.
 
 

[Rune Edström (Rune)]

Hej
Nu verkar det vara häftiga grejer på gång
mvh
rune
 
****************************
Status: Maskvarning
Spridning: Ökande
Radar nivå: 2
****************************
 
En ny variant av masken Sobig har börjat spridas. Den nya varianten, Sobig.C, sprids som en bifogad PIF eller SCR fil i e-postmeddelanden från adressen bill@microsoft.com. Denna variant sprids även via nätverksdelningar.
 
Enligt vår virusstatistik för viruspridningen i Sverige har Sobig.C på endast 1 timme klättrat till andra plats och antalet rapporter ökar snabbt.
 
F-Secure Anti-Virus har detektion mot denna mask med uppdateringar publicerade 12:02 1 juni 2003.
 
Sobig.C analyseras fortfarande och beskrivningen kommer  
uppdateras under dagen:
http://www.F-Secure.se/virus/virusinfo.asp?Namn=Sobig.C
 
F-Secures virusstatistik:
http://www.F-Secure.se/virus/statistik/

[Birgitta Ohlsson]

Har precis kört Liveupdate på mitt Norton Antivirusprogram och då fanns skydd mot ovan nämnda Sobig.C virus med. Det fanns det inte förut ikväll.  
 
Mvh
 
Birgitta

[Stig Frödeby]

Det bästa sättet att inte få in en massa skräp via e-mailen är kanske att installeta ett program av denna typ på sin dator.
 
Thank you for choosing Firetrust MailWasher Pro. We hope that this program will drastically reduce the level of unwanted e-mail you receive and give you a greater degree of control over your inbox.
 
Please keep an eye on http://www.firetrust.com/ for new product offerings, upgrades and news about Firetrust.
 
Det är bara att starta programmet innan man skall hämsta sin e-mail och kolla vad som ligger på servern. Skräp plokas bort innan det kommer ned till ens egen dator och ställer till bekymmer.
 
Tipset på detta program kommer från en annan släktforskare i Skåne.
 
/stig

[Rune Edström (Rune)]

Hej
Första brevet kom 15.07. Det här 18.06
rune
 
F-Secure uppgraderar nu Bugbear.B till F-Secure Radar nivå 1, den högsta nivån då antalet infektioner ökat kraftigt de senaste timmarna.
 
Just nu ligger Bugbear.B på andra plats på vår statistik över virusspridningen i Sverige och om trenden håller i sig kommer Bugbear.B inom kort vara det mest spridda viruset.

[Peter Karlsson / anbytarvärd (Peter)]

Kan vara värt att påpeka (när det ändå omnämnts) att detta alltså inte har något att göra med den s.k. 'hoaxen' (falska virusvarningen) Bugbear som ofta är i omlopp..