Äldre inlägg (arkiv) till 2001-11-27

[Anita Berglund Eriksson]

Hej,
Förstår att det är mitt namn och min e-mail adress som avses ovan och jag känner mig ledsen över att viruset som drabbat min dator förs vidare utan min förskyllan.  
Min data blev virussmittat igår efter att jag raderat ett e-mail från Ann-Kristin Andersson som nämns ovan. Öppnade ej bilagan men blev ändå smittad. Har som jag tror ett fungerande antivirus-program som ej larmade Sedan blev det tvärstopp på det mesta i min dator, och massor av konstiga inkommande e-mail fyllde min e-post.
Sitter nu på jobbet och skriver för min data måste saneras.  
Har idag fått veta att vissa virus smittar även om e-mailet inte öppnas. Känns JÄTTE-trist att detta händer, och hoppas att andra inte drabbas.
 
Vänliga hälsningar  
Anita

[Gunnar Carlin]

Virus med ämnet RE: enbart är det senaste eländet, BadTrans.B  
Läs här:
http://www.f-secure.se/nyheter/nyhet.asp?Id=169

[Gunnar Carlin]

Nja, ovanstående adress fungerar inte. Prova  
http://www.f-secure.se/nyheter
och klicka vidare

[Anders Berg]

Äldre versioner av Outlook Express laddar ner och exekverar direkt denna nya farsot av virus redan vid förhandsgranskning. Se till att ha uppgraderat till version 6 av IE och OE. Då får man upp en dialog och kan välja att avbryta, och slipper därmed att bli drabbad.

[Anders Berg]

BadTrans-viruset ser ut att kunna bli ett tio gånger värre hot än Sircam. Uppdatera era Outlook Express till version 6 och uppdatera era virusprogram! BadTrans fångas redan av senaste uppdateringen. Har precis fått två mail från kända släktforskare med släktforskningsämne i rubriken. Jag frångår principen att inte nämna namn eftersom det är viktigt att veta att mail från dessa mycket troligt är infekterade. De två släktforskarna är Ted Rosvall och Ann Viking Saetre.
 
Följ Gunnar Carlins länk ovan för att få hjälp att rensa er dator, om ni blivit drabbad.
 
(även till Skåne Blekinge Halland-listorna)

[Peter Karlsson / anbytarvärd (Peter)]

Jag skrev här ovan (den 23/11) lite om Telias Antivirus program (F-Secure) - Den länk jag skrev var onödigt krånglig; det räcker med http://www.telia.se/antivirus så kommer man dit och kan läsa mer samt beställa tjänsten.
/Peter

[Åke Tilander]

Hej Anita!
 
Jag vet inte om det gör dig gladare, men även jag har fått ovannämnda virus-mail från dig och ytterligare någon annan.
 
Avsändar-adresser som börjar med ett understrykningstecken är tydligen något nytt man ska akta sig för.

[Åke Tilander]

Hej igen!
 
Här är en länk till för er som är intresserade av att läsa mer om detta virus:
 
Symantec Norton Antivirus information om BadTrans
 
Det är riktigt oroande att detta virus lyckats få så stor spridning på endast tre dagar sedan det upptäcktes med tanke på att få av oss uppdaterar sina virusskyddsprogram med så täta intervaller.

[Bertil Magnusson]

Ted Rosvall kanske nu ser till att sätta press på Rötter som hittills intagit en nonchalant
inställning till virus-frågan. I dag har jag fått virusbrev från följande:  
 
Ted Rosvall Re: Ang debatten i Rötter
Åke Sandgren Re:
Ann Viking Saetre Re:
Xera Re:
 
Givetvis har jag inte öppnat något meddelande men man vill ju gärna veta  
vad som står i Teds brev, kanske något lugnande ?

[Bertil Magnusson]

Ser att jag glömde ange ett namn att varna för:
 
Ren?e Jonsson Re:
 
Skall du också akta dig för.

[Anders Berg]

För femtielfte gången, Bertil, detta har inte med Rötter att göra. Vi får virus från släktforskare därför att vi delar samma intresse. Läs den information som getts och de länkar som hänvisats till. Vill du föra ett privat krig och sprida desinformation, gör det i så fall på din egen nättidning.  
 
Man kan ju tillägga att ingen behöver skämmas för att råka ut för detta BadTrans-virus, eftersom det enda felet man gjort är att ha en något äldre version av Outlook Express, och som Åke säger, att hinna uppdatera antivirusprogramvaran är ju inte lätt när det bara gått tre dagar sedan detta virus upptäcktes första gången.

[Bertil Magnusson]

Anders, Åke Tilander kom med några viktiga tips om programmering för Rötters räkning, som skulle kunna sålla bort en hel del angrepp. Tyvärr måste man redan nu öppna den senast arkiverad diskussionen för att se tipsen.  
 
Som jag fattade Åke behöver man inte bara passivt låta allt vara som det är. Det finns saker att göra.
 
Sedan behöver man inte skämmas, det håller jag med om. Upprepade gånger har jag sagt att de drabbade är offer för sabotörer som tillverkar virus. Men lika väl som användarna skall skaffa fungerande antivirushjälpmedel, lika viktigt är det väl att de som svarar för sajterna provar alla metoder som kan försvåra spridandet av virus.
 
Att det finns ett klart statistiskt samband mellan dem som besöker Rötter och vars datorer sedan sprider virusbrev kommer jag enligt tidigare meddelande att publicera senare enligt de enkätsvar jag fått. Det betyder dock inte att man skall undvika att besöka en så här trevlig sajt. Jag vill inte skrämma bort någon - bara propagera för bästa möjliga skydd
 
Själv är jag inte orolig att besöka Rötter, för det finns skydd. Även om jag var dum när jag öppnade det försåtliga BREV.TXT med Sircamviruset i Juli månad har jag inte senare fått problem. Med mitt nya ADSL-modem uppdaterar jag Symantecs antivirus på 2,8 MB på c:a en minut mot tidigare 40-50 minuter för 2,4 MB med ett vanligt modem. Jag rekommenderar alla att skaffa en snabb uppkoppling, gärna även en router/hub med brandvägg, som jag också skaffat. Det bidrar till glädjen att besöka Rötter.

[Pia Lindström]

Bertil!
 
Har du tänkt på att du kanske drabbas oftare än andra av virus eftersom alla som besökt din Nättidningen Glimten har din e-postadress (som finns på din hemsida) i sina Temporary Internet Files. Det kanske inte är för att de har besökt Rötter som släktforskare sprider virus till dig, utan för att de besökt Nättidningen Glimten. Antagligen brukar Glimtens besökare även besöka Rötter, och det är svårt att veta från vilken hemsida din e-postadress har sparats på besökarens dator.

[Peter Funke (Fun)]

Misstänker att även min mail kan ha hamnat i skaran smittade/smittspridande, efter att den mottagit mail som verkar ha varit smittat från en annan forskare (vilket jag inte öppnade, men det hjälpte förmodligen inte). Jag har därefter fått ett antal returnerade mail från filter som verkar ha fungerat. Jag vill därför be personer som jag normalt korresponderar med avstå från att öppna nyinkomna mail från mig (om ni läser detta först).

[Janne Högdin]

Man kanske ska akta sig för att utse någon som exklusiv spridare av virus annat än möjligen tillverkaren. Min första smittade fil kom till mig i förrgår från Norge och från en person som bevisligen aldrig har besökt nättidningen Rötter. Han hade dessutom personligen inte sänt någon mail till mig........
I stället för allt råskäll, påpekanden, synpunkter, snedsparkar m m skulle man kanske ha en särskild rubrik ”TIPS OM VIRUS-SKYDD” i Anbytarforum, där alla bevisligen datavana, duktiga nyttjare av Anbytarforum kunde lära oss andra hur vi ska bete oss för att bättre skydda oss mot virus. Tydligen räcker det inte att ha ett antivirusprogram, även om man regelbundet uppdaterar det. Jag råkar alldeles nyss ha installerat ett nytt program som själv uppdaterar, rapporterar och ger tips så snart ett nytt virus uppträder. Dessutom har jag råkat uppdatera Internet Explorer också till den senaste versionen. Mycket tur och utan all skicklighet! Jag hade med all säkerhet annars varit en av virus-spridarna, utan egen förskyllan, eftersom mitt första mail kom från en person som jag har största förtroende för, och som jag väntade mig ett svar med bifogad fil ifrån.
Det vore trevligt om vi regelbundet kunde få fortbildning av er mer vana datahanterare så fort något nytt virusskydd eller virus uppträder! Kunskaperna finns!!!!! Många av oss har dom inte!!!!!
Tycker Janne H

[Gunilla Önnberg]

Hejsan Peter
Du har rätt, har fått en mail från dig som det stod re:nya hemsidan. och det var ett virus som hette S3MSONG. Har ej öppnat den.
Hälsningar Gunilla Önnberg

[Maud Svensson]

Det är nog ingen större mening med att namnge de personer som uppges som avsändare till virusspridande mejl, eftersom mejlen inte alls behöver vara skickade från dessa personers datorer.
 
Som Mac-ägare har jag varit förskonad från alla virus och har därför inte haft anledning att sätta mig närmare in i problemet, men jag fick i dag information från de dataansvariga på mitt jobb. Av den framgår att t ex BadTrans kan sända mejl både TILL och FRÅN de adresser som finns lagrade i adressboken i en smittad dator.
 
Citat: ”Om någon okänd hör av sig och säger sig ha fått ett virusmail från dig så behöver det inte vara så. Det troliga är att ett virus ligger bakom och har förfalskat avsändaren. Vi kan inte göra något åt det. Det är lika lätt som att förfalska avsändaren på ett vanligt brev.”
 
Mvh/Maud

[Peter Funke (Fun)]

Tack Gunilla, och tack för tipset - då har väl viruset fått ett namn åtminstone...Kan meddela
för er som liksom jag har Innoculatel att det inte verkar ha hjälpt i det här fallet!

[Åke Tilander]

Hjälp!
 
Det nya viruset är verkligen en plåga!!! På drygt 2 timmar (19:51 - 22:29) har jag fått virussmittade mail från följande personer:
 
Hilding Jacobsson, Peter Funke, Elisabeth Jonsson, Bror Jönsson, Lillemor Larsson, Lennart Eriksson, Staffan Bengtsson

[Håkan Skogsjö]

Så här skyddar man sig mot virus (och en del andra otrevligheter):
 
1. Ett uppdaterat antivirusprogram.
 
2. En brandvägg, gärna en som tar hand om misstänkta bilagor (t.ex. ZoneAlarm som gratis kan laddas ner från nätet).
 
3. Ladda ner alla relevanta säkerhetsuppdateringar från Microsofts hemsida.
 
4. Klicka aldrig på bilagor som avsändaren inte begripligt och någorlunda utförligt beskriver innehållet i. Är avsändaren okänd, var extremt försiktig. Man kan alltid mejla tillbaka och fråga vad det är i stället för att klicka på bilagan.
 
5. Ställ in Windows så att det visar filändelser, typ exe och doc. Om en bilaga har dubbel filändelse, var extremt försiktig. Filändelser typ exe, vbs, doc etc är en varningsklocka.
 
6. Läs på. Det finns sajter med mycket bra information om virus. Det är alltid lättare att skydda sig mot en fiende som man vet hur den beter sig.
 
7. Om olyckan ändå är framme (ingen kan skydda sig fullkomligt mot virus) plockar man fram sin fräscha backup och återställer vad viruset eventuellt har förstört (men de flessta virus åstadkommer ingen skada på den data som finns på hårddisken).

[Mats Högberg]

Jag rekommenderar Norton Antivirus 2001. Dyrt men bra! Har inte blivit infekterad en enda gång och har använt internet sen begynnelsen.
 
Programmet uppdateras via internet och dessutom får man en påminnelse minst 1 gång i veckan om att just uppdatera.
 
Programmet kollar inkommande post samtidigt som den laddas ned och varnar om något verkar skumt. Hittills har alla smittade mail upptäckts, även de som cirkulerat de sista dagarna.
 
Mvh - Mats Högberg

[Anders Berg]

Jag använder InnoculateIT och med uppdateringen 26 november (igår alltså) så stoppas Bad.Trans direkt vid nedladdningen. Med tanke på att viruset dök upp första gången på den här planeten den 24 november så kan man inte begära så mycket mer. Programmet är gratis.

[Håkan Skogsjö]

Det är ingen id? att lägga ut namn på personer som drabbats av BadTrans.B. Det hjälper varken dem eller någon annan. Den som drabbas har däremot stor hjälp av avlusningsinstruktioner. En sådan finns här: här. Det finns säkert också många andra på nätet.

[Staffan Bengtsson]

Åke
 
Innan jag startade Outlook Express ikväll laddade jag hem Microsofts fix för det säkerhetshål som Bad Trans B använder (citat från F-Secure).
 
Efter detta öppnade jag Outlook Express och fann ett virussmittat mail (mitt första), som jag genast dumpade utan att öppna. Trodde åtgärden ovan skulle hjälpa, men tydligen inte.
 
Det märkliga är att jag nu får smittade mail i retur från personer som jag vare sig har i min adresskatalog eller haft någon tidigare mailkorrespondens med. Personer vars namn jag dock känner igen från Anbytarforum.  
 
Hur kommer det sig?

[Maud Svensson]

Staffan,
se mitt inlägg kl 22.33 ovan. Din mejladress finns i adressboken i en eller flera smittade datorer och viruset skickar mejl till andra personer i adressboken - med dig som avsändare.
Mvh/Maud

[Peter Funke (Fun)]

Åke, inget av de namn du nämner känner jag igen (med undantag av mitt eget då...). Jag fick två
mail tidigare ikväll med bifogad fil, ett från
en för mig okänd person och ett från en forskare.
Jag öppnade alltså inget av dem, men det hjälpte
inte.
Håkan, tack för tipsen - men det hade nog inte
hjälpt i mitt fall.
Och Anders: det är kanske där skon klämmer - jag
uppdaterade inte InnoculateIT igår...
Slutligen: någon som har någon information eller
länk till information ang. S3MSONG?

[Anders Berg]

Staffan, det är nog bara nya virusmail du får. Man behöver inte haft någon mailkontakt tidigare med personerna. Jag får ett i halvtimmen ungefär. Det är en explosionsartat spridning! Förklaringen är förstås att den sprids bara genom förhandsgranskning i läsaren för version 5.5 (utan fix) och tidigare. Hur många hundra miljoner har inte en sådan läsare...
 
Tanken med att nämna avsändaren var att bli varnad innan man granskar mailet, men proportionerna är sådana att det är omöjligt att räkna upp alla namn. Ett bättre sätt att identifiera Bad.Trans.B är storleken på mailet. Det verkar alltid vara 41 kB.

[Gunilla Önnberg]

Peter  
min man brukar vara inne på SAAB-hemsidan och där fanns en varning om en massa virus som är i farten, så Kjell-Åke (min man) var smart nog att skriva ut namnen på virusena. De är:
FUN,HUMOR,S3MSONG,Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER, NEWS_DOC, New_Napster_Site, README, IMAGES, PICS.
 
Jag har scannat min dator och fann inget virus, jag har Trend PC-cillin 2000, och det uppdateras 1 gång i veckan, uppdaterade idag.
Hälsningar Gunilla

[Håkan Skogsjö]

Följande information om hur BadTransB sprider sig finns på F-Secures hemsida. Den är en utmärkt källa till information om detta virus och om andra virus och hur man blir av med skräpet när man drabbats:
 
To send infected messages the worm uses direct connection to SMTP server. Victim email addresses are got by two different ways:  
1. The worm scans *.HT* and *.ASP files and extracts email addresses from there
2. The worm by using MAPI functions reads all emails from email Incoming box, and gets email addresses from there.
Next the worm sends infected messages. The message body has HTML format, and uses IFRAME breach to spawn infected attachment on vulnerable machines.  
 
Detta förstår jag som att viruset bland annat letar upp exempelvis alla .htm-filmer på hårddisken och söker efter epostadresser där, vilket betyder att det använder samma metod som Sircam. Effekten blir då (som Anders Berg tidigare pedagogiskt har påpekat) att folk som är intresserade av släktforskning smittar ner varandra och de som är intresserade av kinesisk bambuodling smittar varandra.

[Håkan Skogsjö]

Peter, den punkt som nog skulle ha räddat dig är nummer tre: Ladda ner alla relevanta säkerhetsuppdateringar från Microsofts hemsida. Jag tillåter mig därför att puffa lite extra för denna åtgärd.