Äldre inlägg (arkiv) till 2004-03-25

[Bo Olsson]

Jag kollade på Symantecs hemsida och hittade ett verktyg för att ta bort dit virus. Det finns på denna sida:
 
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.removal.tool.html
 
Här är länken till att ladda ner verktyget:
 
http://securityresponse.symantec.com/avcenter/FxGaobot.exe
 
Hoppas att det lyckas.
 
MVH
 
Bo Olsson

[Lotta Nordin (Lotta)]

Keth!
 
Säger Norton att det inte kan reparera eller att det inte kan ta bort? Eftersom programmet reagerar på att där är ett virus så låter det märkligt om det inte kan ta bort det.
 
Mvh//
Lotta

[Keth Andersson]

Hej Lotta och Hej Bo!
Jag har kört verktyget FixGaobot.exe. Det hittade inte viruset! Så skönt tänkte jag. Då finns det inte.
Så såg jag Lottas fråga. Eftersom jag inte kom ihåg hur det var gick jag in på Nortons sida och kollade. Under aktivitetslogg hittade jag att det är flera filer som är smittade. På en del står det: Det går inte att laga den här filen. På andra står det: Ingen åtkomst till filen.
Tack för er hjälpsamhet.
Mvh Keth

[Björn Groth]

Kenth.
Är det inte så att Norton har lagt filerna i karantän?
I så fall är det ingen fara.
Bara att tömma karantänen i så fall.
Eftersom Norton har identifierat viruset så är det nog så. Den gör i alla fall så hos mig.
Det är ju det som är vitsen med virusprogrammet.
Björn

[Keth Andersson]

Tack alla för hjälpen.  
Mvh Keth

[Rune Edström (Rune)]

Nya otrevligheter
 
En ny e-postmask har upptäckts och fått krafigt ökad spridning nu under tisdagseftermiddagen. Masken vid namn W32/Bagle.B@mm sprids som en EXE fil i e-postmeddelanden med följande ärenderad:
 
ID [slumpmässiga tecken]... thanks
 
Även den bifogade filen har slumpmässiga namn men är alltid av ändelsen EXE.
 
Utöver att spridas via e-post installerar Bagle.B en bakdörr och försöker kontakta fyra webbplatser. Varför den kontaktar dessa webbplatser är just nu okänt men analys pågår fortfarande.
 
F-Secure Anti-Virus har skydd mot Bagle.B med uppdateringar från 17 februari 2004:

[Rune Edström (Rune)]

Det blir bara mer och mer skit som kommer
 
Spridning: Medel
Radar nivå: 2
Virusstatistik: 1:a
****************************
 
F-Secure varnar för e-postmasken W32/NetSky.B som under onsdagseftermiddagen fått kraftigt ökad spridning. NetSky.B ligger just nu 1:a på vår virusstatistik över virusspridningen i Sverige.
 
NetSky.B sprids både via e-post och nätverksdelningar. De e-postmeddelanden den sprids via kan variera i utseende då den innehåller en lång lista på möjliga ärenderader, innehållstexter och namn på bifogade filer. Den bifogade filen har alltid dubbla ändelser där den sista alltid är någon av följande:
 
.exe
.scr
.com
.pif
.zip
 
En dator kan inte bli infekterad av att en användare läser e-postmeddelandet. För att bli infekterad måste en användare starta den bifogade filen och om det är en ZIP fil måste den manuellt packas upp och sedan startas.
 
F-Secure Anti-Virus har skydd mot NetSky.B med uppdateringar från 18 februari 2004:
 
[FSAV_Database_Version]  
Version=2004-02-18_02
 
Mer information om NetSky.B finns på:
http://www.f-secure.se/virus/virusinfo.asp?Namn=NetSky.B

[Bo Nordenfors (Nob)]

w32.Beagle.B
 
Skulle ändå olyckan vara framme och Ni redan gjort en tabbe finns det en fix
på nedanst. länk
http://securityresponse.symantec.com/avcenter/venc/data/w32.alua@mm.html
 
Gå bara ner till Removal Instructions och där i texten finns en länk till
en removal tool. Ladda ner denna och kör den.

[Rune Edström (Rune)]

Nästan så jag vill svära lite längre än vanligt
rune
 
****************************
Spridning: Medel
Radar nivå: 2
****************************
 
Två nya varianter av Bagle masken har upptäckts och vi skickar därför ut en F-Secure Radar nivå 2 varning. Det har nu kommit tre nya varianter inom 24 timmar.
 
Bagle.D varianten är väldigt lik Bagle.C och har endast modifierats för att undgå detektion. Bagle.E innehåller större förändringar och analyseras fortfarande.
 
Detektion för båda varianterna finns tillgänglig från 28 februari 2004

[Rune Edström (Rune)]

****************************
Spridning: Hög
Radar nivå: 2
Virusstatistik: 1:a
****************************
 
F-Secure varnar för e-postmasken Netsky.D som just nu sprids med enorm hastighet i Sverige. Den har på två timmar gått upp på förstaplatsen för vår virusstatistik.
 
Masken sprids som en bifogad PIF fil i e-postmeddelanden med varierande ärenderad och textinnehåll.

[Elisabeth Thorsell]

Jag har åkt på ett virus som heter  Bagle.J
Alias:  I-Worm.Bagle.i, W32.Beagle.J@mm, W32/Bagle.J@mm, enligt F-Secures virusinfosida.
 
Vet någon hur jag ska få bort eländet???

[Michaël Lehman (Philippos)]

Hos  Symantec kan man ladda ned borttagningsverktyg.

[Niklas Lindberg]

Elisabeth!
 
Här kan du få information om hur du plockar bort det;
 
http://se.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_BAGLE.J
 
/Niklas

[Elisabeth Thorsell]

Tack bägge två, detta ska jag prova.  
 
Retsamt att råka ut för detta, det såg ut som om det kom från Swipnet, där jag har min adress, så därför trodde jag det var ett legitimt mail. Men man ska inte tro, utan VETA.

[Eva Barchas]

De senaste månaderna har jag varit överöst av virusmail.  Varje dag ca. 5-6 st.  Som tur är så stoppar mitt Norton Anti Virus program dem.  Det konstiga är att alla virusmail kommer från Sverige. Med åtanke på att man släktforskar så brukade jag lita på mail med typiskt svenska namn och mailadresser.  Men nu är jag extra försiktig. Synd om man missar någon som verkligen är legitim. Vad beror det på att så många virusar kommer från Sverige?  Får ytterst sällan virusar med USA avsändaradress, fastän de flesta kontakter jag har är inom USA. Bara en liten undran.
/Eva

[Per Eriksson]

Eva, en anledning till det kan vara att de flesta virus utnyttjar adressboken på den dator där viruset får möjlighet att agera. Alltså, ditt namn förekommer kanske oftare i adressböcker på svenska datorer, eller så är amerikaner mer nogranna med virusskydd. Att ditt namn förekommer i svenska adressböcker är ju också en del av framgången med virus av den här typen. Chansen/risken är ganska stor att du kommer att få ett mail med en virussmittad bilaga från någon du känner namnet på. Eftersom de flesta virus just läser adressboken och använder adresserna i den både som avsändare och mottagare. Chansen att man får mail med virus från någon man känner blir därmed ganska stor. Men kom ihåg, det är troligen inte den personen som skickat mailet som står som avsändare. Den personens mailadress råkade bara finnas i adressboken på den dator där viruset just nu huserar. Kanske någon av dina bekanta också får ett mail med en virussmittad bilaga från dig?
 
//Peppe

[Eva Barchas]

Peppe, tack för svaret.  Ja, det är lite svårt att förstå hur det går till.  Är nog med i högst 15 svenska adressböcker men i kanske 75 i USA där jag bor.  Men viruset fann väl mitt namn i en av de svenska adressböckerna och sen har det skickats vidare.  Det slutar väl snart får man hoppas.  Börjar äntligen få bukt med de circa 40 spams som jag får varje dag från amerikanska källorna....
 
Vänligen Eva

[Bo Olsson]

Nytt virus på gång! Om jag har förstått varningstexten rätt så ska det tydligen räcka med att öppna ett smittat mail för att få sin dator smittad. Viruset heter PE_BAGLE.Q.
 
Jag klistrar in originaltexten från Trend Micro så får alla som är intresserade själva tolka den, så att jag inte ger felaktig information:
 
As of 1:08 AM PST, March 18, 2004, TrendLabs has declared a Yellow Alert to control the spread of PE_BAGLE.Q.
 
TrendLabs has received numerous infection reports of this malware spreading in Korea and Japan.  
 
This new BAGLE variant is capable of infecting files. It propagates via email in two ways. The first is by sending emails, which do not have an attachment. Instead it contains a link, which upon opening the email, starts a series of events that eventually downloads this file infector into the system. The second is that the email may contain varying subjects, message bodies, and attachment file names, just like its earlier variants.

[Bo Olsson]

Har nu dubbelkollat och det räcker att öppna det smittade mailet för att det ska kunna smitta ner datorn. Har man alla Microsofts säkerhetspatcher installerade ska dock risken för att man får problem med datorn vara betydligt mindre.

[Rune Edström (Rune)]

Det här kom igår  
 
Spridning: Medel
Radar nivå: 2
****************************
 
Fyra nya varianter av Bagle (Q, R, S, T) sprids just nu. De sprids inte som en bifogad fil som tidigare varianter utan via ett HTML säkerhethål i Internet Explorer. Meddelandet som Bagle varianterna kommer med försöker ladda ner och starta maskens fil från webbservrar som installerats på datorer som är infekterade med tidigare varianter av Bagle.
 
Mer information om de olika varianterna finns på vår hemsida:
http://www.f-secure.se/virus/virusinfo.asp?Namn=Bagle.Q
http://www.f-secure.se/virus/virusinfo.asp?Namn=Bagle.R
http://www.f-secure.se/virus/virusinfo.asp?Namn=Bagle.S
http://www.f-secure.se/virus/virusinfo.asp?Namn=Bagle.T

[Christina Roxhag]

Hejsan!
Jag har ett Norton Antivirusprogram 2004 som bl.a innehåller Live Update. Nu kommer det upp ett meddelande att det uppstod ett internt fel och att det inte kan uppdateras och att jag ska försöka senare.Och om inte det går så måste jag installera om Live Update. Finns det någon som vet hur jag ska göra? Ska jag gå in på, lägg till och ta bort program, i kontrollpanelen? Om jag nu tar bort det där hur lägger jag till det igen? Behöver jag använda CD som jag fick till programmet?    Vågar snart inte använda internet längre.
MVH Christina Roxhag

[Essan Gradhman]

Christina!
Jag fick samma meddelande när jag uppdaterade!!
Det verkar ju också vara ett sammanträffande. Jag gissar att det var nå´t fel i själva uppdateringen!?!?
Essan

[Lisbeth Petersson (Beth)]

Hej Christina!
Jag har just uppdaterat mitt Norton 2002 och fick samma meddelande som du vilket jag också fått tidigare. Trots det fortsätter ändå uppdateringen utan att man gör något och installationen genomförs.Försök en gång till och bortse från meddelandet och se vad som händer.
 
Mvh Lisbeth

[Ingrid Wikberg]

Kan någon tala om vad detta betyder: Jag får upp en ruta på teliasidan när jag öppnar -ibland kan den också 'poppa' upp på en tidningssida som jag öppnar; I rutan står det:  
 
Ett fel har uppstått under körning.  
Vill du göra en felsökning.  
Rad:45
Fel: syntaxfel
 
Man kan svara ja eller nej. Svarar jag 'ja' får jag upp en ruta med en massa märklig text och jag blir som ett frågetecken.
 
Jag begriper ej vad som är fel. Jag har haft denna ruta tidgare men då enbart inne på en site jag öppnat. Men så har den bara försvunnit.
Nu har jag den när jag öppnar datan sedan någon vecka tillbaka.
 
Någon sa att det har med att man programmerat en sida fel när man lagt in text och bild.?
 
Hur löser man detta? Jag blir så irriterad på den där rutan eftersom jag måste klicka bort den för att komma någon vart.

[Christina Roxhag]

Till Essan o Beth
 
Angående uppdatering av Live update. Har nu med hjälp, varit inne på Symentec support och avinstallerat och ominstallerat Live update. Får nu inte längre något meddelande om att det inte går att uppdatera och känner mig lite säkrare.
Tack för ert engagemang.
MVH Christina

[Rune Edström (Rune)]

****************************
Spridning: Medel
Radar nivå: 2
Virusstatistik: 4:a
****************************
 
F-Secure varnar för Netsky.P som under eftermiddagen den 22 mars 2004 fått ökad spridning. Netsky.P använder en ny teknik för att installera sig själv då den sprids som en dropper och installeras som en DLL fil. Netsky.P kan spridas via e-post, lokala och nätverksenheter och kopierar även sig själv till mappar tillhörande P2P program och HTTP/FTP servrar.
 
När den sprids via e-post kan meddelandena ha olika utföranden men den bifogade filen har alltid dubbla ändelser, t ex .TXT.EXE. Netsky.P kan även lägga till en falsk sökrapport som försöker lura mottagaren att tro att meddelandet har viruskontrollerats.
 
Netsky.P kan även spridas via lokala och nätverksenheter samt försöker spridas via P2P nätverk och HTTP/FTP servrar genom att kopiera in sig själv i mappar med följande namn:
 
 my shared folder
 download
 ftp
 htdocs
 http
 upload
 shar
 icq
 bear
 lime
 morpheus
 donkey
 mule
 kazaa
 shared files
 
Netsky.P försöker även ta bort registernycklar som används av vissa Bagle varianter.
 
Mer information om Netsky.P finns på:
http://www.f-secure.se/virus/virusinfo.asp?Namn=Netsky.P

[Christina Holmér-Gunnerfält (Kicki)]

Hej,
Kan någon svara på hur detta är möjligt.  
Fick precis ett mail (har Outlook Express) där det varken fanns ämne eller avsändare, helt tomt frånsett kuvertet. Jag har Northon och uppdaterar dagligen och tog givetvis bort mailet omgående.
mvh/Christina

[Jonas A Nilsson]

Detta mail är helt enkelt stämplat med högsta säkerhetsklass. Vilket innebär att ingen får läsa eller besvara mailet. Om du mot all förmodan skulle lyckats att tyda delar av det så kommer du omedelbart att hämtas av två män i svarta kostymer och en svart Volvo.
.
.
.
.
.
.
.
.
 
 
 
Jippi snart 1:a april! Förra året lurade jag mina föräldrar att vi var släkt med Göran Persson! Prata om chockade!!!

[Jörgen Tollesson]

Spökar det?
 
Ovanstående inlägg av Jonas kom bara fram till hälften i epostvarianten (jag abonnerar alltså på inläggen i Anbytarforum)... Efter svart Volvo syns inget mer - inte ens den obligatoriska avslutningen SVARA EJ PÅ DETTA MEDDELANDE! Detta är ett e-postmeddelande som skickats automatiskt från diskussionssidan...
 
Detta är garanterat helt sant och alltså inget för tidigt aprilskämt. Hmmm... FRA kanske skickade det vidare innan de hade hunnit att läsa allt...
 
För att kommentera Christinas inlägg, så måste jag säga att det allra märkligaste med hennes tomma ebrev var att det kom i ett kuvert! J

[Rune Edström (Rune)]

  Ett gott skratt förlänger livet, sägs det. Även den som råkar ut för otrevligheterna, brukar ju kunna skratta åt det efter ett tag.
rune