Virus problem: ILOVEYOU

Norton Antivirus plejer at være up-to-date. Få den fra en blad og opdater VirusDB´en via Internet.

Eller send Virusen til dem. (www.norton.com)

www.nai.com

McAffe antivirus - den kan downloades direkte fra nettet - og det samme med de nyeste dat filer...

NEJ ikke med de nyeste filer! Det kræver at du er registreret bruger af McAfee (på en eller anden måde).  Der er dog en men, du kan hente McAfee VirusScan (5.0 Beta) på denne side:

http://cgi.zdnet.com/slink?33085:2123310

Den har jeg endnu ikke set på McAfee site.

Man KAN hente DAT opdatering på FTP fra NAI anonymous (jeg bruger selv ftp.danadata.dk)..

McAfee er iøvrigt et gratis produkt for private brugere... Ligesom PGP fra samme producent..

Ja du kan hente DAT, men de vil ikke opdatere McAfee virusscanner, hvis ikke den er reg. i en eller anden form!. Jeg har selv prøvet, med de versioner som har ligget på Nettet. Til gengæld har jeg konstateret, at hvis du har en registreret version på en PC'er og lægger den nye Betaversion ind, så kan det hele køre videre som hidtil.

I Love You har lige ramt os... Den slettede lige alle min jpg'er opg lagde sig selv ind i stedet for f.eks. blad.jpg så lavede den filen om til blad.jpg.vbs og slettede ALT indhold og erstattede det med virusscriptet. Det samme med alle MP3'ere

Er der en der ved hvordan man sparker denne virus til hell, så er det nu der skal bankes i tasterne

den tager også mp3 filer

har dog ikke kørt den selv (7-9-13)

Jinxed; ]

Vi har også lige fået en virus advarsel via mail her hvor jeg arbejder, men jeg har da heldigvis ikke modtaget den endnu :-)

Snowball

fra datafellows.com:

LoveLetter sends the mail once to each recipient. After a mail has been sent, it adds a marker to the registry and does not mass mail itself any more.

The virus then searches for certain filetypes on all folders on all local and remote drives and overwrites them with its own code. The files that are overwritten have either "vbs" or "vbe" extension.

For the files with the following extensions: ".js", ".jse", ".css", ".wsh", ".sct" and ".hta", the virus will create a new file with the same name, but using the extension ".vbs". The original file will be deleted.

Next the the virus locates files with ".jpg", ".jpeg", ".mp3" or ".mp2", adds a new file next to it and deletes the original file. For example, a picture named "pic.jpg" will cause a new file called "pic.jpg.vbs" to be created.

LoveLetter was found globally in-the-wild on May 4th, 2000.

Jinxed ; ]

glemte noget:
http://www.datafellows.com/v-descs/love.htm

En ramt udvikler :-(

Er der noget nyt, er der nogen som har forsøgt sig med den sidste update fra Mcafee ?

Er ens .jpg filer smadret for altid ?

De bedste hilsner
Anders G Ratzow

Hej igen

Jeg har lige fået orientering om, at ingen antivirus programmer med update  kan p.t. bekæmpe ILOVEYOU . DVS man skal sætte sin lid til at et af de ikke opdaterbare antivirusprogrammer, som ikke bruger VirusDatabase, som f.eks. AntiVirusKit 8.09 kan klare ILOVEYOU!.

Og her er så lige det væsentlige nemlig et link  http://www.gdata.de/ , hvor en demo af den nye udgave kan hentes. Der findes dog også andre programmer på de forskellige downloadninsSite, som arbejder uden virusdatabase, men ud fra programstruktur m.v.

http://www.computerworld.dk/Vis_artikel.asp?ArticleID=6699

Snowball

Til alle der er ramt:

Nyeste McAfee, Trend Micro og Panda skulle kunne fjerne den. Læs mere her: http://www.computerworld.dk/vis_artikel.asp?ArticleID=6701

Snowball

GÅ til

http://www.mcafee.dk og D/L extra.dat...Så er den virus DøD :)

Fra www.macfee.dk

Virusalarm:
VBS/LOVELET

En mail spreder sig med kraftig hast med subject "ILOVEYOU"

Mailen kommer med teksten
"kindly check the attached LOVELETTER coming from me."
samt et vedhæftet attatchment ved navn: "LOVE-LETTER-FOR-YOU.TXT.vbs"

Der arbejdes pt. heftigt på en extra.dat, der forventes klar ca. 12:00 - 13:00

Midlertige løsningsforslag:

Undlad at åbne mailen
Stop mailserver.
Lav contentscanning, der blokerer for .vbs attatchments
Lav contentscanning, der blokerer for teksten "ILOVEYOU"
Opdateringer vil ske på vores webside, nærmere info følger
(opdateret 04/05-2000 11:50)

*********************
En midlertidig analyse har givet følgende:

Sender sig selv først til den private adresseliste, derefter den offentlige adresseliste i Exchange (fra Outlook klienter)
Ændrer start-siden i Internet Explorer
(i registry: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page") til at hente en exefil ("WIN-BUGSFIX.exe") fra en webserver i Fillipinerne. Når filen er hentet vil den blive sat til at starte ved næste genstart af maskinen. Derefter vil startsiden blive nulstillet til about:blank.
Følgende filer ser ud til at blive skrevet til  maskinen og kaldt fra registry:
Windows\System\MSKernel32.vbs
Windows\Win32DLL.vbs
Windows\System\LOVE-LETTER-FOR-YOU.TXT.vbs
Hvis mIRC er installeret vil LOVE-LETTER-FOR-YOU.TXT.vbs blive sendt ud.
Filer af typen "js jse css wsh sct hta jpg jpeg" bliver slettet og erstattet af <filnavn>.vbs, ligesom der bliver oprettet en <filnavn>.vbs til filer af typen "mp2 mp3"
(opdateret 04/05-2000 12:20)

*********************
Fjernelse:

Der skal slettes nøgler i registreringsdatabasen,
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSKernel32"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Win32DLL"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

Genstart PC'en

Lav en søgning på *.vbs som er oprettet i dag og slet disse.

Jeg fik tilsendt nedenstående kode, som skulle kunne fjerne den. Jeg tager ikke ansvar for scriptet !

rem ***  I love You  virus cleaner  (fast edit no guarantee) **
rem *** Copyright TEQ-nederland www.teq.nl (fvs)

dim fso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow
eq=""
ctr=0
Set fso = CreateObject("Scripting.FileSystemObject")
on error resume next
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Set dirtemp = fso.GetSpecialFolder(2)
Set c = fso.GetFile(WScript.ScriptFullName)

c.delete(dirsystem&"\MSKernel32.vbs")
c.delete(dirwin&"\Win32DLL.vbs")
c.delete(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
c.delete(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT")
c.delete(dirsystem&"\LOVE-LETTER-FOR-YOU.HTM")
c.delete(dirtemp&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
c.delete(dirtemp&"\LOVE-LETTER-FOR-YOU.TXT")

regruns()
Dim num,downread
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32",""
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",""
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN_BUGSFIX",""
regcreate "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:blank"



sub folderlist(folderspec) 
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec) 
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next 
end sub
sub regcreate(regkey,regvalue)
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite regkey,regvalue
end sub

function regget(value)
Set regedit = CreateObject("WScript.Shell")
regget=regedit.RegRead(value)
end function
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then
msg = 0
else
msg = 1
end if
fileexist = msg
end function
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function

er der nogen der har prøvet ovenstående....

ja til cybles - så vidt jeg kan se er de lost forever.. lort lort lort, der røg mange mange timers arbejde, havde den taget mine psd, var jeg rejst til phillipinerne og revet bollerne af ham...

--:TheArtist:--

Torsdag d 4 maj klokken 11.37 ( lokal tid ) Jeg siger mit job op, rejser hjem og påbegynder en uddannelse som smed eller maskinarbejder.

Lev vel :-(

Held og lykke...

Hvaaa ..... Er dit spørgsmål ikke besvaret ??

//Kjalle :o)

Den er meget slem....


Tager også alle mapped drives og kører det igennem. Vi fik på den måde slettet MEGET arbejde.

THEARTIST - jeg har sagt til din sysadmin, at det bedste er at lukke mailserveren og hive netstikkene ud på serveren. Gå derefter rundt med en simpel diskette og ret regbasen med det.

Derefter kan en patch hentes på

http://www.softcom.dk/virus/



http://www.computerworld.dk/Vis_artikel.asp?ArticleID=6701


desuden kan en patch hos microsoft hentes for dem som bruger outlook express
hentes på.

http://www.microsoft.com/technet/security/bulletin/ms99-032.asp



Dem der har win 98 er værst ramt, da den seriøst fucker regedit op (den bytter rundt på en masse / og . hvilket den ikke kan klare...Du kan risikere at skulle lave en format C:


Jeg håber at de finder dem der har lavet dem - lige som de gjorde med melissa. De skal ikke i fængsel - bare hænges......i bollerne.

Jeg er en af dem der hopper på en format C: det eneste positive lige nu er at min explorer måske så ikke længere fucker billeder op. Stoffer fik i smadret meget hos Mondo?

--:TheArtist:--

Jah og det er slemt, sidste backup  fra 14/4.

Alle vores servere blev ramt. Det værste var faktisk .js filer. VI havde RIGTIGT mange. ØV.

Alt vores webJPG røg, det lå kun på min maskine. Sidste backup var fra engang i slutningen af februar... og det var bestemt ikke det hele der var på serveren kun 1/4 del.

JS havde jeg heldigvis ingen af men CSS røg der en del af. det ligger du på serveren...

Vi såz (måske fredag)

over 20.000 billedfiler

rigtigt surt :(

Man kan heldigvis sige at de har haft en lille bitte smule bamhjertighed ved ikke at tage gif og asp og htm filer med. Men dem der har lavet den burde skydes.

Sjovt at få alle computere i verden til at gå ned - NOT!

Stoffer : Du skal sku ikke spøge med sådan noget...nogle susbekte mennesker kunne jo få ideer.

Quote : "Man kan heldigvis sige at de har haft en lille bitte smule bamhjertighed ved ikke at tage gif og asp og htm filer med. Men dem der har lavet den burde skydes."

prodic>> De kunne lige så nemt havde lavet den, så den slettede alle filer. Så hvis de vil slette GIFs, aps- og htm-filer havde de nok gjort det......

Min NT reagerer ikke efter 1 min. Hvad kan jeg gøre?

StigC : Ja ja, men skal der ret meget hjerne til at forestille sig hvad det næste træk bliver? Det er nok mest det jeg er bange for.

Og lave et udtræk af en virus og selv lave den lidt "sjovere" er vel efterhånden noget ungerne lærer i Børnehaveklassen. Det var bare et Worst Case Senario eksempel, eller en forudsigelse af hvad der kunne ske næste gang.

En kønsygdom på nettet, hvad bliver det næste???
:0(

Der er en god ting ved det!!!!
Microsoft bliver nød til at lave noget software der virker, hvis de vil beholde deres plads!
Så muligvis er der en eller anden (ny ankommen) programør hos microsoft, der laver et sikkerhedssystem!
Man kan jo håbe....
Hvis ikke er microsoft ikke på toppen meget længere!
Så noget godt er der dog kommet ud af dette!

/
The Shadow Surfer

Hmm.
Nu kan jeg ikke lige huske, men de filer den har slettet hvad er det nu de står for?

Nogen der kan hjælpe mig med det?
(Det er der jo nok :)  )

7-9-13
Jeg så med det samme at den var lidt for skummel for jeg modtog den fra min chef? :) så jeg har ikke mistet noget.

Hmmm. bare for at opdatere.

der er kommet en afart idag. I DAG HEDDER VIRUSEN "JOKES- VERY FUNNY"

http://www.e.magazine.dk/Nyheder/Nyhed.asp?NyhedsID=1282

det er ret irriterende.


Et lille trick som vi har lært os her er at du kan sætter serveren til ikke at tillade eksekvering af vbs filer. Slå alle mapped network drives fra på din lokale maskine og lev med det, indtil viruserne ikke florerer mere.

Og så det indlysende: BACKUP

prodic --> det har de allerede fået :(, de sletter sikkert nogle andre filer...

http://www.mcafee.com/centers/clinic/ klarede opgaven. Min maskine virker dog ikke optimalt. Men tak alle sammen !  :)

Så er spørgsmålet lige.bliver filerne slettet og bliver der så oprettet nogle nye eller bliver de overskrevet. Hvis de bliver slette kan man så ikke bruge et retablereingsbruge til at finde de slettede filer igen ???

Desværre ikke.

Hvis du har win95/98 så gå ind i C:\windows\ og find filen wscript.exe

I win 2000 ligger denne fil i
c:\winnt\system32\wscript.exe

Omdøb denne fil, lige meget hvad du omdøber den til...
Dette burde sørge for, at virusen ikke kan starte op, da det er en simpel virus skrevet i visual basic, og sådanne programmer skal bruge wscript til at starte op...
der er dog andre små programmer i wondows der ikke virker når du omdøber filen, men så kan du jo bare omdøbe den tilbage til dens oprindelige navn hvis du skal bruge et af de programmer der ikke dur uden...

Som sagt BURDE dette virke...!

milo - Hvad går jeg glip af ved at fjerne wscript.exe og cscript.exe?

Der 60 nemme points at score på http://www.eksperten.dk/spm.asp?id=16495

// Codpiece

Jeg læste at den kun GEMMER MP3 filer ... virusen sletter dem ikke.
Det var vist på BrugNettet.dk

milo --> det er en besværlig metode, bare associer .vbs filer med notepad.exe i stifinderen

tdaugaard> Ja det stemmer at den kun gjemmer mp3 filer. Jeg fikk min PC infisert med LoveLetter-viruset og jeg fant mine mp3 filer, ved å velge \"Vis alle filer\". Mp3 filene bli endret til SYSTEM-filer, og vises ikke hvis du har valgt \"Ikke vis systemfiler\". Etter at jeg kjørte antivirus så var fremdeles mp3 filere systemfiler. Dette løste jeg ved å først hente (load) inn mp3 filen i et musikkprogram (f.eks. CoolEdit2000), og deretter lagret (save) jeg mp3 filen på nytt. Dette fungerte helt fint :-). Men min jpg-bilder var tapt :-(, men jeg hadde kun 3-4 jpg-bilder på PC\'en når den ble infisert så det var ikke så farlig.

kengun:> bedre sent end aldrig ;-)