03. februar 2002 - 08:37Der er
18 kommentarer og 2 løsninger
Hvilken virus, og er den destruktiv?
Der har været virus på min computer. Det var en af disse, der sendte sig selv videre til personer i mit adressekartotek/personer jeg havde sendt e-mails til. Bl.a. sendte den sig selv videre som vedhæftet fil, der blev benævnt ekspostrt.exe. Ved at bruge Norman antivirus program fandt jeg ud af, at den havde inficeret en del exe filer i windows mappen, bl.a. calc.exe, cdplayer.exe m.fl. Men den kunne ikke give et navn på virussen, og der stod heller ikke noget om, at øvrige filer var inficeret, eks. win.ini.
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Hvis man støvsuger nettet for oplysninger om "ekspostrt.exe" får man intet resultat - det gælder også de store antivirus firmaers virusbiblioteker... Der må derfor være tale om en helt ny virus - hvilket er meget usandsynligt - eller om en virus der ikke konsekvent benytter filenavnet "ekspostrt.exe". Begge dele gør det meget svært at finde et navn på den.
Norman virus programmet skrev: "possible virus found", hvilket omfattede 19 exe filer i windows mappen, der alle var blevet ændret samme dato og tid som jeg havde åbnet den vedhæftede fil. Måske størrelsen af de omhandlende filer var blevet ændret, så virusprogrammet havde opdaget det? Alle filerne var endvidere gjort skrivebeskyttede/beskyttede mod ændringer, så jeg ikke kunne åbne dem med kommandoen edit.
Jeg har glemt at fortælle, at som subject har den valgt en overskrift fra et dokument der var slettet på min computer, og har også sendt noget af dette dokument videre i selve mailen.
Jimped>> Du kan sende en af de filer Norman mener er inficeret til mig på braun@mail1.stofanet.dk (bare den ikke er for stor) - så skal jeg scanne den og se hvad jeg kan finde ud af.
Har du prøvet en onlinescanning? Kør en scanning på www.housecall.antivirus.com og se hvad den siger. Jeg er temmelig sikker på at hvis du har en virus vil housecall komme frem med navnet. Jeg tror ikke på at det er en ny "uopdaget". Du får navnet hos housecall og kommer tilbage her, så skal jeg prøve at hjælpe dig videre. NB! Hvis housecall ikke finder den tror jeg ikke på virus.
Jeg har nu undersøgt nærmere og jeg er næsten sikker på at virusen er en Xanax (VBS.Xanax@mm). Det hedder ikke ekspostrt.exe men derimod expostrt.exe og så er det en Xanax http://securityresponse.symantec.com/avcenter/venc/dyn/26987.html Du kan ikke se det ud af ovennævnte link, men jeg mener at expostrt.exe hører til Xanax. Jeg tror stadig på at housecall kan fjerne den ellers vend tilbage
Min kammerat siger nu at expostrt.exe ikke behøver at indikere en Xanax-virus, men vi er begge enige om at du bør køre en onlinescanning og se hvad den siger.
Det kunne være en variant af nimda, loveletter og badtrans.b, der alle bruger bl.a. outlook express til at sende mails til folk i din adr. kartotek. Alle virusprpogrammer, inkl. Norman som du bruger, skal have opdateret signaturfiler hvert 5-6 uger. Hvis du ikke opdatere jævnligt, få du en ny variant....uønsket vedhæftet filer kan være .vbs, .exe, .com, .scr Det er nok bedst du scanner alle indgående mailfiler inden du åbner dem!
vedr. din inficerede filer, kan du geninstallere calc.exe og cdplayer.exe fra cd-rom, men du siger der er flere? Bruger du mIRC? Hvis perhaps har ret, og det er Xanax, skulle du kunne genkende disse symtomer (der er 3 varianter): This is a prepending virus for Windows. This virus will also attempt to distribute itself via Outlook, and also through mIRC.
This virus may arrive by email in this format:
Subject = "Stressed? Try Xanax!" Body = "Hi there! Are you so stressed that it makes you ill? You're not alone! Many people suffer from stress, these days. Maybe you find Prozac too strong? Then you NEED to try Xanax, it's milder. Still not convinced? Check out the medical details in the attached file. Xanax might change your life!" Attachments =
xanax.exe
This virus may arrive to users connecting to mIRC as a file named xanax.exe.
The following string exists in the virus dropper XANAX.EXE however is not displayed:
Win32.HLLP.Xanax (c) 2001 Gigabyte
Indications Of Infection:
When the file XANAX.EXE is run, it will first copy itself, and also copy itself as the file name XANSTART.EXE, to the Windows\system folder, and then it will drop a script named XANAX.VBS in the current folder. This VBScript file is coded to send XANAX.EXE from the System folder via Outlook to the first 1000 recipients (based on a counter) from all address books.
The file SCRIPT.INI is also modified to distribute the file XANAX.EXE to users when joining IRC using mIRC.
Tak for hjælpen til alle. Jeg har nu kørt onlinescanning og opdateret version af Norman uden at finde flere tegn på virus, hvilket forhåbentlig betyder, at jeg fik slettet de rigtige filer i første forsøg.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
