Volgens mij mis ik in dit overzicht TrendMicro en die maakt
er een TSPY_AGENT.POA van met de volgende patterns:

Virus pattern - 4.359.00
Spyware pattern - 0.471.00
IntelliTrap pattern - 0.103.00
IntelliTrap exceptions - 0.183.00

Ach, ABN AMRO heeft al meermalen per brief aan hun particuliere klanten
laten weten dat er nooit per mail gecommuniceerd wordt, dus de mensen
zouden dit zelf al wel moeten weten.

Daarnaast bestaat het E-mail adres [email]support@abnamro.nl[/email] niet, dus als
mensen op de mail reageren en ze krijgen een foutmelding, zouden ze
moeten snappen dat de mail niet in de haak zit.

Ik ben geen ABN Amro klant, en heb de mail ook ontvangen, snel even op
de website van de bank gekeken, en ik moet zeggen dat ze de stijl van het
stukje internetbankieren op de website goed hebben over genomen, dus
dat is dan wel weer overtuigender.

Nou even serieus...dit is overtuigend? Wel eens goed de mail
gelezen? Ik citeer:

Onze bank houdt regelmatig toezicht OVER de laatste
vorderingen ter TEGENSTRIJDING van netpiraten en treft
steeds preventiemaatregelen om zijn klanten tegen
OPSCHEPPERS te beschermen.

Aangezien het er niet minder erg op wordt, mag je wel een
ENORME kluns worden genoemd als je dit als echt beschouwd.
Man man man, wat een slechte vertaling!

De module is aan deze brief BIJGELEGD :P

Het belabberde Nederlands zou ook al een hint kunnen zijn:

Deze tekst lijkt regelrecht uit een (Belgische?)
vertaalmachine te zijn ontsproten.

Hier zijn we maar weer hoe goed de heurics van de meeste
virusscanners zijn.
Helaas blijven we afhankelijk van de definities.

Noujah........

Maar goed dat executables door mijn mailserver worden geweerd, zo ben
ik niet afhankelijk van een virusscanner en de (missende) updates.

Gelukkig beschikken wij, security professionals, wel over de nodige
heurics :-)

Komt dit overzicht bij Virustotal.com vandaan? Had wel even
vermeld mogen worden. Ere wie ere toekomt...

Walter,

Je kunt er tegenwoordig echt niet meer vanuit gaan dat mensen argwaan
moet krijgen als ze per email door een instantie (in dit geval een bank)
worden benaderd. Email verkeer krijgt tenslotte een steeds formeler
karakter. Ook niet als ze daar per brief op gewezen worden. En of een
email adres wel of niet bestaat is natuurlijk voor niemand zomaar te
achterhalen.

Daanaast moeten we ons wel realiseren dat het overgrote deel van de
klanten geen deskundigen zijn bij het gebruik computers in combinatie
met dit soort diensten. En dan druk ik me nog voorzichtig uit.

Het blijft dus zaak om alle (beveiligings)expert en deskundige zeer alert te
blijven en er voor te zorgen dat er voldoende middelen zijn om snel actie te
kunnen ondernemen zoals het uit lucht halen van een nepsite. Hiervoor is
wel internationale samenwerking noodzakelijk.

En ja, het blijft van belang om de gebruikers keer op keer te informeren
hoe er exact met hen wordt gecommuniceerd zodat ze vreemde zaken zelf
direct kunnen opmerken.

Jeroen

Ze liggen nu plat ook volgens mij. http://www.abnamro.nl is not at home...

Stel je voor dat het mailtje wel in correct Nederlands was
geschreven. Het SSL3 idee is wel een geloofwaardig concept,
in ieder geval origineel gevonden.

De logo's en stijl zijn verder wel geheel ABN Amro.

En ABN Amro stuurt wel eens mail aan klanten, zij het over
nieuwsbrieven (voor MKB). Moet zeggen dat die mail eigenlijk
nog meer op een scam leek, de afzender was een vage
'noreply' en om je aan te melden voor de nieuwsbrief moest
je naar een of andere mailsecuredev.onzeservers.nl website.

AAB site is trouwens down.

Weet iemand al wat dat ding doet?

Lijkt me interessant om te weten wat er in zit qua techniek.

De heuristics van de wat scanners die wel wat vinden zijn
ook prut :-) UPX voor de lol eens calc.exe. Esafe, Fortinet,
Ikarus en WebWasher vinden dat heel suspicious, zo kan ik
het ook!

Als de Mailservers (in Nederland) nou eens gaan controleren
op e-mail adressen.
Ik zag in Poptray dat het email verstuurd is uit .sk d.i.
Slowakije,
terwijl ABN Amro .nl het verzend adres zou wezen.

Scheelt echt veel heel veel spam!

Reguliere site ligt plat ja, maar internetbankieren kom ik gewoon op.

Net voor 12 uur haalde ik een dergelijk ABNAMRO-phising email binnen
mijn F-secure antivirus kwam direct in actie en heeft de trojan verwijderd
(melding in het logboek van f-secure: "Malicious code found in file
D:PROGRAM FILESQUALCOMMEUDORAEMBEDDED498.EXE.
Infection: Trojan-Spy:W32/Agent.QY Action: The file was deleted.")

Als de verstuurders slim zijn zorgt het paard ervoor dat
iedere keer dat jij abnamro.nl intypt dat je dan niet naar
de website van de abnamro gaat maar naar hun eigen site.
Zonder dat de gebruiker dit kan zien. Vrij simpel te realiseren.

Die server stel je dan zo in dat die alle gegevens vraagt en
via dezelfde of een andere besmette pc aangepaste commando's
stuurt naar de abnamro website die in plaats van geld over
te schrijven naar pietje het naar hen overschrijft.

Dus je gebruikt de besmette pc's om aan de gegevens te komen
en tegelijkertijd gebruik je diezelfde of een andere
besmette pc om de opdrachten aan abnamro te geven.

Bovenstaande is dus hypothetisch. Ik ben niet op de hoogte
wat het paard echt doet.

hoe weten ze nou welk email adres bij welke bank hoort ??

en b.t.w.

De mail is ook nog afkomstig van:
[email]uqlhcmhudt@ahlqvistsoftware.com[/email]

op : http://ahlqvistsoftware.com/ staan ook deze plaatjes...

[img=http://ahlqvistsoftware.com/bilder/datorjobb.jpg]afbeelding[/img]]

[img=http://ahlqvistsoftware.com/bilder/erik.jpg]afbeelding[/img]

Iemand die nog wat headers wil zien van de mail:

[url=http://unit10.dotnet-services.nl/nieuws.htm]Link naar
ABN-AMRO phisingmail details[/url]

Groet Huub, Unit 10.

Avast virusscanner versie 4.7.942 herkende dit mailtje wel
degelijk als geinfecteerd.

Het staat ook al op de ORGINELE website, van abn amro.

http s !! werkt nog wel, maar linksboven in staat een link
fout, zet er een s voor http en je kan het lezen...

https://www.abnamro.nl/nl/overabnamro/internetcriminaliteit.html?pos=lb_20070321_nepsite

Toch leuk dat ik als ABN AMRO klatn geen mail hierover
gekregen heb.
Hoe moet ik nu naar de bank gaan ?

Hoe zit het met de Mac, is die ook kwetsbaar voor deze trojan?

Nee

En hoe had u het onderscheid willen maken tussen het echte
bericht en de phishing mail..? (m.u.v. de spelvauten dan..)

Opzich als je een beetje vlot over het mailtje leest, dan vallen de
schrijffouten ook niet super goed. Je kan hooguit een vaag vermoeden
hebben, maargoed er zijn nog zat mensen die dat niet begrijpen en
doodleuk de malware installeren.

Als het Trojaans paard ervoor gaat zorgen dat er toetsaanslagen worden
bekeken, dan kan men volgens mij met een gerust hart doorgaan met
Internet Bankieren via ABN AMRO. Om in te loggen zijn er geen codes of
wachtwoorden nodig: er wordt gewerkt met de eigen PIN-code (die men
niet intoetst op het toetsenbord), bankpas en responsecodes die elke
keer weer uniek zijn. Het feit dat er toetsaanslagen worden 'bekeken' zou
natuurlijk wel consequenties kunnen hebben wanneer je bijvoorbeeld je
creditcardgegevens in dient te toetsen. Voor zover ik weet is ABN AMRO
Internet Bankieren net zo veilig als bijvoorbeeld RABO Internet Bankieren.

Met vriendelijke groeten,
Jaap

Heb MailWasher.....vangt hem mooi af.

VTEST resultaat van 14:58

====================================================

Scan report of: 391.exe

@Proventia-VPS -
AntiVir TR/Spy.Banker.cmb
Avast! -
AVG -
BitDefender -
ClamAV Trojan.Spy-2819
Command -
Dr Web -
eSafe Trojan/Worm [100] (suspicious)
eTrust-VET -
eTrust-VET (BETA) -
Ewido -
F-Prot W32/Banker.AEMT
F-Secure Trojan-Spy:W32/Agent.QY
F-Secure (BETA) Trojan-Spy:W32/Agent.QY
Fortinet suspicious
Fortinet (BETA) suspicious
Ikarus Win32.Outbreak
Kaspersky Trojan-Spy.Win32.Banker.cmb
McAfee -
McAfee (BETA) Spy-Agent.bw trojan
Microsoft -
Nod32 -
Norman -
Panda Generic Trojan
Panda (BETA) Trj/Wsnpoem.L
QuickHeal Suspicious (warning)
Rising -
Sophos Troj/BanSpy-C
Symantec -
Symantec (BETA) -
Trend Micro TSPY_AGENT.POA
Trend Micro (BETA) TSPY_AGENT.POA
UNA -
VBA32 -
VirusBuster -
WebWasher Trojan.Spy.Banker.cmb
YY_Spybot Smitfraud-C.,,Installer

====================================================

The following updates have been used for the test (all times in GMT):

@Proventia-VPS VPS.rar 2007-03-13 19:45
AntiVir ivdf_fusebundle_nt_en.zip 2007-03-22 15:12
Avast! 400.vps 2007-03-21 13:32
AVG avg7mmav407a980.zip 2007-03-22 08:33
BitDefender cumulative.zip 2007-03-22 08:11
ClamAV daily.cvd 2007-03-22 11:04
Command DEFFILES.ZIP 2007-03-21 23:14
Dr Web drwtoday.zip 2007-03-22 15:42
eSafe com_evsvsp_vtest.upd 2007-03-22 13:45
eTrust-VET fv_nt86.exe 2007-03-22 10:50
eTrust-VET (BETA) fv_nt86.exe 2007-03-22 11:27
Ewido ewidoscan.zip 2007-03-22 14:31
F-Prot antivir.def 2007-03-22 15:42
F-Secure latest.zip 2007-03-22 09:57
F-Secure (BETA) latest.zip 2007-03-22 09:35
Fortinet vir_high 2007-03-22 14:51
Fortinet (BETA) vir_high 2007-03-22 14:28
Ikarus t3sigs.vdb 2007-03-22 14:26
Kaspersky av-i386-daily.zip 2007-03-22 15:40
McAfee dat-4989.zip 2007-03-21 17:10
McAfee (BETA) win_netware_betadat.zip 2007-03-22 15:41
Microsoft scnAVdaily11624244.cab 2007-03-22 15:48
Nod32 minnt.exe 2007-03-22 13:39
Norman nvc5oem.zip 2007-03-22 12:02
Panda pavexp_sig.zip 2007-03-21 20:24
Panda (BETA) pav.zip 2007-03-22 15:45
QuickHeal qhadvdef.zip 2007-03-22 15:44
Rising RavDef.zip 2007-03-22 08:50
Sophos ides.zip 2007-03-22 15:15
Symantec 20070321-018-i32.exe 2007-03-21 16:53
Symantec (BETA) symrapidreleasedefsi32.exe 2007-03-22 15:40
Trend Micro lpt361.zip 2007-03-22 11:49
Trend Micro (BETA) lpt361.zip 2007-03-22 11:50
UNA latestwin.zip 2007-03-16 20:04
VBA32 vba32w-latest.rar 2007-03-22 09:00
VirusBuster vdb9.exe 2007-03-22 14:18
WebWasher ww-latest-windows.zip 2007-03-22 15:12
YY_Spybot includes-all.zip 2007-03-21 11:03

====================================================

Scan report based on the VTEST system, Copyright (c) 2007 AV-Test
GmbH.

Ik weet niet hoe diep je FF/IE kan patchen, maar de
eigenschap van https is oa dat het de identiteit van de
beide pc's vaststelt. Dus normaal gezien zouden de browsers
moeten gaan piepen, wanneer je ineens met een andere pc
verbinding gaat maken.
De vraag is natuurlijk of het een gebruiker op zou vallen
dat het certificaat niet meer klopt, wanneer hij zo "stom"
was om het te installeren.

Internet Service Provider xs4all heeft het volgende bericht
uitgegeven.

2 Maart 2007

Op internet gaat een phishing mail rond, een vervalste mail
die afkomstig lijkt te zijn van ABN AMRO. De spamfilters van
XS4ALL hebben de e-mails tegengehouden. Abonnees van XS4ALL
die het spamfilter hebben aanstaan, hebben deze dus niet
ontvangen.

In de mail wordt aan klanten van ABN AMRO gevraagd om op een
link te klikken en bepaalde software te installeren. Als zij
dat doen wordt een trojan op hun computer geinstalleerd, een
virus dat de controle over de computer overneemt.

Hebt u het spamfilter van XS4ALL niet geactiveerd en de
e-mail ontvangen? Klik dan niet op de link in de e-mail,
maar verwijder de phishing mail direct. Bovendien adviseren
we u om het spamfilter aan te zetten in het Service Centre.

Daarnaast vindt u op onze veiligheidspagina's uitgebreide
informatie en tips over hoe u veiligheidsrisico's kunt
herkennen en voorkomen. Als u uw computer beveiligt,
beschermt u uzelf en anderen.

Heb vandaag ook een SSL3 mail ontvangen van een zogenaamde
afzender [email]ypmrxkyd@aioinfo.com[/email], maar mijn provider Casema heeft
kennelijk een prima Phishing Filter: die had de inhoud en bijlage al
verwijderd. Hulde voor Casema!

De volgende virusscanners zijn bijgewerkt (do 22 maart 2007, 19:00)
Zie ook http://www.waarschuwingsdienst.nl/

* AntiVir
* Authentium
* CAT-QuickHeal
* ClamAV
* eSafe
* F-Prot
* F-Secure
* Fortinet
* Ikarus
* Kaspersky
* McAfee
* Panda
* Sunbelt
* Symantec
* Webwasher-Gateway

Die mail kwam waarschijnlijk van Barclay's. een klein
voorproefje alvast ;))

als je ziet hoe dom mensen zijn, er er toch nog op klikken.
dan zijn ze het zelf schuld..

Waarom? Klanten zijn helemaal getraind om email te krijgen
van afzender adressen die niet responden (hoeveel
[email]donotreply@[/email] afzenders heb je wel niet in je
mail box zitten?

Bovendien, [email]security@abnamro.nl[/email] en
[email]abuse@[/email] bouncen ook (en met een erg
ondoorzichtige Notes melding die heel lastig de originele
email te koppelen is). Ja ik heb ABN-AMRO op de hoogte
proberen te stellen hiervan, maar ze zijn duidelijk niet
geinteresseerd in dit soort meldingen uit het veld.

De phishing mail was overigens best goed: geen duidelijke
taalfouten, officieel klinkend en vroeg niet om naar een
vage website te gaan of direct je persoonsgegevens te geven.

Donotreply afzenders voor bulk mail naar consumenten zijn illegaal in
Nederland. Afzender adressen moeten werken.

De phishing mail was niet zo goed voor mensen die het Nederlands
machtig zijn, er zaten duidelijke taal- en stijlfouten in.

Geen duidelijke taalfouten lol het was aan fouten aan elkaar hangende
hemeltergend stukje babelfisch vertaling.
Dus een beetje oplettende lezer zou hier zo doorheen moeten prikken,als
je hierin trapt moet je gauw je PC het raam uit gooien en weer met
overschrijvingskaarten gaan werken of telefonisch.
En een bank die vraagt een stukje software te installeren ??????

tja uh, gewoon werken met Linux. Daar kan je uberhaupt geen exe bestand openen.

Dat kan wel maar zitten daar wat
haken en ogen aan.

Tiscali gebruikt ook zender-verificatie, maar omdat hun
servers (die het zend-adres trachtten te verifiëren) in
bloklijsten staan, wordt hun verificatieaanvraag bij menig
server geweigerd. Dit heeft tot gevolg dat aan Tiscali
verzonden post dan niet door Tiscali verwerkt wordt en dus
niet door de geadresseerde wordt ontvangen.

Maar voor wie wil weten hoe zender-adres-verificatie werkt
en hoe dit gerealiseerd kan worden, zie
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

Er zit een intern menselijk lek bij de ABN AMRO Bank, en of bij AMDOCS die de facturering doet bij de ABN AMRO Bank.

De vraag is dan ook, hoe kunnen internet criminelen aan de e-mail adressen komen van deze bank klanten welke worden opgeslagen in de ABN AMRO data bases. Kortom het ABN AMRO bank systeem is lek, en daar kunnen we lang en breed over praten, de bank blijft ontkennen weat het gaat haar enkel om klanten en geld.

Jerry, overheid kan IP adres opvragen website beheerder.