image

Virusverspreiding via Flash bestanden mogelijk

dinsdag 8 januari 2002, 22:13 door Redactie, 14 reacties

Antivirus-bedrijf Sophos meldt op haar website dat er een nieuw virus dat zich via Flash-bestanden (swf) kan verspreiden bekend is geworden. Het virus is nog niet in het wild aangetroffen. Verbazender dan dit virus is de mogelijkheid voor flash bestanden om programma's op de PC van de gebruiker te kunnen starten. Alleen deze vanuit beveiligingsoogpunt zeer ongewenste functionaliteit is al reden genoeg om dit flitsende paard van Troje onmiddelijk en voor altijd van particuliere en bedrijfsmatige gebruikte PC's te verwijderen. (Met dank aan Virusalert.nl.

Reacties (14)
09-01-2002, 09:13 door Anoniem
Jaren geleden, toen Authorware net 'web-enabled' werd gemaakt (via shockwave dacht ik), was al duidelijk dat dit kon.

Het verbaast me dat het nog zolang geduurd heeft...
09-01-2002, 14:30 door gerrie mansur
Originally posted by
Jaren geleden, toen Authorware net 'web-enabled' werd gemaakt (via shockwave dacht ik), was al duidelijk dat dit kon.

Het verbaast me dat het nog zolang geduurd heeft...

Ik heb hier zeker 2 jaar geleden al voor gewaarschuwd en ook al werkende voorbeelden gezien .

Welke 3l1t3 collega dat was weet ik niet meer.

Groet
Gerrie
09-01-2002, 14:50 door Anoniem
> ...
> Macromedia was recently informed of a potential issue with the
> standalone Macromedia Flash Player running on Microsoft Windows.
> This issue does not affect web content viewed in a browser.
> After testing by both Macromedia and Sophos Anti-virus, the
> company who initially reported this potential issue, Macromedia
> has found that this issue can only affect content that is sent
> via email or downloaded from a site and then run outside a
> browser...

Slaat alleen op projector-files dus, niet op websites. En alleen (bwahah) op het Windows-platform.
09-01-2002, 15:05 door Anoniem
Zeer oud nieuws!

Er zijn organisaties en vele anderen die kunnen bevestigen dat ik dit in 2000 al heb bevestigd en bewezen.

mvg,
Gerrie
09-01-2002, 15:06 door Anoniem
Originally posted by gerrie mansur


Ik heb hier zeker 2 jaar geleden al voor gewaarschuwd en ook al werkende voorbeelden gezien .

Welke 3l1t3 collega dat was weet ik niet meer.

Groet
Gerrie

Iemand misbruikt mij naam hier...

Moet toch iemand zijn die een collega is geweest, ben benieuwd.
09-01-2002, 15:34 door pierpanda
Op de website van Symantec vindt men de volgende informatie over het betreffende virus:

http://www.symantec.com/avcenter/venc/data/acts.lfm.926.html

Norton AntiVirus gebruikers worden opgeroepen om de virusscanner zo te configureren dat ALLE bestanden worden nagekeken, dus ook de SWF-files.


Pierpanda.
09-01-2002, 17:06 door Anoniem
Originally posted by Gerrie


Iemand misbruikt mij naam hier...

Moet toch iemand zijn die een collega is geweest, ben benieuwd.

1: gerrie nok nou eens met je zogenaamde ontdekkingen van zoveeeeeel jaar geleden terug

2:zeg niet IK maar de naam van diegene die dit probleem aan de kaak stelde

3. gerrie bewijst niks
09-01-2002, 17:42 door Anoniem
Gerrie e.d. jullie weten als de beste wrm het een virus is. Dus wrm altijd die flame wie wel zegt en wie wel vond. Het ligt aan de producent en consument zelf.
10-01-2002, 12:06 door Anoniem
Yeah!!! let's play FLAME WARS!

ghehe

grt marshal

my miserable two cents
10-01-2002, 12:31 door rilo
Terwijl we nog amper uitgesproken zijn bestaat er nu ook al een virus voor Microsoft .NET. [URL=http://www.f-secure.com/v-descs/dotnet.shtml]Hier[/URL] vind je de omschrijving voor Donut en [URL=http://www.benny29a.cjb.net]hier[/URL] de site van de maker. Enigszins wel ironisch voor Microsoft dat dit NET op dezelfde dag bekend wordt gemaakt als het bericht dat [URL=http://news.zdnet.co.uk/story/0,,t269-s2102244,00.html]Microsoft vals speelt[/URL] met een [URL=http://polls.zdnet.co.uk/zdnuk/?p=20&d=AV]poll over webservices[/URL] om .NET te promoten. Kwestie van hoogmoed komt voor de val?

Update 11-01-2002: oops, cjb heeft de forwarding weggehaald geloof ik, het goede adres voor Benny zijn site is [URL=http://www.benny29a.kgb.cz]www.benny29a.kgb.cz[/URL]
10-01-2002, 20:36 door Anoniem
Site van maker-url klopt niet..

Dat MS valspeelt met Polls vind ik hooguit zielig ;)
11-01-2002, 12:55 door Anoniem
Alweer eentje, vooral de echo:Y|format c: is een beetje lullig..

http://vil.nai.com/vil/virusSummary.asp?virus_k=99301

This threat is detected as VBS/Generic@MM with the 4141 DATs or newer. It arrives via Internet Relay Chat, or in an email message containing the following information:

Subject: Outlook Express Update
Body: MSNSofware Co.
Attachment: Mmsn_offline.htm
Opening the attachment infects the local system. The worm sends itself to all Microsoft Outlook Contacts and Windows Address Book entries using MAPI. Copies of the worm are created using different formats:

* C:B.HTM
* C:BLA.HTA
* C:WINDOWShelpmmsn_offline.htm
* C:WINDOWSSAMPLESWSHCharts.js
* %drive letter%Start MenuProgramsStartUpmsoe.hta (on network drives)

The C:AUTOEXEC.BAT file is over written with Echo y|format c:

All SCRIPT.INI files are overwritten with mIRC script commands to send the virus to others when they join a channel that an infected user is on. All .ASP, .HTM, and .HTML files are overwritten with the virus code. The content of all other files is deleted, leaving them with 0 bytes of data.

The following registry keys are created:

* HKEY_LOCAL_SYSTEMSoftwareMicrosoftWindowsCurrentVersion
RunNAV DefAlert=C:WINDOWShelpmmsn_offline.htm
* HKEY_CURRENT_USERSoftwareTheGravebadUsersv2.0

Peaz..
11-01-2002, 14:05 door gerrie mansur
Erg lullig inderdaad !!
11-01-2002, 14:10 door Anoniem
Ach, het bewijst maar eens te meer dat de 'sk1dd10tz niet echt snappen waar ze mee bezig zijn; autoexec overschrijven NADAT je sowieso al alle bestanden genekt hebt..tja..
Lijkt een beetje op die slimmerik die EERST je windoze dir wegggoide en dan notabene een force-exit probeerde te doen..tuurlijk..hebbie echt over nagedacht..:-)

Erwtjes..

* linux is like a wigwam, no windows , no gates, apache inside. *

En als we het dan toch over ettergeintjes hebben: http://www.heise.de/newsticker/data/pab-11.01.02-001/
(is in het duits)

En laat ons ook de zwijntjes niet vergeten, lol.. http://kimble.org/
Kimble has left the building :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.