hier vind je een extra datfile voor McAfee
http://vil.nai.com/vil/content/v_101034.htm

Sophos is inmiddels ook bij:
http://www.sophos.com/virusinfo/analyses/w32netskyb.html

Hmm. Dat gaat hard zo. Binnen een kwartier al een kleine 60 geblokkeerd.

onze virusscanner update eens per dag.. Dus ze beginnen nu door te
komen en niemand houd ze tegen.. Liveupdate zou iedere 2 uur moeten
draaien.. maar dat is niet in te stellen.

officiele update 4325 van McAfee is NU beschikbaar

Viruscontrole van binnenkomende e-mails (POP3)

Van: [email]37nh512x1e0005d955@hotmail.com[/email]
Aan:
Datum: 02/18/04 18:06:56
Onderwerp: information
Virus: I-Worm.Moodown.b
Status: De geïnfecteerde onderdelen zijn verwijderd.

Ik dacht dat dit niet via @hotmail.com zou gebeuren

Mijn Norton Antivirus 2004 heeft vindt het virus niet!!! Er is momenteel ook
nog geen update voor! :(

Je mail maar ff niet lezen dus, tot norton wakker wordt.
Mijn scanner duus kennelijk wel (bericht van 17:33 was van mij)

Heb ook Mcafee, ik maak me geen zorgen, alleen is het een beetje lame van
Symantec dat ze nog geen update uit hebben gebracht.... ;(

Kan wel kloppen. Kaspersky had om 16:50 update online

symantec is sowieso zuper lam met liveupdate, voor "normale
virussen" moet je wachten tot de wekelijkse update. Alleen
als het een ernstig virus is zetten ze meteen klaar. Maar
helaas is symantec meestal de laatste van de klas.

alle symantec antivirus producten zijn dus niet aan te bevelen.

Ik heb anders net een 18 feb Symantec update geinstalleerd met
LiveUpdate. Tsja, Symantec test haar wekelijkse update uitgebreid alvorens
te verspreiden, voorkomt de berucht vastlopers zoals de virusupdates van
McAfee. Dan is het middel erger dan de kwaal. Alleen bij gevaarlijke nieuwe
virussen zoals vandaag vindt afwijking van de updatedatum plaats.

Dat is dus niet lame, maar goed change management en Symantec
verdient een pluim.

Hier zijn de response tijden van W32/Bagle-B. Kun je precies zien wie snel
was en wie niet. Zonder spraak uit de nek.

http://www.pcwelt.de/news/viren_bugs/37827/2.html

Je moet niet alles geloven :)
Die tijden zijn opgegeven door de antivirusmaatschappijen zelf.

Als je geaboneerd bent op een viruslist van een van die maatschapijen dan
kijk maar eens goed naar de tijden van ontvangst en date in de headers.

De McAfee-Webshield E-1000 appliance die wij gebruiken update om het
hele uur en blokt standaard alle foute extensies. ZIP wordt niet geblokkeerd.
Dus waren er een wel een paar ZIP files binnen voor 4325 update actief
was. Ook de 2e virusscanner van Trend pakte deze virussen niet op tijd op.
Zelfde probleem met met MyDoom virus gehad

Ik denk er zwaar over om mijn ICT management toestemming te vragen om
ZIP via e-mail standaard te blokkeren. Ik weet dat dit voor sommige
gebruikers lastig wordt. Een uitbraak op het interne netwerk zonder
uptodate virusscanner is niet acceptabel. 900 werkplekken checken /
desinfecteren legt het hele bedrijf plat.

Iemand een mening over het wel of niet blokkeren van *ZIP ?

Helaas... nog meer spraak uit de nek.

Die tijden zijn NIET door de anti-virus bedrijven zijn opgegeven. De updates
zijn GEDOWNLOAD op DAT TIJDSTIP en vervolgens is getest of ze dat virus
wel echt detecteerden.

Het is logisch dat het tijdstip van verzenden van waarschuwingen min of
meer samenvalt met de beschikbaarheid van updates. Zo werken anti-virus
bedrijven. Ze gaan geen waarschuwing sturen zonder update, anders zou
binnen de kortste keren de helpdesk overspoeld worden met klanten die
een update willen.

Wow mijn eigen viruswatch systeem neemt nu meer dan 8.000 exemplaren
per uur waar.

Wordt tijd dat ik met m'n software de boer op ga.

[qoute]Helaas... nog meer spraak uit de nek.

Die tijden zijn NIET door de anti-virus bedrijven zijn opgegeven. De updates
zijn GEDOWNLOAD op DAT TIJDSTIP en vervolgens is getest of ze dat virus
wel echt detecteerden.

Het is logisch dat het tijdstip van verzenden van waarschuwingen min of
meer samenvalt met de beschikbaarheid van updates. Zo werken anti-virus
bedrijven. Ze gaan geen waarschuwing sturen zonder update, anders zou
binnen de kortste keren de helpdesk overspoeld worden met klanten die
een update willen.
[/quote]
Ik meet andere tijden voor de beschikbaarheid van de updates in het McAfee
netwerk. Vroeger en later voor bagle.b en Mydoom als PCwelt aangeeft.

Dat was echter niet waar ik op doelde. Kijk eens naar de tijd dat een
waarschuwings e/mail verzonden zou zijn bij die av firma´s en de tijd dat hij op
de mailserver van jou provider wordt aangeboden. Je zal bij bv McAfee
constateren dat daar tientallen minuten tot soms wel uren verschil tussen zit.

Bij sommige AV firma´s zie ik tot ACHT uur verschil.

Even terugkomen op de webshield e1000. Heb je bij de webshield e1000 echt
gewacht tot de 4325 update? Was het niet slimmer om de extra.dat die om 14.00
uur beschikbaar was te installeren


Om 11.00 uur vanmorgen kregen wij de eerste meldingen van emails die
besmet binnenkwamen en toen was het al te laat. Toen als de wiedeweerga
de .zip, .exe en .pif en nog meer extensies geblokkeerd. (Op groupshield,
Webshield smtp en webshield e1000) Gelukkig vingen grouppolicies op onze
outlook clients de meeste extensies al af, maar het ging echt heeeeeeeeel snel.
In princiepe vind ik dat een gebruiker alles moet kunnen ontvangen, maar begin
ook steeds meer te voelen voor het preventief blokkeren. Als je zag hoe snel het
vanmorgen ging. Weet zeker dat morgen de bom pas echt barst!!!

Waar ik bij het management over in debat ga is een desktopfirewall en mcafee
Threadscan, hele leuke tools!!!!

Bij Mcafee staat de update op de site er al vaak 2 uur eerder op dan dat de email
verstuurd wordt. Komt waarschijnlijk omdat ze de email pas versturen op het
moment dat de update wereldwijdt op elke nai server te vinden is. De
ftp.nai.com/commonupdater is altijd als eerste up to date!!!!

Maar vandaag heeft mcafee volgens mij wel gewonnen met de update voor
Netsky.b, zoals hierboven genoemt. (Om 14.00 uur de extra.dat) Of waren andere
bedrijven nog sneller? (Helaas voor het voorbeeld hierboven was het te laat,
maar da's gewoon pech hebben).

Jammer dat je niet kunt zien wie op wie reageert.

van mij mogen ze anoniem afschaffen.

Zet in ieder geval een al dan niet fake naam onder je bericht om het een beetje
duidelijk te maken

Update 4326 voor McAfee is nu beschikbaar

Dat zal niet veel schelen, aangezien de anti-virus leveranciers wel wat laten
horen als er iets niet klopt in hun nadeel. Het gaat om het beschikbaar zijn van
de updates, niet de tijden dat je een melding krijgt over beschikbaarheid. Houdt
ook rekening met tijdzone verschillen en timestamps uit andere tijdzones,
vergissen is heel makkelijk.


Dat moet een tijdzoneverschil zijn.

Het is logisch dat bijvoorbeeld NAI niet tienduizenden waarschuwingen binnen
een paar minuten eruit perst. Er zijn vaak bij de ontvangers mail server -, DNS -
en verbindingsproblemen. Niet bezorgde mail wordt pas weer verstuurd na een
bepaalde periode. Dat is de aard van SMTP, het is maar een Simple Mail
Transport Protocol, er zijn geen snelheids- en aflevergaranties.

Ik zie het...Maar tegen welk virus eigenlijk?
W32/Bagle.b@mm en w32/Netsky.n@mm worden al gedetecteerd met 4324 en
4325

Nee is niet het tijdzoneverschil. Kijk maar naar de headers van
W32.Beagle.B@mm melding:

Return-Path: <owner-nolist-seg*******symantec***-
[email]NL@NTLS.DIGITALRIVER.COM[/email]>
Received: from store-21.mail.nl.demon.net by mailstore for **********@*******.**
id 1AtTof-000Ps4-3W-000PsF; Wed, 18 Feb 2004 [color=red]
15:40:50 +0000[/color]
Received: from incoming-20.mail.nl.demon.net ([194.159.73.160]:3744)
by store-21.mail.nl.demon.net with esmtp (Exim 4.24)
id 1AtTof-000Ps4-3W
for **********@*******.**; Wed, 18 Feb 2004 15:40:49 +0000
Received: from ntls1.digitalriver.com ([63.70.105.139]:4828)
by incoming-20.mail.nl.demon.net with esmtp (Exim 4.24)
id 1AtToe-000Iq9-LR
for **********@*******.**; Wed, 18 Feb 2004 15:40:48 +0000
Received: from ntls (192.168.3.146) by ntls1.digitalriver.com (LSMTP for
Windows NT v1.1b) with SMTP id <*********************>; Wed, 18 Feb 2004
[color=red]9:05:15 -0600[/color]
Date: Wed, 18 Feb 2004 [color=red]08:29:02 -0600[/color]
From: "Symantec Store" <symantec@reply.digitalriver.com>
To: "****** **********" <**********@*******.**>
Reply-To: "Symantec Store" <symantec@reply.digitalriver.com>
Subject: Alert! Virus W32.Beagle.B@mm: Moderate

Volgens Symantec verzonden om 14:29:02 GMT
Aangeboden door symantec op hun eigen mailserver om 15:05:15 GMT
Afgelevert in mijn mailbox om 15:40:50 GMT

Ik heb wel even persoonlijke kenmerken verwijderd.

Varianten op Netsky.b. Ze hebben de noodupdate ook al aangepast tov
vanmiddag.

Dank...4326 staat nu bij de 'gewone downloads' op www.nai.com. Wie heeft de
tijd bijgehouden?

Nou niet zaken door elkaar gaan halen. Tijdzone verschillen zijn hele uren, zoals
die 8 uur die je noemde.

Het voorbeeld dat je geeft is gewoon een trage mail. De Digitalriver servers
voeren doorgaans correcte tijden. De headers zien er normaal uit, het gaat eerst
van Symantec naar Digitalriver met vertraging, en daarna, weer met vertraging
naar Demon. Geen fraaie performance.

Misschien dat het waarschuwingsbericht op 14:29 gemaakt is, maar dat de
update zich nog niet klaar was. Je ziet dat om 15:05, 5 minuten nadat de updates
klaar waren het bericht Symantec heeft verlaten. Dat kan toeval zijn of niet, dat is
niet zo belangrijk.

De tijden die in de test genoemd zijn zijn betrouwbaar, want die zijn
daadwerkelijk gemeten.

Downloaden van updates gaat meestal automatisch bij gebruikers. Duidelijk is
dat je het updateproces niet moet laten afhangen van het arriveren van e-mail
notificaties.

Euh jij begon over tijdzones. Tijdzone kunnen overigens ook in halve uren
worden aangegeven zoals bv op dit moment voor Adelaide/Australie GMT+9:30 of
New Delhi/Inda GMT+5:30. Daarnaast zijn er nog gebieden zoals china waar ze
de tijd gewoon gelijk hebben getrokken ondanks dat bepaalde gebieden in een
andere tijdzone liggen.

Trage e-mails ??
Hier heb je een resent voobeeld van McAfee:

X-Envelope-To: <**.*****.**>
Return-path: <bounce-dat_notification-******@listserv.nai.com>
Received: from listserv.nai.com (205.227.136.196) by ****.*****.**;
19 Feb 2004 [color=red]00:22:44 +0100[/color]
From: [email]AVERT_DAT_Release@avertlabs.com[/email]
To: **.*****.**
Subject: AVERT Dat Release Notification: 4326 Dat Files Released
Date: Wed, 18 Feb 2004 [color=red]16:39:07 -0600[/color]

Tijd verzonden door McAfee 22:39:07 GMT
Tijd ontvangen op eigen server 23:22:44 GMT

En dat is met alle mails zo ongeacht of ik die via demon of op m'n eigen
mailserver ontvang. Kijk het maar eens na.

kreeg vanmiddag (vanaf 19:00u) 6 mails uit versch. hoeken met een
attachment .zip van 22.2kb die ik dan ook niet vertrouwde.
De attachments heb ik dus niet geopend of opgelagen.
Vermoed sterk mass-mailer worm.
Kreeg bovendien een tijdje later het volgende mailtje van een mij onbekende
afzender:

Return-Path: <>
Delivered-To: [email]mijnnaam@freeler.nl[/email]
Received: (qmail 4872 invoked from network); 18 Feb 2004 20:15:28 -0000
Received: from unknown ([172.16.4.15])
(envelope-sender <>)
by back03.freeler.nl (qmail-ldap-1.03) with QMQP
for <>; 18 Feb 2004 20:15:28 -0000
Delivered-To: CLUSTERHOST smtp06.freeler.nl [email]mijnnaam@freeler.nl[/email]
Received: (qmail 8522 invoked from network); 18 Feb 2004 20:15:28 -0000
Received: from unknown (HELO WSRES002.resources.prr) ([193.173.60.128])
(envelope-sender <>)
by smtp06.freeler.nl (qmail-ldap-1.03) with SMTP
for <mijnnaam@freeler.nl>; 18 Feb 2004 20:15:28 -0000
Date: Wed, 18 Feb 2004 21:14:29 +0100
From: [email]postmaster.prr@PinkRoccade.com[/email]
To: [email]mijnnaam@freeler.nl[/email]
Subject: InterScan NT Alert

Sender, InterScan has detected virus(es) in your e-mail attachment.

Date: Wed, 18 Feb 2004 21:14:29 +0100
Method: Mail
From: <mijnnaam@freeler.nl>
To: [email]internet@dixons.nl[/email]
File: note.doc.exe
Action: clean failed - deleted
Virus: WORM_NETSKY.B

Betekent dit nu dat ik die worm heb en een besmette mail heb gestuurd aan
dixons die niet eens in mijn adresboek staat?
Ik snap het niet ; niks opengemaakt / gedraaid.
Norton virusdefenities download ik zowiezo elke woensdag
en ik heb het zonet opnieuw gedaan en gescannt en het treft weer niets aan.

Ik ben geen systeembeheerder en heb niet veel ervaring.
neem me niet kwalijk als ik op de verkeerde plek post ik ben lichtelijk in paniek.

Ja, dit is de verkeerde plek, je kan je vraag op de forums posten. Zie menu
bovenaan.

Een antwoord op je vraag is makkelijk te geven. Nee, je bent niet besmet omdat
je zo'n bericht hebt gehad.

Sommige postmasters die niet goed op de hoogte zijn van wat virussen doen
sturen valse beschuldigingen zoals jij die een hebt ontvangen. Ze beseffen niet
dat 99.99% van alle virus e-mail een vervalst afzender adres heeft. Daarmee
zaaien ze paniek bij onschuldige Internetters.

Je hebt up-to-date anti-virus draaien, dat is prima. Je moet wel weten dat je anti-
virus pakket in essentie reactief is. Anti-virus software kan meestal pas een
update maken als een virus bekend is. Je kunt dus al een virus ontvangen
voordat er een update is. Daarom moet je niet zomaar een bijlage van een
emailtje openen, tenzij je het mailtje en de bijlage had verwacht. Virussen
kunnen ook doen alsof ze van een bekende komen.

Naast up to date anti-virus moet je ook andere software regelmatig updaten,
zodat beveiligingslekken daarin kunnen worden gedicht. Voor Windows kun je
dat doen via http://windowsupdate.microsoft.com . Dat biedt onder andere
bescherming tegen netwerk wormen en malware dat zichzelf automatisch
uitvoert via e-mail berichten en op web sites. Malware is een verzamelnaam voor
alle kwaadaardige software.

Als je goed thuis bent in computeren kun je ook nog een personal firewall
installeren. Dat werkt alleen goed als je weet wat je doet.

Een goed wachtwoord kiezen is net zo belangrijk. Gebruik hoofdletters en kleine
letters en speciale tekens. Het wachtwoord mag niet in een woordenboek of
woordenlijst voorkomen en het moet minstens 8 tekens lang zijn, beter is een
nog langer wachtwoord. Niemand moet het kunnen raden. Wijzig het
wachtwoord regelmatig.

Als je je aan deze regels houdt loop je weinig risico.

Ik weet dat er hier en daar vreemde tijdzones zijn, maar daar ging het niet over. Ik
ging in op de 8 uur tijdverschil die je noemde. Dat lijkt sterk op een tijdzone
verschil met Amerika.

De NAI virus waarschuwingen komen bij mij dezelfde seconde binnen als ze
verzonden zijn vanaf de NAI server, ze worden daar gegenereerd door Lyris. Wat
eruit blijkt is dat ze mogelijk eerder zijn aangemaakt, althans volgens het "Date:"
veld. Zoals ik al zei, dat is wellicht te verklaren uit het feit dat meldingen pas
kunnen worden verzonden als er updates zijn en ze procesmatig worden
vrijgegeven.

Een voorbeeld. Een nieuw virus arriveert. Een functionaris analyseert het virus,
één maakt anti-virus een ander zorgt voor update tests, en een vierde zorgt voor
waarschuwingmails. Alles begint tegelijkerijd en ergens moet afstemming
plaatsvinden. De mail is al geschreven en klaargezet. Maar hij wordt pas
verzonden als de tester klaar is en de uploader ook het sein op groen heeft
gezet. Zo'n proces duurde dan vandaag bijvoorbeeld ongeveer 50 minuten voor
Netsky.B.

Maar misschien betekent het ook gewoon dat er een interne queue was 50
minuten. Wie het weet mag het zeggen. Ik vind het helemaal niet zo interessant
en daar ging het ook niet om. Het gaat erom dat die Duitse test klopt.

Ik heb het gedaan....Geen risico...Maar buiten alleen ZIP ook RTF, EXE, COM,
SCR en TIF.....een tijdelijke beperking is beter dan een infectie...

Toch wel weer wonderbaarlijk dat het weer zo'n simpel virus is waarbij iemand
een attachment moet openen om besmet te raken.

Er zijn sukkels die het ook nooit zullen leren.

Ik kan nergens vinden op welke basis hij FROM adressen spooft. Adresboek? At
randam? Wie kan mij dit vertellen? Hem namelijk een zooi bounces liggen die ik
wil onderzoeken... (ons netwerk (b)lijkt namelijk helemaal niet besmet te zijn.)

Waarom wil je bounces onderzoeken als de afzender vervalst is? Dat is zinloos.
Negeer alle virusmeldingen en bounces voor virussen die de afzender
vervalsen.

Trek je niets aan van die rommel die je wordt toegestuurd, trek je eigen plan ter
bescherming tegen virussen. Zo te lezen heb je al gescand en niets gevonden.

Wat denken jullie van Intrusion Detection / Prevention? Deze scant de
attachments op intentie en bepaalt op basis daarvan of het safe is of niet.

mbt extra.dat ja die had ik als ik het op tijd had geweten wel geactiveerd.. Ik kreeg
pas ergens om 16.00 uur pas door dat dit virus actief was, eerst van de
waarschuwingsdienst.nl en meteen daarna van een gebruiker die een zip niet
vertrouwde. Meteen een update now gedaan en de 4325 was toen net uit en
werd actief. Probleem opgelost voor inkomende mails.

Toch bij 2 gebruikers die de zip toch open hadden gemaakt (?hoe krijg je het aan
hun verstand om dit niet te doen weten ze dit nou nog niet?) voor de virusscanner
geupdate was en de attachment hadden gestart toch het virus moeten
verwijderen. Alle *.ZIP en in quarantine laten zetten. Had wel meteen gebruikers
aan de lijn die bestanden van leveranciers niet kregen.

Zal eens naar Threadscan kijken wat dat doet.