Ett brev med en bifogar fil...

[Kristianstad]

Godkväll!

Jag har en god vän som jag brukar emailväxla med. Kalla min kompis för Jan

Jag har två mailadresser och han har adressen till båda dessa.

Klockan 14:42 erhöll jag ett brev som kom till båda mina epostadresser. Det ser ut som ett privat brev mellan min kompis Jan och hans bror. I brevet ser ut ungefär så här:

> Hej Jan!

> Hur är det att vara lärare? Vi kan väl träffas någon gång?

> Ha det så bra!

>

Alltså precis som det ser ut när man svarar någon.

 

Jag tänkte: det var väl bara ett brev som Jan råkat skicka av misstag. Samtidigt upptäckte jag att det fanns en bifogad fil. På den ena adressen (FirstClass) hette filen

Attach0.html (1 kb)

På min andra epostadress (Outlook Express) hette filen det misstänksamma namnet

demo.eml.exe (50,8 kb)

 

Jag har naturligtvis inte öppnat filen. Jag antar att det handlar om virus??

 

/ Kristoffer

Windows kunde inte hitta något tangentbord. Tryck F1 för att försöka igen eller F2 för att avbryta.

[Peddler]

 

Storleken verkar kunna stämma med BUGBEAR kolla filen med ditt AV-program.

 

[Chakotay]

Jovisst är det något sattyg, attachmentet har ju "dubbelsuffix".

 

Om du vill kan du ju kolla om det jag skrev i tråden "Vad har han fått?", //eforum.idg.se/viewmsg.asp?EntriesId=342145 stämmer.

("det efter @ är utbytt mot en annan domän(?).")

 

 

 

[inlägget ändrat 2002-10-06 19:13:27 av Chakotay]

[Avicii]

"På den ena adressen (FirstClass) hette filen

Attach0.html"

På denna sida står om Attach0.html och FirstClass och det tycks höra till Klez-viruset:

 

http://mathforum.org/epigone/ap-stat/pixslulslald

 

Har du scannat med något antivirusprogram? Jag har E-mail protect (Norton AntiVirus) på både på inkommande och avgående post.

 

/Max

 

Rättning av "Caps Lock" som råkade bli aktiv.

[inlägget ändrat 2002-10-06 19:16:47 av Maratonmannen]

[Kristianstad]

Tack Kalle, Chakotay och Max.

Jag ringde upp denna man och han intygade att han fått ett virus. Dock visste han ingenting om namnet på detta.

 

Jag skall genast scanna av min hårddisk efter virus!

 

/ Kristoffer

Windows kunde inte hitta något tangentbord. Tryck F1 för att försöka igen eller F2 för att avbryta.

 

[Anp]

För akut hjälp, be honom gå hit:

http://securityresponse.symantec.com/avcenter/tools.list.html

och hämta hem Removal Tools för Klez och Bugbear och kör dessa.

 

Sen borde han skaffa ett riktigt AV-progg dessutom..

 

\\Anp

 

- Varför göra det idag, det du skulle gjort igår?

 

[.Morpheus]

Fick precis ett e-mail (2 minuter sedan) som Norton fångade. Ett attachment som hette Unknown0591.data, visade sig vara W32.Bugbear.....

 

Well done Norton, old friend!!

 

 

.Morpheus II

 

 

[Kristianstad]

Hej igen!

Jag scannade min hårddisk. Den fann ett virus. Exploit.IFrame.FileDownload i c:\Program\FirstClass 6.1\Download\Attach0.html.

Jaha...har alla mina vänner i adressboken fått virus nu då?

/ Kristoffer

Windows kunde inte hitta något tangentbord. Tryck F1 för att försöka igen eller F2 för att avbryta.

 

[Stefan Eklinder]

Kristianstad!

 

Jaha...har alla mina vänner i adressboken fått virus nu då?

 

Det är väl bara scriptvirus som smittar om man förhandsgranskar mailet i Outlook/Outlook Express.

 

BugBear är en mask som mig veterligen kräver att man öppnar filen som bifogas mailet. Så jag tror inte att dina vänner fått virusmail...men förvarna dem skadar ju aldrig.

---

/Stefan Eklinder

 

I datorvärlden finns det väldigt många nollor, men ytterst få ettor.

 

Jonas Birgersson

 

[Avicii]

"Den fann ett virus. Exploit.IFrame."

Kristoffer,

Vilken webläsare har du? Och har du uppdaterat med t.ex. denna:

 

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

 

Som ska hindra Exploit.IFrame.FileDownload att slinka igenom 5.01 och 5.5

 

/Max

 

[Thomas Tydal]

> Det är väl bara scriptvirus som

> smittar om man förhandsgranskar mailet

> i Outlook/Outlook Express.

 

Nej, det finns ett säkerhetshål som gör det möjligt att bifogade filer öppnas automatiskt när man förhandsgranskar brevet. En säkerhetsuppdatering för detta släpptes i våras förra året, men det är många som inte har fått reda på det än. På min hemsida kan man under "virustest" kolla om man har säkerhetshålet: http://www.tydal.nu/se/security/

 

 

[inlägget ändrat 2002-10-06 20:39:40 av Thomas Tydal]

[Thomas Tydal]

> Den fann ett virus.

> Exploit.IFrame.FileDownload

 

Det är inget virus. Troligen får du det meddelandet även om du kör mitt virustest på http://www.tydal.nu/se/security/

 

IFrame-exploiten används däremot gärna av maskar och virus eftersom det är ett lätt sätt att utföra godtyckliga kommandon på någon annans dator.

 

Gissningsvis är det dock någon form av virus du har fått, för IFrame-exploiten har ju inte så många fler användningsområden. Troligen är det dock så att ditt antivirusprogram inte är tillräckligt uppdaterat för att känna igen det specifika virus du har fått.

 

 

[Stefan Eklinder]

Thomas Tydal!

 

Jag testade det där testmailet på din hemsida som du länkar till, men mailet kommer aldrig. Skrev in min e-postadress igen och klickade på Testa, så att jag inte skrev adressen fel. Fortfarande har det inte kommit fram.

 

Jag har uppdaterat med senaste säkerhetsuppdateringen och SP1 till IE6.

---

/Stefan Eklinder

 

I datorvärlden finns det väldigt många nollor, men ytterst få ettor.

 

Jonas Birgersson

 

[Thomas Tydal]

> Jag testade det där testmailet på din

> hemsida som du länkar till, men mailet

> kommer aldrig.

Prova nu!

 

 

[Stefan Eklinder]

Thomas Tydal!

 

Jepp, provade igen och nu kom det fram. Hände absolut ingenting när jag öppnade mailet.

---

/Stefan Eklinder

 

I datorvärlden finns det väldigt många nollor, men ytterst få ettor.

 

Jonas Birgersson