Tools

[Black Tiger]

@Jack: Denk er wel aan dat Office scanners vaak ook door beheerders ingeregeld worden naar veiligheid, kijk maar eens goed naar de foutmelding:

Officescan detected a Web security policy violation and blocked the url listed below

Officescan heeft een overtreding van het Web beveiligings beleid ontdekt.
Dus het beleid is dat er geen redirects naar urls mogen zijn via een andere url. In feite is dat best een goede zaak, want op je bedrijf wil je zoiets niet.

Nu weten wij dat dit hier gebeurt om te anonymiseren, ik heb er zelf nooit het nut van ingezien maar oke, het maakt niet uit, er zijn er meerdere die het gebruiken. Wij weten dus dat die anonimiteits url geen kwaad kan.
Een virusscanner kan de doel-url zo ook niet goed bepalen en geeft logischerwijze een veiligheidsmelding.

@Kilroy: Je kunt er niet altijd van uitgaan dat als er slechts 1 of 2 een melding geven, dat het dan goed is. Het blijft een indicatie.
In geval van het Vundo virus zou ik kijken welke scanners dat aangeven. Het Vundo virus is namelijk wel een gevaarlijk virus, maar inmiddels ook zo bekend dat eigenlijk alle bekende scanners dat zouden moeten ontdekken.
Zijn het dus weiniger bekende scanners die dit aangeven, zou ik me er niet al te bang over maken.
Zijn het bekendere scanners, dan zou ik het zekere voor het onzekere nemen met Vundo en het bestandje dan maar liever niet gebruiken.

Dus je kunt niet zeggen van hoeveel meldingen je moet uitgaan. Het is een eigen inzicht wat je maakt op basis eigen ervaringen en tevens van de merken scanners die wel en niet een melding maken en de hoeveelheid scanners die aanslaat
Ik heb mijn risicogetal rond de 5-7 hangen omdat ik liever voor zekerheid ga. Maar soms laat ik ook nog wel eens iets door afhankelijk van welke virus melding en welke virusscanners het zijn.

Er bestaat ook daar geen 100% zekerheid.

 

[Kilroy]

Zoals ik zei heb ik de file op virustotal laten scannen en gaven twee aan dat het Vundo virus erin zat, maar ik weet helaas niet meer welke dat waren.
Voor mij is dat teveel omdat ik ook gezien heb dat Vundo vies is en daarom zal ik het programma niet gebruiken.
Voor mij betekent het dus in principe nul meldingen alhoewel ik inderdaad ook eerst kijk wat de melding inhoudt.
Dit omdat ik ook files (programma's) heb gescand die nul meldingen opleveren.
Waarom de andere scanners niet bij vundo aanslaan, ik heb geen idee.

Het was wel opmerkelijk hoe bij het andere programma bijna alle scanners begonnen te kwekken, maar enkele dus niets zagen, vreemd!

Het zal inderdaad een eigen keuze zijn maar ik ben gewoon niet gediend van troep op de pc.

Grtz.

 

[Black Tiger]

Ik geef je geen ongelijk. Zoals gezegd, bij meldingen van zaken als Vundo kun je eigenlijk niet voorzichtig genoeg zijn.

 

[Kilroy]

Ik lees net dat oplichters profiteren van het Dorifel virus.

Ze bellen mensen op en doen zich voor als medewerkers van microsoft en vragen naar credietgegevens.
Ook bieden ze een duur antiviruspakket aan dat niet werkt.
Er zouden tientallen mensen de dupe zijn geworden van de oplichters.

Ik snap het niet, hoe kun je nou zo dom zijn?

Grtz.

 

[Black Tiger]

Nou dat is een ander verhaal. Dat gebeurde al voordat het Dorifel virus er was.

En het is ook niet dom van die mensen. Je moet eigenlijk het hele verhaal lezen om de context goed te begrijpen.
Kijk, wij hebben verstand van zaken, maar een complete leek, die gebeld wordt door een officieel medewerker van Microsoft (althans zo doet die zich voor) en aangeeft dat je pc gevaar loopt, trapt er toch al snel in.
Veel mensen denken toch al dat Microsoft kan zien wat je doet. Dus zo dom is dat niet, het is eerder ondeskundig.

Maar dat heeft niets met Dorifel te maken.

 

[Kilroy]

Nou, zo stond het op teletekst dat het door het Dorifel virus kwam.
En dat is alleen wat ik citeerde.

Het was me niet bekend dat al voor dat virus mensen door microsoft gebeld werden althans wat ze zeiden.
Maar als er naar crediet gegevens gevraagd wordt moet toch een enorme alarmbel gaan luiden want dat doet geen enkele instantie of bedrijf.
Daar wordt notabene op tv spots nog extra voor gewaarschuwd, dat bv banken (of anderen) nooit naar zulke zaken vragen, en je nooit op moet ingaan.

Het is wel dieptreurig dat dit de staat van Nederland is tegenwoordig.

Grtz.

 

[Black Tiger]

Nja, op teletekst rammelt er wel eens wat meer, maar dat klopt dus niet.

Hier lees maar, het speelt al vanaf begin juli:
http://nos.nl/artikel/393916-oplichters-microsoft-actief.html

Normaliter ga je ook niet je kredietgegevens vragen. Maar als een officieel bedrijf je belt, je dan aanbiedt om je met je probleem te helpen, en dan aangeeft dat er een ander bedrijf je zal bellen om het op te lossen. En dit ander bedrijf zegt dat ze je wel helpen willen d.m.v. een virusscanner, maar dat je hiervoor uiteraard wel dient te betalen, dan is de keuze aan jou.
Het lijkt mij voor een leek dan ook niet vreemd dat hij er op in gaat en op een dergelijke wijze ook niet snel alarmbellen zal horen luiden.
Ze hadden ook nee kunnen zeggen, maar als je als leek een probleem hebt en een officieel bedrijf belt je en laat een gespecialiseerd bedrijf het voor je oplossen (althans zo doen ze het voorkomen) dan is het toch anders als dat je een mailtje krijgt met de vraag voor je bankgegevens ter controle van weet ik veel.

Het is inderdaad dieptreurig.

Inmiddels zijn er ook weer nieuwere C&C servers opgedoken en wordt ook een nieuwe virus gedownload. Dat ze het nog niet 100% onder controle zouden hebben had ik (en velen met mij) al verwacht.

Het Citadelbotnet dat verantwoordelijk is voor Dorifel en de bankscam van de afgelopen dagen, heeft nieuwe commando's gestuurd naar zijn clients, die een nieuwe versie van de trojan Hermes downloaden.

Het Citadelbotnet is vannacht weer tot leven gekomen vanuit een nog niet bekend en actief domein. Het botnet heeft zijn communicatie nu veranderd naar een nieuwe server en de bots in het botnet hebben het commando gekregen een nieuwe versie van Hermes te downloaden. Dat zegt Michael Sandee, onderzoeker bij Fox-IT. Sandee wil niet prijsgeven wat de domeinnaam is maar geeft het advies het IP-adres 184.82.116.202 te blokkeren.

@Bron: webwereld.

Dus het gaat gewoon weer verder.