Vind mij maar een zeikerd...

B

BiG_G

Nieuwe variant van Mydoom-virus breekt grootschalig uit

Uitgegeven: 17 februari 2005 10:41
Laatst gewijzigd: 17 februari 2005 11:13
AMSTERDAM - Mydoom.ax, een nieuwe variant van het bekende e-mailvirus W32.Mydoom.a@mm is grootschalig uitgebroken. De belangrijkste direct schadelijke eigenschap is de installatie van een backdoor. De virusschrijver kan via dit programma, werkend op poort 1034 (TCP) inbreken op het getroffen systeem en daarbij verschillende acties uitvoeren, zoals het verwijderen van bestanden en openen van programma's, zo meldt VirusAlert.

Na infectie zoekt het e-mailadressen uit het adressenboek en verstuurt het zich naar deze contacten door gebruik te maken van zijn eigen SMTP server. Daarnaast stuurt het zich totaal willekeurig naar e-mailadressen die het verzamelt via 4 verschillende zoekmachines (altavista, google, lycos en yahoo). De kans dat een e-mailgebruiker het virus daardoor meermalen ontvangt is groot.


www.nu.nl
 
Nou vind ik niet, hoor!

Ik lees nl. iets waar ik een vraag over heb: het virus breekt in via poort 1034.

Is het gebruikelijk dat dit via deze poort gaat, dus ook bij andere virussen? Of zijn er meerdere poorten bekend waarbij het mogelijk is? Kan het o.a. bij poort 80?
 
Het is een email virus (zoals ong.99% van alle M$ virussen).
Dat houd in dat ie binnen komt via je email. Daar wordt ie op de eoa manier geactiveerd en zet poort 1034 open.
Op die manier kan de maker inloggen op jouw systeem.

En dat wil je niet...

G
 
Ja duidelijk, maar....

wordt hier vaak of alleen poort 1034 voor misbruikt of worden er ook andere poorten aangesproken en zo ja: welke zijn zo'n beetje de bekendsten?

Ik werk met Sygate en kan dus gelijk zien welke via welke poorten een onbekende verbinding gemaakt zou kunnen worden!
 
Dit zou in principe elke poort kunnen zijn, een virus is ook gewoon een programmatje, welke zichzelf installeert. en afhankelijk van hoe het geprogrammeerd is op elke poort open te zetten en niet speciaal 1034

Ik weet niet of het voor windows ook geldt (volgens mij wel) maar onder Linux is het als normale gebruiker niet mogelijk een poort onder de 1024 te openen
 
Onder windows ook niet als normale gebruiker. Alhoewel poort 1034 hoger is dan 1024.:)
Probleem is dat de meeste mensen in windows ook als administrator inloggen of in elk geval met deze rechten.
Verder is het bij windows ook mogelijk in bepaalde gevallen het systemaccount te hacken, en dat heeft meer rechten dan een administrator.

Kwestie van je virusscanner gewoon goed up2date houden, het probleem is immers bekend.
Een beetje goede firewall (bijv. zonealarm) zal je ook een melding geven als er een poort 1034 word open gezet.

Er hoeft dus helemaal geen probleem te zijn. De snelle verspreiding is veelal te danken aan gebruikers met een slecht bijgehouden systeem, met veelal verouderde of geen virusscanner etc.
 
Volgens mij kun je in ZA niet zien welke poort open gezet wordt, in Sygate zie je dat wel!
 
Zou kunnen, maar het belangrijkst is dat ie wel aangeeft dat en ook wat een verbinding naar buiten probeert te maken.
En 't is gratis.:)
Maar men kan natuurlijk ook kiezen voor Sygate of iets anders.
 
Tsja, ik heb ze allebei gebruikt, maar vind Sygate wat prettiger werken. Maar kan persoonlijk zijn natuurlijk. ZA is toch wat commercieler.
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer



Oliebollen Hosting Fun Oliebollen

SPECIALE SERVICE

  » Fun op Twitter
  » Fun op Facebook
  » Image hosting
  » Internet Radio

Advertenties

Terug
Bovenaan Onderaan