[ archief ] Trojan Mariposa A

[schuiven]

Vandaag ontving ik van Ziggo het bericht dat mijn computer geïnfecteerd was met Trojan Mariposa A en dat als ik het niet verwijderde, internet tijdelijk afgesloten zou worden.
Ik heb mijn computer vervolgens gescand met Microsoft Security Essentials en deze kon niets vinden.
Wie weet hoe Trojan Mariposa A kan verwijderen, zonder dat ik alles opnieuw moet installeren?

[tsja..]

beste,

weet je zeker dat die mail echt van ziggo afkomt?

het lijkt me nl erg sterk, zoniet onmogelijk dat ziggo zelf een virus detecteert..

[Pindakaaspotje]

lijkt me idd sterk... het is vast gewoon een spammail. In het geval dat je veel spammail verstuurt (doordat je bv geinfecteerd bent met een virus), zullen ze je daar welop aanspreken, maar vast niet per mail. Daarnaast lijkt het me dan redelijk vreemd dat zij kunnen weten om welk virus het gaat.

[schuiven]

beste,

weet je zeker dat die mail echt van ziggo afkomt?

het lijkt me nl erg sterk, zoniet onmogelijk dat ziggo zelf een virus detecteert..

Sterker nog, het is een brief, ik vond het ook wel raar, maar zal op onderzoek uit gaan.

[rinanijland]

Wij hebben ook zo'n brief gehad. Mijn man heeft gebeld en ziggo met de volgende vragen:
- Hoe weet ziggo dat mijn computer geïnfecteerd is, dat kan alleen door op de computer te kijken en dat is inbreuk op de privacy. Er moet dan moetwillig gehacked zijn omdat alles achter een firewall staat
- Om welke computer gaat het dan, wij hebben meerdere computers.
- Hoe weet ziggo dat het bij ons vandaan komt en niet van iemand anders. Ik wil zwart op wit bewijs dat mijn computer(s) besmet zijn.
- Binnen 5 dagen de computer opschonen? Een virus verspreidt zich binnen een minuut duizenden keren...
- Hoe kan ziggo nou controleren of het virus verwijderd is. Als de computers uitstaan is er geen netwerk activiteit en kan er niet gemeten worden.

Hoewel ziggo bevestigd de brief verstuurd te hebben, hebben ze uiteraard geen antwoorden op bovenstaande vragen.

De inbreuk op privacy willen ze afdoen met de smoes dat ze op ons netwerk pakketjes hebben gedectecteerd met het virus. Dat kan helemaal niet! En stel dat het wel zou kunnen, dan filteren alle providers die pakketen er toch uit, dan hebben we nooit meer virussen in de wereld.

De medewerker aan de telefoon kon uiteindelijk niets anders dan toegeven dat het een vreemde zaak is. Hij raadde ons aan om een email te sturen aan [email protected] (ik raad aan dat iedereen dat doet die deze brief ontvangen heeft en om opheldering vraagt!!)

Als je het mij vraagt is dit een slechte vorm van marketing (misleiding) is omdat ziggo in de brief tevens aanbiedt dat een medewerker van ziggo tegen betaling de computer kan opschonen....

[schuiven]

Het lijkt inderdaad een nagemaakte brief, het logo van Ziggo staat er in verschillende kleuren op. Ik heb Ziggo geïnformeerd/gevraagd of deze brief van hun afkomstig is.
Morgen zal ik eens kijken of het klantnummer e.d. klopt.
Wat voor belang heeft iemand anders erbij om je zo'n brief te sturen?

[kaarsje69]

misschien op om dit op tros radar te posten?http://research.pandasecurity.com/vodaf ... -mariposa/

http://defintel.blogspot.com/2009/09/ha ... anies.html
Dit is een grap!

Maar allee dat is ziggo ook!

[SirPeter]

Zie niet waar de grap zit tenzij het sarcastisch bedoeld is

Een provider kan zien of er spam verzonden wordt en of de verbinding mogelijk een onderdeel is van en botnetwerk. In dat geval zal de provider dit aan de klant kenbaar maken. Het boeit een provider niet vanaf welke computer het afkomstig is. Het verkeer loopt over het ip adres van de aansluiting. Als 4 van de 5 computers schoon zijn dan boeit het een provider ook niet.

Virussen worden nooit meer gebruikt. Virussen zijn passe en daar is geen geld mee te verdienen. Dit heeft ook helemaal niets te maken met privacy. Ik geloof zelfs dat een provider de klant moet afsluiten als daarover spam wordt verzonden en onderdeel is van een botnetwerk. Dit ook om anderen te beschermen.

Schuiven, probeer een online scanner eens:
http://support.f-secure.com/enu/home/ols.shtml
Bij geen resultaten download en installeer:
http://download.cnet.com/Malwarebytes-A ... tag=button

[kaarsje69]

Hou nou toch op zeg, dit is geen virus, nog een trojan! Dit is een Hoax .

Een provider gaat echt niet kijken wat spam is, heb je spam filters voor en ga ajb nou niet verder over je nek lullen, want dat betekend dat een ieder kan vertrouwen op zijn internet provider, die kan en mag beslissen wat doorkomt!
Je hebt hier zelf filters voor op je comp, spam fighters, virusscanners, Fire walls!

Sir Peter, je geeft een heel erg fout bericht af!

Mijn provider kan niet zien als ik anoniem ga surfen, toch is mijn comp goed beveiligd!

En dat virussen er niet meer zijn? Ach.

[SirPeter]

Als u over uw IP spam verstuurd dan wordt u na een waarschuwing geblokkeerd. Elke provider heeft een abuse dienst die dataverkeer van klanten in de gaten houdt. Als een computer onderdeel is van een botnetwerk dan wordt de verbinding geblokkeerd!

[kaarsje69]

Ging hier toch niet over spam versturen?

Gaat hier over de hoax!

[Guardian72]

Geen Hoax, helaas.

Het Mariposa 'virus' is een programma (malware) die de PC deel laat uitmaken van het Mariposa botnet. En met botnets doet men van alles.
DDOS attacks (websites zodanig vaak opvragen dat die crashed)
Spam verzenden (dus dat is wel degelijk een optie)

En god mag weten wat die criminelen allemaal nog meer kunnen.

Wat links:
http://defintel.blogspot.com/2009/10/ma ... ed_01.html

Mariposa is a collection of compromised computers that are directly under the control of a single malicious entity. In the security industry we call this a botnet

http://www.bestvirusremoval.org/12202/m ... take-down/

the Mariposa botnet was shut down at the end of 2009.

http://myitforum.com/cs2/blogs/cmosby/a ... blogs.aspx

Het lijkt er dus op dat het netwerk alweer opgerold is.

Ik vind het zelf, als ex-ziggo klant, vreemd - omdat ik zelf ook een dergelijk virus heb opgelopen - en zelf al opgelost - maar nog nooit een piep van Ziggo ontvangen.
XS4ALL is een stuk sneller - en zet je in een soort zandbak - een afgeschermd stukje van internet - totdat je PC schoon is. De melding ontvang je op je scherm.

TS - is al bekend of dit inderdaad van Ziggo afkomstig is?

Zowiezo is zo`n waarschuwing nogal dom , je weet nooit of het aankomt, en veel mensen zullen het negeren. De XS4ALL methode lijkt mij persoonlijk beter.

[schuiven]

Vandaag zal ik verder uit gaan zoeken of de mail van Ziggo afkomstig is.
Voor alle duidelijkheid: Ik maak geen deel uit van een crimineel netwerk en verstuur ook geen spam. Verder heb ik ook nooit iets gemerkt van ínbraak'e.d. van derden.

[Guardian72]

Vandaag zal ik verder uit gaan zoeken of de mail van Ziggo afkomstig is.
Voor alle duidelijkheid: Ik maak geen deel uit van een crimineel netwerk en verstuur ook geen spam. Verder heb ik ook nooit iets gemerkt van ínbraak'e.d. van derden.

Schuiven - het feit dat je mogelijkerwijs zo`n programma hebt - is niet direct bewijs dat je een crimineel zou zijn.
Dergelijke malware is zeer 'sneaky' en kan al geinstalleerd worden door het bezoeken van een geinfecteerde website.

Een optie zou zijn om je AV programma te updaten, en dan een volledige systeemscan te laten doen.
Daarnaast ook een goede malwarescanner (Spybot, AdAware, Malwarebytes) te installeren en een volledige systeemscan te laten uitvoeren.

Ik zou trouwens als eerste zorgen dat alle belangrijke data, documenten en bestanden geback-upped worden (externe harddisk bijvoorbeeld).
Gewoon, voor de zekerheid.

[schuiven]

Daarnaast ook een goede malwarescanner (Spybot, AdAware, Malwarebytes) te installeren en een volledige systeemscan te laten uitvoeren.

Heb al een volledige scan uitgevoerd met Microsoft Security Essentials en ben een beetje huiverig voor het installeren van nieuwe dingen, want dit kan elkaar ook tegenwerken.

[Guardian72]

Check even online of MSE ook deze malware/trojan ontdekt.

En, malwarebytes, spybot en adaware zijn, mits van de officiele site gehaald, goed.

Qua antivirus moet je inderdaad maar 1 programma hebben - maar anti-crapware heeft, voor zover ik nu weet, geen effect als je er meer hebt.
In sommige gevallen word dit zelfs aangeraden.

[schuiven]

Vandaag ontving ik van Ziggo het bericht dat de brief ib=nderdaad van Ziggo afkomstig was en dat ik deze zeer serieus moest nemen.
Mijn langste tijd heb ik nu wel bij Ziggo gehad, ik vind namelijk dat ze je moeten beschermen tegen dit soort zaken.
In ieder geval wil ik iedereen bedanken die gereageerd heeft en zal vandaag besteden aan het verwijderen van de worm. Ik hoop ook dat anderen er iets aan (gaan) hebben. Het resultaat zal ik op het forum melden. Bij geen bericht ben ik inderdaad afgesloten (na 4 augustus). Kan iemand mij nog vertellen of formateren e.d. van de harde schijf echt nodig is? Een backup zal ik zeker gaan maken van alles.

[Guardian72]

Vandaag ontving ik van Ziggo het bericht dat de brief ib=nderdaad van Ziggo afkomstig was en dat ik deze zeer serieus moest nemen.
Mijn langste tijd heb ik nu wel bij Ziggo gehad, ik vind namelijk dat ze je moeten beschermen tegen dit soort zaken.
In ieder geval wil ik iedereen bedanken die gereageerd heeft en zal vandaag besteden aan het verwijderen van de worm. Ik hoop ook dat anderen er iets aan (gaan) hebben. Het resultaat zal ik op het forum melden. Bij geen bericht ben ik inderdaad afgesloten (na 4 augustus). Kan iemand mij nog vertellen of formateren e.d. van de harde schijf echt nodig is? Een backup zal ik zeker gaan maken van alles.

Schuiven:
Formatteren is niet echt nodig - mits je 100% zekerheid hebt dat alle sporen weg zijn. Soms is het sneller om even Format C: te doen, en alles opnieuw te installeren, dan alles schoon te maken.

Om Ziggo hiervoor verantwoordelijk te houden is m.i. niet reeel. Dan zou Ziggo namenlijk ALLE sites moeten monitoren, en bij verdachte zaken die sites moeten blokkeren.
Dit is echt niet te doen.

Veiligheid van de PC is een gedeelde verantwoordelijkheid. 1) van de provider, die besmette systemen afsluit of opschoont, en 2) van de gebruiker, die moet zorgen voor up-to-date defensie van zijn systeem. Er is nog een 3) de overheid, die serieuzer tegen spam etc. moet optreden. Ook overheden in andere landen. Maar Korea, Rusland en China bijvoorbeeld geven spammers (en dus virus en malwareverspreiders) vrij baan.

En, het blijft zowiezo een race - virusmakers tegen antivirusmakers. En de virusmakers zijn vaak net even sneller.

[schuiven]

Bij MSE kan ik niet duidelijk vinden of het tegen de Mariposa A is, wel noemen ze WM32/rimecud als ik naar Mariposa (zonder A) zoek. Met F-secure gescand en deze heeft al 20 besmette bestanden gevonden en verwijderd, waaronder geen Mariposa A. Vervolgens Ad-aware geïnstalleerd en alles gescand.
De aanhouder wint, zal ik maar zeggen.
Voorlopig zal ik mijn laptopje maar gaan gebruiken en wachten tot mijn computerman weer terug is van vakantie.
Ik kreeg nog een mail van Ziggo met de mededeling dat ik blij moest zijn met het feit dat ze mij dit meldden!?

[Pindakaaspotje]

Bij MSE kan ik niet duidelijk vinden of het tegen de Mariposa A is, wel noemen ze WM32/rimecud als ik naar Mariposa (zonder A) zoek. Met F-secure gescand en deze heeft al 20 besmette bestanden gevonden en verwijderd, waaronder geen Mariposa A. Vervolgens Ad-aware geïnstalleerd en alles gescand.
De aanhouder wint, zal ik maar zeggen.
Voorlopig zal ik mijn laptopje maar gaan gebruiken en wachten tot mijn computerman weer terug is van vakantie.
Ik kreeg nog een mail van Ziggo met de mededeling dat ik blij moest zijn met het feit dat ze mij dit meldden!?

en gelijk hebben ze... jij bent toch zelf verantwoordelijk voor je pc.. als je overlast veroorzaakt (spam verstuurt), wordt je daar op aangesproken.