---

Jeg har i løbet af de sidste par dage modtaget 2 mails[1], der stort
set er identiske. Til mailen er der vedhæftet en .exe, der i mailen
beskrives som en "MS security update". En del af beskrivelsen er:


this is the latest version of security update, the "March 2003,
Cumulative Patch" update which eliminates all known security
vulnerabilities affecting Internet Explorer, Outlook and Outlook
Express as well as five newly discovered vulnerabilities.


Den vedhæftede .exe fil indeholder blandt andet noget der kunne være
en fuldstændig normal MS EULA, men bortset fra det, ser den ud til at
være lidt rigeligt suspekt, bland andet tekststrengen "KaZaA
uploDropper".

Er der nogen der kan kaste lys over hvad det egentlig er for noget?


(229)$md5sum /tmp/Patch282.exe /tmp/Q203230.exe
4613a17f12531d21c683023ffa4b4a34 /tmp/Patch282.exe
4613a17f12531d21c683023ffa4b4a34 /tmp/Q203230.exe


[1] Som et kuriosum kan nævnes at den ene kom med en Cc: liste på en
25-30 personer, hvoraf jeg umiddelbart kunne genkende en 10-12
stykker fra de danske usenetgrupper.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

In article <m28yvp4qp9.fsf@obelix.bakkelygaard.dk>, Anders Wegge Jakobsen wrote:
>
> Jeg har i løbet af de sidste par dage modtaget 2 mails[1], der stort
> set er identiske. Til mailen er der vedhæftet en .exe, der i mailen
> beskrives som en "MS security update". En del af beskrivelsen er:

Kør en virusscanner på den, og den hjælper dig videre.

Det er en virus du selv skal installlere.
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl" == Povl H Pedersen <povlhp@povl-h-pedersens-computer.local> writes:

> In article <m28yvp4qp9.fsf@obelix.bakkelygaard.dk>, Anders Wegge Jakobsen wrote:
>>
>> Jeg har i løbet af de sidste par dage modtaget 2 mails[1], der stort
>> set er identiske. Til mailen er der vedhæftet en .exe, der i mailen
>> beskrives som en "MS security update". En del af beskrivelsen er:

> Kør en virusscanner på den, og den hjælper dig videre.

Jeg har ikke en Windows maskine til rådighed - det er derfor jeg
spørger her.

> Det er en virus du selv skal installlere.

Så er det vel strengt taget en Trojan, som stort set alt andet der
bliver solgt som "virus" i vore dage.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

In dk.edb.sikkerhed, Anders Wegge Jakobsen <wegge@bakkelygaard.dk>
says...
> Jeg har ikke en Windows maskine til rådighed - det er derfor jeg
> spørger her.

Så er den også ufarlig for dit system...


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

Anders Wegge Jakobsen wrote:
> Jeg har i løbet af de sidste par dage modtaget 2 mails[1], der stort
> set er identiske. Til mailen er der vedhæftet en .exe, der i mailen
> beskrives som en "MS security update". En del af beskrivelsen er:
>
>
> this is the latest version of security update, the "March 2003,
> Cumulative Patch" update which eliminates all known security
> vulnerabilities affecting Internet Explorer, Outlook and Outlook
> Express as well as five newly discovered vulnerabilities.
>
>
> Den vedhæftede .exe fil indeholder blandt andet noget der kunne være
> en fuldstændig normal MS EULA, men bortset fra det, ser den ud til at
> være lidt rigeligt suspekt, bland andet tekststrengen "KaZaA
> uploDropper".
>
> Er der nogen der kan kaste lys over hvad det egentlig er for noget?



Tror du virkelig at MS er begyndt at sende
opdateringer ud direkte til brugerne.
Det kunne selvfølgelig lade sig gøre, men
det ville jo kræve at man havde indvilget
i at abonnere på disse opdateringer, men
det er der jo ikke mulighed for.
Eksekverer du den vedhæftede exe fil, ja
så er du dummere end MS tillader




--
/Gevaldi
http://www.usenet.dk/netikette/citatteknik.html
http://www.usenet.dk/netikette/signatur.html
Indlæg som sendes via kandu.dk besvares ikke.

---

"Gevaldi" == Gevaldi <georg_valdi369@hotmail.com> writes:

> Tror du virkelig at MS er begyndt at sende
> opdateringer ud direkte til brugerne.

Nej, jeg *har* regnet ud at det er et hoax. Det jeg spørger om er
hvad det er for et.

...

> Eksekverer du den vedhæftede exe fil, ja
> så er du dummere end MS tillader

Jeg poster fra en linux-maskine, så sandsynligheden for at jeg får
noget ud af eksekvere tilfældige attachments er ret lille.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

On 08 Mar 2003 21:46:33 +0100, Anders Wegge Jakobsen
<wegge@bakkelygaard.dk> wrote:

>> Tror du virkelig at MS er begyndt at sende
>> opdateringer ud direkte til brugerne.

> Nej, jeg *har* regnet ud at det er et hoax.

Næppe. Snarere en virus / orm / trojan.

--
hilsen pl
http://huse-i-naestved.dk

---

"Peter" == Peter Loumann <peloda@tiscali.dk> writes:

> On 08 Mar 2003 21:46:33 +0100, Anders Wegge Jakobsen
> <wegge@bakkelygaard.dk> wrote:

>>> Tror du virkelig at MS er begyndt at sende
>>> opdateringer ud direkte til brugerne.

>> Nej, jeg *har* regnet ud at det er et hoax.

> Næppe. Snarere en virus / orm / trojan.

Et hoax er i min ordbog det samme som en trojan, men lad det nu
fare.

Jeg gider ikke gøre det til en debat om lingvistik - Jeg vil bare
gerne vide hvad det er for en fætter.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

On 08 Mar 2003 23:09:30 +0100, Anders Wegge Jakobsen
<wegge@bakkelygaard.dk> wrote:

>"Peter" == Peter Loumann <peloda@tiscali.dk> writes:

? En sær måde at henvise på ...

>> Næppe. Snarere en virus / orm / trojan.

> Et hoax er i min ordbog det samme som en trojan [...]

Nå, ok. For mig og andre er det en falsk virus-advarsel.

> Jeg gider ikke gøre det til en debat om lingvistik

Heller ikke jeg. Det er bare praktisk at kalde tingene det samme - for
at kunne snakke sammen.

> - Jeg vil bare gerne vide hvad det er for en fætter.

Ja, men som du kan konkludere af tråden, så er det ikke til at vide.
Det er nemt at omdøbe en exe-fil og kalde den hvad som helst. Kun et
anti-virus-program kan evt. identificere den. Men for de fleste vil
det være uinteressant, den skal bare slettes.

--
hilsen pl
http://huse-i-naestved.dk

---

Den Sat, 08 Mar 2003 23:47:06 +0100 skrev Peter Loumann:
>On 08 Mar 2003 23:09:30 +0100, Anders Wegge Jakobsen
><wegge@bakkelygaard.dk> wrote:
>
>>"Peter" == Peter Loumann <peloda@tiscali.dk> writes:
>
>? En sær måde at henvise på ...
>
>>> Næppe. Snarere en virus / orm / trojan.
>
>> Et hoax er i min ordbog det samme som en trojan [...]
>
>Nå, ok. For mig og andre er det en falsk virus-advarsel.

Hoax kan være en falsk hvadsomhelst, der kunne også være tale om en
falsk update.

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

---

In dk.edb.sikkerhed, Anders Wegge Jakobsen <wegge@bakkelygaard.dk>
says...
> Et hoax er i min ordbog det samme som en trojan, men lad det nu

Hoax er det engelske ord for 'and' - som i 'avisand'.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

---

"Gevaldi" <georg_valdi369@hotmail.com> wrote:

>Tror du virkelig at MS er begyndt at sende
>opdateringer ud direkte til brugerne.

Tror du virkelig, at Anders tror...?

(Jeg vil ikke lave samme nummer med den saetning, hvor du bruger
ordet "dummere", men det ville vaere fristende.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

> Tror du virkelig, at Anders tror...?

Nej, det gjorde jeg faktisk ikke, men det
var faktisk også skrevet for andre kunne
få en mening om problemstillingen, du
ved der er jo altid nogen nyankomne
der ikke tænker.....Nåe ja, det er skisme
da sandt nok.


> (Jeg vil ikke lave samme nummer med den saetning, hvor du bruger
> ordet "dummere", men det ville vaere fristende.)

Bare du laver en smiley......så må du godt fristes



--
/Gevaldi
http://www.usenet.dk/netikette/citatteknik.html
http://www.usenet.dk/netikette/signatur.html
Indlæg som sendes via kandu.dk besvares ikke.

---

"Gevaldi" <georg_valdi369@hotmail.com> wrote:

>Bare du laver en smiley

Jeg bruger ikke smileys. Jeg henvender mig ikke til en
maalgruppe, der fordrer smileys.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

> Jeg bruger ikke smileys. Jeg henvender mig ikke til en
> maalgruppe, der fordrer smileys.

Øhm... smileys er jo ikke til for at være popsmart, men netop for at undgå
misforståelser. Misforståelser opstår nemt når smileys udelukkes.

--
Martin L. Johansen
..:: T U X 3 D O . C O M ::.

---

"Martin L. Johansen" <ares@REMOVEc.dk> wrote:

>Øhm... smileys er jo ikke til for at være popsmart, men netop for at undgå
>misforståelser. Misforståelser opstår nemt når smileys udelukkes.

Smileys fremkalder langt flere misforstaaelser. Jeg har set mange
mennesker fare i flint over en smiley, som maaske var ment
afvaebnende, men blev opfattet som nedladende / overbaerende /
ironisk.

Men de faa misforstaaelser, der fremkaldes af _manglende_
smileys, er som regel meget sjovere.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

> Men de faa misforstaaelser, der fremkaldes af _manglende_
> smileys, er som regel meget sjovere.



Ok, vi har forstået...Mr.Smiley oo-



--
/Gevaldi
http://www.usenet.dk/netikette/citatteknik.html
http://www.usenet.dk/netikette/signatur.html
Indlæg som sendes via kandu.dk besvares ikke.

---

Anders Wegge Jakobsen skrev:

> this is the latest version of security update, the "March 2003,
> Cumulative Patch"

Det lyder som en gibe-variant:

<URL: http://vil.nai.com/vil/content/v_100088.htm >

Sejt nok: den kan emaile, bruge netværks-shares, bruge IRC, bruge KaZaa
og vistnok også sprede sig via nyhedsgrupper (analysen med nyhedsgrup-
per er dog ikke færddiggjort).

Den er sat til Low Risk Assessment, både for hjemme og firmabrugere.

---

[XFUT: dk.videnskab]

Anders Wegge Jakobsen wrote:

[Anders har modtaget en "patch" fra Microsoft i sin e-mail]

> (229)$md5sum /tmp/Patch282.exe /tmp/Q203230.exe
> 4613a17f12531d21c683023ffa4b4a34 /tmp/Patch282.exe
> 4613a17f12531d21c683023ffa4b4a34 /tmp/Q203230.exe

Vil det sige at trojaneren har samme MD5-sum som den officielle MS-patch?

Jeg ved godt at der er blevet påvist teoretiske svagheder i MD5-algoritmen
der gør at den bliver frarådet til stærk kryptering, men er tingene
virkelig så langt fremme?

XFUT: dk.videnskab

--
Save aix1!

---

"Christian" == Christian Andersen <w9luodn02@sneakemail.com> writes:

> [XFUT: dk.videnskab]
> Anders Wegge Jakobsen wrote:

> [Anders har modtaget en "patch" fra Microsoft i sin e-mail]

>> (229)$md5sum /tmp/Patch282.exe /tmp/Q203230.exe
>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Patch282.exe
>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Q203230.exe

> Vil det sige at trojaneren har samme MD5-sum som den officielle MS-patch?

Nej, det betyder at jeg har fået den samme trojan/hoax/whatever med
to forskellige navne.

> Jeg ved godt at der er blevet påvist teoretiske svagheder i MD5-algoritmen
> der gør at den bliver frarådet til stærk kryptering, men er tingene
> virkelig så langt fremme?

Jeg beklager hvis jeg har bragt dit blodtryk unødigt op.

> XFUT: dk.videnskab

XFUT tilbage til dk.edb.sikkerhed, idet der ikke er tale om andet end
en dårlig formulering fra min side, heldigvis.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>

---

Anders Wegge Jakobsen wrote:

>>> (229)$md5sum /tmp/Patch282.exe /tmp/Q203230.exe
>>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Patch282.exe
>>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Q203230.exe

>> Vil det sige at trojaneren har samme MD5-sum som den officielle MS-patch?

> Nej, det betyder at jeg har fået den samme trojan/hoax/whatever med
> to forskellige navne.

Fint, så er jeg mere rolig.

--
Save aix1!

---

On 10 Mar 2003 16:27:42 GMT,
Christian Andersen <w9luodn02@sneakemail.com> wrote:
> [XFUT: dk.videnskab]
>
> Anders Wegge Jakobsen wrote:
>
> [Anders har modtaget en "patch" fra Microsoft i sin e-mail]
>
>> (229)$md5sum /tmp/Patch282.exe /tmp/Q203230.exe
>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Patch282.exe
>> 4613a17f12531d21c683023ffa4b4a34 /tmp/Q203230.exe
>
> Vil det sige at trojaneren har samme MD5-sum som den officielle MS-patch?
>
> Jeg ved godt at der er blevet påvist teoretiske svagheder i MD5-algoritmen
> der gør at den bliver frarådet til stærk kryptering, men er tingene
> virkelig så langt fremme?

Hvad siger RMD160 eller SHA1 til den?


--
Jesper