---

Her står lidt om denne virus:
vh kirsten

'RootsWeb Review, Vol. 5, No. 40, 2 October 2002

Be Careful Out There. The Bugbear is no teddy bear. It is an e-mail
worm containing backdoor components that can allow an infected system to
be remotely compromised; it also includes the ability to kill antivirus
and firewall software, leaving infected systems wide open to further
attacks and lulling you into a false sense of security thinking your
system is virus-free. Genealogists have much more interesting things to
do than deal with an Internet worm with a Trojan horse, but such is life
online.

Bugbear, which hit Great Britain and Australia users first on Monday,
September 30, according to news reports, is also known as Tanatos. It
arrives via e-mail with no distinct characteristics except that the
attached file is always 50,688 bytes long. The subject line and text are
stolen from existing e-mail it finds on an infected machine. Many
RootsWeb users are expressing concerns about this latest varmint because
unless you pay extra-careful attention you might think an e-mail with
the attached Bugbear worm is coming from a trusted genealogy friend,
family member, or from your favorite Mailing List.

RootsWeb's Mailing Lists do not allow any attachments, but that doesn't
mean you won't receive something that will fool you into thinking the
message is from a RootsWeb Mailing List. This is one clever worm. There
are confirmed reports of Bugbear even forging some prepends commonly
used on many of our Mailing Lists. If you receive e-mail with an
attachment that appears to be from say [SURNAME-L] and you are not
subscribed to that Mailing List, that is a good indication that it is a
message with the Bugbear worm attached. Even if you are subscribed to a
certain list and there is an attachment, do not open it.

Many of us are still fighting off the Klez worm, which steals and forges
our e-mail addresses and subject lines, and now along comes Bugbear and
the Opaserv worms. The latter is a network worm that was discovered
September 30 also.

Are you at risk? You certainly are if you are a Windows user, and
especially if you use Microsoft Internet Explorer 5.01 or 5.5 browsers
and have not applied the patch found in MS01-020.
[Note: Copy and paste carefully; this is a 2-line URL:]
http://www.microsoft.com/technet/security/bulletin/
MS01-020.asp?frame=true

According to CNET News.com, a flaw in MIME (the multipurpose Internet
mail extensions) lets a malicious program attached to an e-mail message
execute (start) when the text of the message appears in Outlook or
Outlook Express (popular e-mail applications). The software problem was
patched by Microsoft almost 18 months ago, but it is obvious that many
genealogists have not updated their computers. Don't know what version
of Microsoft Internet Explorer you have? Launch the browser, click on
the Help menu and select About Internet Explorer to find out.

To prevent infection, Windows users be sure your system is current:
http://windowsupdate.microsoft.com/default.htm
and everyone should update their antivirus software and refrain from
opening any attachment unless the sender confirms that he or she sent
it to you. The major antivirus (AV) software companies have updated
their files to include protection from Bugbear -- but you need to be
sure your AV is up-to-date. Moreover, don't rely exclusively on your AV
to protect you from every virus or worm that comes along.

If you use Outlook or Outlook Express for your e-mail application, be
sure to set your VIEW options to show attachments. In Outlook Express
make sure that the Preview Pane option is off. In Outlook, under VIEW,
turn off the Auto Review and the Preview Pane. Some e-mail clients treat
Mailing List digests as separate attachments, but those will always have
the Mailing List digest request address as the FROM address and they
will have the digest volume and number in the subject line. However, be
wary, if attachment is exactly 50,688 bytes, it probably is the Bugbear.

For additional tips and links, please see: Virus, Trojans, Worms:
http://helpdesk.rootsweb.com/announce.html#virus
E-mail headers: http://helpdesk.rootsweb.com/listadmins/headersfull.html


----- Original Message -----
From: Arne Feldborg
Newsgroups: dk.videnskab.historie.genealogi
Sent: Friday, October 04, 2002 7:58 AM
Subject: Vedr: F=E6lles aner



Jeg har her til morgen fået mindst en halv snes e-mails fra andre
slægstforskere, der undrer sig over en mail de tilsyneladende har
modtaget fra min adresse. Samt over 25 "returnerede" mails, som er
blevet afvist af forskellige servere rundt omkring.

Jeg kan oplyse, at jeg ikke har sendt den pågældende mail. Og at den med
sikkerhed heller ikke er sendt fra en @haunstrup.dk adresse overhovedet.

Det er en typisk virus-mail, hvor virusen tager er tilfældigt navn som
FROM: adresse. I det her tilfælde endda en konstrueret adresse, som jeg
aldrig selv har brugt (as.dk@haunstrup.dk).

Det er tilsyneladende en Arne Sørensen, der (formentlig uden selv at
vide det) har sendt disse virus-mails.

Hvis andre skulle modtage disse mails, så vær opmærksom på at det ikke
bare er en virus der har sendt dem - men virusen har også sendt sig selv
med som vedhæftet fil!

Slet dem, og undlad venligst at "returnere" dem til min adresse.


--
mvh, A:\Feldborg

http://www.haunstrup.dk/feldborg/genealogi/opslag/
http://www.haunstrup.dk/feldborg/genealogi/download/

---

2. Oktober 2002 kl. 14:00
Ny email virus i omløb Worm/Tanatos også kaldet W32/BugBear@mm

Type: Worm


Worm/Tanatos er en Internet ord med UPX der forsøger at sprede sig via email
og delt netværks drev.

Navn: Worm/Tanatos
Alias: W32/BugBear@mm
Type: Worm
Size: 50.688 KB
Platform: Microsoft Windows 95/98/NT/2000/XP
Opdaget: September 30, 2002

Beskrivelse:

Worm/Tanatos er en Internet ord med UPX der forsøger at sprede sig via email
og delt netværks drev.

Hvis den bliver eksekveret kopiere ormen sig selv ind i Windows 9x systems i
folderen under filnavnet "DFAV.EXE" (de første 4 bogstaver i navnet skifter
vilkårligt), i Windows 2k ligger den i \winnt\system32 folderen under
filnavnet "DFAV.EXE" (de første 4 bogstaver i navnet skifter vilkårligt).
Ligeledes tilføjes en filer med følgende navne "vkgvuaa.dll" (5.632 bytes
med skiftende filnavn) og "xgoxmaa.dll" (skifter navn og str. (logfile)).
Filen "WCA.EXE" (50.688 bytes og filnavnet skifter vilkårligt) tilføjes til
C:\Windows\Start Menu\Programs\Startup\.
Der med startes den hver gang din pc opstartes, den tilføjer følgende key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
bta=DFAV.EXE

Registry navnet "bta" skifter vilkårligt

Ormen danner også C:\Windows\YesYia.dat (2 bytes med skiftende fil navne).

Worm/Tanatos forsøger også at stoppe en lang række sikkerheds processer
(antivirus software, firewall applications).

Den vil også forsøge at installere en Trojansk bagdør der kan opfatte hvad
du skriver inklusiv sensitiv information som passwords.

Til sidst forsøger den også at videresende sig selv til alle email adresser
listet i din adressebog.

Mcafee vurdere ormen W32/Bugbear@MM til at være en MEDIUM RISK ORM.


--
Venlig hilsen
Jeannie Kristensen
http://home1.stofanet.dk/jeannie.kristensen/slaegt/default.htm
(opdateret 24.juli 2002)

---

On Fri, 4 Oct 2002 17:21:06 +0200, "Familien Kristensen"
<fjernmig.jeannie.kristensen@mail1.stofanet.dk> wrote:

Kære Group,

I did open the attachment before receiving the warning not to and
caught the virus. The virus went automatically to others before I
killed it.

It was a bit difficult to kill. My antivirus datafiles hadn't been
updated since 19 Sept. 2002, so the virus got by its protection.
Apparently the virus first appeared on 30 Sept.

Here is what I did:
1. Tried to run my antivirus program's update (Norton Antivirus). It
wouldn't work. Neither did running the program.
2. Went online to Norton website and downloaded a little program
Norton said would clean out the virus. Tried to run the program, but
it wouldn't run.
3. Went to http://protectorplus.com/ where I clicked on W32/BugBear.
Downloaded their "cleaner" utility. The utility wouldn't run. Then I
downloaded their 30-day evaluation copy of Protector Plus antivirus
program. Ran the program and it cleaned my system of the W32Bugbear
virus. Many thanks to Protector Plus from Proland Software.

I was able to update my Norton Antivirus software and run it after the
cleaning by Protector Plus.

mvh
Jim Sindberg
Vancouver WA USA


>2. Oktober 2002 kl. 14:00
>Ny email virus i omløb Worm/Tanatos også kaldet W32/BugBear@mm
>
>Type: Worm
>
>
>Worm/Tanatos er en Internet ord med UPX der forsøger at sprede sig via email
>og delt netværks drev.
>
>Navn: Worm/Tanatos
>Alias: W32/BugBear@mm
>Type: Worm
>Size: 50.688 KB
>Platform: Microsoft Windows 95/98/NT/2000/XP
>Opdaget: September 30, 2002
>
>Beskrivelse:
>
>Worm/Tanatos er en Internet ord med UPX der forsøger at sprede sig via email
>og delt netværks drev.
>
>Hvis den bliver eksekveret kopiere ormen sig selv ind i Windows 9x systems i
>folderen under filnavnet "DFAV.EXE" (de første 4 bogstaver i navnet skifter
>vilkårligt), i Windows 2k ligger den i \winnt\system32 folderen under
>filnavnet "DFAV.EXE" (de første 4 bogstaver i navnet skifter vilkårligt).
>Ligeledes tilføjes en filer med følgende navne "vkgvuaa.dll" (5.632 bytes
>med skiftende filnavn) og "xgoxmaa.dll" (skifter navn og str. (logfile)).
>Filen "WCA.EXE" (50.688 bytes og filnavnet skifter vilkårligt) tilføjes til
>C:\Windows\Start Menu\Programs\Startup\.
>Der med startes den hver gang din pc opstartes, den tilføjer følgende key:
>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
>bta=DFAV.EXE
>
>Registry navnet "bta" skifter vilkårligt
>
>Ormen danner også C:\Windows\YesYia.dat (2 bytes med skiftende fil navne).
>
>Worm/Tanatos forsøger også at stoppe en lang række sikkerheds processer
>(antivirus software, firewall applications).
>
>Den vil også forsøge at installere en Trojansk bagdør der kan opfatte hvad
>du skriver inklusiv sensitiv information som passwords.
>
>Til sidst forsøger den også at videresende sig selv til alle email adresser
>listet i din adressebog.
>
>Mcafee vurdere ormen W32/Bugbear@MM til at være en MEDIUM RISK ORM.

---

"JHS" <pops2000@pobox.com> wrote in message news:c13upuo25cjmneg7vqvktqhadld07754sm@4ax.com...
> On Fri, 4 Oct 2002 17:21:06 +0200, "Familien Kristensen"
> <fjernmig.jeannie.kristensen@mail1.stofanet.dk> wrote:
>
> Kære Group,
>
> I did open the attachment before receiving the warning not to and
> caught the virus. The virus went automatically to others before I
> killed it.

snip

it is usually 70 or 69 kb so set a filter at 35 kb

I log on to msn.com or hotmail and delete all files of that size before I read my mail

many had good looking RootsWeb style headers with prepends of groups I do not subscribe to. Zapped.

Hugh W

---

> I did open the attachment before receiving the warning not to and
> caught the virus. The virus went automatically to others before I
> killed it.


Dear Hugh,

That was too bad.
Give yourself a good present:
Buy a self-updating Anti-Virus Program that WORKS!

It´s only around 300,- kr and you will stay protected for at least a year.
"Norton Anti-Virus" will NOT give you the opportunity to open an infected
mail or attachment, and catch the virus! You WILL be warned in good time!
Buy the program, install it, and stay out of trouble.

Venligst
Poul F. Andersen

---

On Sun, 6 Oct 2002 19:45:01 +0200, "Poul F. Andersen"
<paogba@oncable.dk> wrote:

klip
>
>It´s only around 300,- kr and you will stay protected for at least a year.
>"Norton Anti-Virus"
>Venligst
>Poul F. Andersen
>

hvor kan man få Norton for 300 kr ??
mvh Ebbe

---

Ebbe Hansen wrote:
> On Sun, 6 Oct 2002 19:45:01 +0200, "Poul F. Andersen"
> <paogba@oncable.dk> wrote:
>
> klip
>
>>It´s only around 300,- kr and you will stay protected for at least a year.
>>"Norton Anti-Virus"
>>Venligst
>>Poul F. Andersen
>>
>
>
> hvor kan man få Norton for 300 kr ??
> mvh Ebbe

Sikkert ingen steder!

Efter en prøveperiode besluttede jeg to dage siden at købe licens til
Norton 2002, men jeg nåede kun til at få en besked om, at min konto vil
blive debiteret $49,95, og at ordren var "complete". Jeg kunne ikke
downloade filen, og jeg fik ingen licens, med andre ord: Jeg fik intet
for mine $49,95.

Email til deres kundeservice er foreløbigt kun blevet besvaret med en
automatisk meddelelse om, at de pt. modtager så mange henvendelser, at
det kan tage nogen tid, før de svarer. At de får mange henvendelser, kan
jeg let forstå.

Så pas på! Kun en tåbe frygter ikke Norton Anti Virus!

Venlig hilsen
Arne Nielsen

--
arnen@post3.tele.dk
http://home3.inet.tele.dk/arnen/

---

> >
> >
> > hvor kan man få Norton for 300 kr ??
> > mvh Ebbe
>
> Sikkert ingen steder!
>
> Venlig hilsen
> Arne Nielsen

Påstår du indirekte at jeg lyver Arne ?
Så check lige mit indlæg med sted og priser lidt længere nede!

Poul F. Andersen

---

Nu står der faktisk 'around 300'.

Har for nylig købt til 499 - for Norton antivirus+firewall m.v.

Købt i dansk computerbutik - så får man en CD med hjem

mvh

Krabsen



"Ebbe Hansen" <ebbeh@mail1.stofanet.dk> skrev i en meddelelse
news:67u0qu8f75c1i0pvmd5p5h73efudflp9tv@news.stofanet.dk...
> On Sun, 6 Oct 2002 19:45:01 +0200, "Poul F. Andersen"
> <paogba@oncable.dk> wrote:
>
> klip
> >
> >It´s only around 300,- kr and you will stay protected for at least a
year.
> >"Norton Anti-Virus"
> >Venligst
> >Poul F. Andersen
> >
>
> hvor kan man få Norton for 300 kr ??
> mvh Ebbe

---

"Krabsen" <news@krabsen.dk> skrev i en meddelelse
news:anpvkv$f01$1@sunsite.dk...
| Nu står der faktisk 'around 300'.
|
| Har for nylig købt til 499 - for Norton antivirus+firewall m.v.
|
| Købt i dansk computerbutik - så får man en CD med hjem

Hvor ofte skal der betales for ret til opgradering?
Til dato har jeg benyttet TDC's tilbud om Norton, men da jeg har set, at
abonnementet ophører, men afløses af et tilbud om Norton Anti Virus 2000
plus Firewall til en pris omk. 200 kr.pr. år.
Hilsen
Svend Haakon

---

"Sv. Haakon Jensen" <sv-haa@post5.tele.dk> skrev i en meddelelse

> Hvor ofte skal der betales for ret til opgradering?
> Til dato har jeg benyttet TDC's tilbud om Norton, men da jeg har set,
at
> abonnementet ophører, men afløses af et tilbud om Norton Anti Virus
2000
> plus Firewall til en pris omk. 200 kr.pr. år.

Abonnementet skal fornys en gang om året, men jeg vil anbefale dig at
følge med i dk.edb.sikkerhed.virus hvor netop skribenter fra denne
gruppe bl. a. diskuterer fordele og metoder.
--
Med venlig hilsen Bent Fleron.
Når man er gråhåret:
"Min far er gammel. Men min mor har brunt hår."
(Rebecca, 8 år)

---

Mon, 7 Oct 2002 11:44:59 +0200, in dk.videnskab.historie.genealogi, "Sv.
Haakon Jensen" <sv-haa@post5.tele.dk> wrote:

>abonnementet ophører, men afløses af et tilbud om Norton Anti Virus 2000

nå er jo allerede NAV2000 en antikvitet, siste på markeded er NAV 2003,
men vel de fleste fortsatt har NAV2002

--
Otto Jørgensen
http://home.online.no/~otjoerge/
http://home.online.no/~otjoerge/bk/

---

Følgende priser hos Zitech (okt-nov katalog):

Norton Antivirus 2002 395,-
Opgradering fra tidligere version 310,- kr

Norton Internet Security 2002 4.0 595,-
Opgradering fra tidligere version 370,-


Såeh,- min oplyste ca. pris til Hugh (300, kr) var da ikke helt i skoven for
1 års virusbeskyttelse!
Under 1 krone om dagen må iøvrigt siges at være OK.

--
Venligst
Poul F. Andersen

---

Aller-sidste-antivirus-pip fra mig:
Der er også en mulighed for at anvende AntiVir. Den er gratis og kan
jævnligt opdateres via nettet:

http://www.free-av.com/

Siden er p.t. noget langsom, der er åbenbart efterspørgsel.
--
Venlig hilsen
Jeannie Kristensen
http://home1.stofanet.dk/jeannie.kristensen/slaegt/default.htm
(opdateret 24.juli 2002)

---

On Mon, 7 Oct 2002 19:27:50 +0200, "Poul F. Andersen"
<paogba@oncable.dk> wrote:

>Følgende priser hos Zitech (okt-nov katalog):
>
>Norton Antivirus 2002 395,-
>Opgradering fra tidligere version 310,- kr
>
>Norton Internet Security 2002 4.0 595,-
>Opgradering fra tidligere version 370,-
>
>
>Såeh,- min oplyste ca. pris til Hugh (300, kr) var da ikke helt i skoven for
>1 års virusbeskyttelse!
>Under 1 krone om dagen må iøvrigt siges at være OK.

En opdatering fra tidligere versioner af Norton Anti Virus til Norton
Anti Virus 2003 koster hos Symantec Store downloaded (ca. 35 Mb)
$29,95, inkl. et års gratis automatisk opdatering af Virus
Definitions.

M.v.h.
O.C.

---

Jeg gav 299 kr. for en opgradering til Norton Antivirus 2002 i Computer City
d. 2. juni 2002.

Med venlig hilsen
Keld Andersen

E-mail: keld23@tiscali.dk
Web: http://home.tiscali.dk/keld23
Fladså Arkiv: http://fladsaa-arkiv.dk
Slægtshistorisk Forening for Sydsjælland: http://home.tiscali.dk/ssf25

"Poul F. Andersen" <paogba@oncable.dk> skrev i en meddelelse
news:3da1c370$0$18704$edfadb0f@dspool01.news.tele.dk...
> Følgende priser hos Zitech (okt-nov katalog):
>
> Norton Antivirus 2002 395,-
> Opgradering fra tidligere version 310,- kr
>
> Norton Internet Security 2002 4.0 595,-
> Opgradering fra tidligere version 370,-
>
>
> Såeh,- min oplyste ca. pris til Hugh (300, kr) var da ikke helt i skoven
for
> 1 års virusbeskyttelse!
> Under 1 krone om dagen må iøvrigt siges at være OK.
>
> --
> Venligst
> Poul F. Andersen