Ja hoor, daar is ie weer.. Malware. deel 3

Door mmjjb op dinsdag 07 mei 2013 12:30 - Reacties (7)
Categorie: -, Views: 3.886

Beste Mede-Tweakers,


Een flinke tijd terug ergens eind 2011 had ik verschillende artikelen geschreven over het politie/buma stemra-tim virus wat mensen massaal overspoelde. :)
Destijds had ik enkele txt bron bestanden toegevoegd, ineens kreeg ik van een tweaker te horen dat hij volgens Security Essentials een virus op de pc had, na flink wat puzzelen waren we uiteindelijk tot de conclusie gekomen dat het slechts de cache was van zijn browser toen hij mijn pastebin pagina bezocht, al met al een flink gestres dus.

Laatste tijd heb ik niet veel tijd gehad om de nieuwe variant van het 'virus' te onderzoeken, maar het is inmiddels toch flink wat releases verder. Destijds adviseerde ik om de avast opstartscan te gebruiken of uiteraard bitdefender om het verwijderen. Inmiddels heeft in ieder geval avast geen zin meer.

Hitmanpro even op een cd'tje zetten of vanaf usb werkt gelukkig wel. :*)

De vraag of het virus voorkomen kan worden is mij nog onbekend, met of virus scanner lijkt niet veel invloed te hebben. Gelukkig is het bedrijf er achter wel minder druk met het verspreiden er zijn weinig advertentie netwerken die het nog mee sturen.

Heb het idee dat het in virus land nu even rustig is nu ddos land het zo druk heeft maarja


Bedankt voor het wel of niet lezen en reacties zijn altijd welkom.

--
@afvalzak Klopt, zowel via Java als Adobe Reader komt het binnen. Alternatieven zijn er genoeg voor Adobe Reader, maar voor Java is het natuurlijk een ander verhaal. Zodra je even een driverscan wil doen bij welke leverancier/fabrikant of wat dan ook heb je direct Java nodig. Het gebruik wordt gelukkig steeds minder, maar 100% zonder kan helaas nog niet.
Naast zo lek als een mandje zit er ook nog van die ASK toolbar hap bij, echt ongelovelijk dat Oracle dat nog mee levert. Toolbar is zo 2007, maarja.

Volgende: Ja hoor, daar is ie weer.. Malware. deel 2 (zelfde als in nieuws) 12-'11 Ja hoor, daar is ie weer.. Malware. deel 2 (zelfde als in nieuws)

Reacties


Door Tweakers user Afvalzak, dinsdag 07 mei 2013 12:32

Schijnt dat dit virus veel via JAVA binnenkomt, updaten hiervan (of uitschakelen als je het niet nodig hebt) kan dus al helpen.

Door Tweakers user dvdheiden, dinsdag 07 mei 2013 13:21

In je Control Panel heb je een Java entry. Daar kan je bij het tabblad security een vinkje weghalen bij "Enable Java content in the browser". Dan heb je wel de mogelijkheid om zelfstandige java applicaties te draaien maar niet vanuit de browser.

Door Tweakers user IStealYourGun, dinsdag 07 mei 2013 13:46

Gewoon je browser instellen dat de plugins niet automatisch laden.
Bij opera kan je dat met :Enable plug-ins on demand. Bij firefox moet je het via about:config > plugins.click_to_play doen. En chrome is een virus, dus daar moet je niets voor doen.

En niet de uac settings uitschakelen (windows 7) of als administrator werken (windows XP). Op die manier infecteren ze enkel het profiel en zijn ze vrij makkelijk te verwijderen via safemode.

Door Tweakers user Hunter23, dinsdag 07 mei 2013 21:49

...

@Jarrin: Je hebt helemaal gelijk. Thanks voor de uitleg

[Reactie gewijzigd op woensdag 08 mei 2013 10:22]


Door Tweakers user jarrin, woensdag 08 mei 2013 09:50

Hunter23 schreef op dinsdag 07 mei 2013 @ 21:49:
Veel malware verspreidt zich door middel van Java, daarom zou ik NoScript adviseren voor de Firefox gebruikers. Mooie plug-in die Java afvangt van de site die je bezoekt. Je kunt dan zelf kiezen van welke sites je de java scripts wilt toestaan.
Voor andere browsers weet ik niet of hier een variant voor is.
Bij Java wordt er altijd om een bevestiging gevraagd alvorens de applet wordt uitgevoerd - ongeacht de browser/plugins/os.

Je bent in de war met Javascript, wat no-script inderdaad opvangt.
Java
Javascript

[Reactie gewijzigd op woensdag 08 mei 2013 09:51]


Door Tweakers user knetterboy3, vrijdag 10 mei 2013 15:25

Ik heb het idee dat het Ukash/politievirus sinds een tijdje in frequentie weer afzwakt. In een computerwinkeltje kreeg ik enkele maanden geleden wekelijks te maken met meerdere klanten die deze ransomware op hun computer hadden. D.m.v. opstarten in veilige modus (evt. veilige modus met opdrachtprompt) kan er gescand worden met bijv. MalwareBytes Anti-Malware, ComboFix of Hitman Pro. Meestal lukt het hiermee wel om deze troep te verwijderen.

Er zijn meerdere varianten van dit 'politievirus' in omloop, en de een is wat hardnekkiger dan de andere. Het verandert voortdurend een beetje. Zo zie je dat in sommige gevallen zelfs niet meer in veilige modus kan worden opgestart. Wanneer veilige modus met opdrachtprompt nog wel lukt, kun je vanuit daar een scan starten (vanaf USB stick bijvoorbeeld), zonder de explorer.exe te starten.

Ik zie inderdaad vaak dat ge´nfecteerde computers verouderde versies van Java ge´nstalleerd hebben. Anti-virussoftware is veelal niet in staat om deze malware (op tijd) te herkennen.

Door Tweakers user ShakerNL, maandag 13 mei 2013 16:09

Ik heb het virus een paar keer meegemaakt op de computer van vrienden. Bij de ÚÚn kon het makkelijk hersteld worden door terug te gaan naar een herstelpunt via systeemherstel. Bij een ander ging het wat moeilijker, waardoor ik via usb moest booten en rundll.exe moest vervangen.

Reageren is niet meer mogelijk