Ja hoor, daar is ie weer.. Malware. deel 3

Door mmjjb op dinsdag 7 mei 2013 12:30 - Reacties (7)
Categorie: -, Views: 5.509

Beste Mede-Tweakers,


Een flinke tijd terug ergens eind 2011 had ik verschillende artikelen geschreven over het politie/buma stemra-tim virus wat mensen massaal overspoelde. :)
Destijds had ik enkele txt bron bestanden toegevoegd, ineens kreeg ik van een tweaker te horen dat hij volgens Security Essentials een virus op de pc had, na flink wat puzzelen waren we uiteindelijk tot de conclusie gekomen dat het slechts de cache was van zijn browser toen hij mijn pastebin pagina bezocht, al met al een flink gestres dus.

Laatste tijd heb ik niet veel tijd gehad om de nieuwe variant van het 'virus' te onderzoeken, maar het is inmiddels toch flink wat releases verder. Destijds adviseerde ik om de avast opstartscan te gebruiken of uiteraard bitdefender om het verwijderen. Inmiddels heeft in ieder geval avast geen zin meer.

Hitmanpro even op een cd'tje zetten of vanaf usb werkt gelukkig wel. :*)

De vraag of het virus voorkomen kan worden is mij nog onbekend, met of virus scanner lijkt niet veel invloed te hebben. Gelukkig is het bedrijf er achter wel minder druk met het verspreiden er zijn weinig advertentie netwerken die het nog mee sturen.

Heb het idee dat het in virus land nu even rustig is nu ddos land het zo druk heeft maarja


Bedankt voor het wel of niet lezen en reacties zijn altijd welkom.

--
@afvalzak Klopt, zowel via Java als Adobe Reader komt het binnen. Alternatieven zijn er genoeg voor Adobe Reader, maar voor Java is het natuurlijk een ander verhaal. Zodra je even een driverscan wil doen bij welke leverancier/fabrikant of wat dan ook heb je direct Java nodig. Het gebruik wordt gelukkig steeds minder, maar 100% zonder kan helaas nog niet.
Naast zo lek als een mandje zit er ook nog van die ASK toolbar hap bij, echt ongelovelijk dat Oracle dat nog mee levert. Toolbar is zo 2007, maarja.

Ja hoor, daar is ie weer.. Malware. deel 2 (zelfde als in nieuws)

Door mmjjb op maandag 19 december 2011 22:49 - Reacties (8)
Categorie: -, Views: 8.895

nieuwartikel
Hallo, inmiddels wat meer onderzoek gedaan naar deze malware,
deel 1 was niet zeer uitgebreid maar gaf wel een oplossing aan.


Het bestand bevond zich in de Temp folder, en kan hier eenvoudig uit verwijderd worden genaamd upd.exe.
De infectie op de computer vind plaats doordat via verschillende advertentie platformen een advertentie word aangeboden met daaraan malware gekoppeld :).


Bij het laden van de gevaarlijke advertentie, word door de browser een bestand genaamd "ad_track[1].htm" en "in[1].htm" gecashed door de computer, bijde bestanden zijn identiek van elkaar.. inhoud is vindbaar op:
Pastebin voert geen code uit, en de site van de gehoste malware is down.. desondanks wees voorzichtig bij het bezoeken van de linkpastebin link.

Na wat zoeken op internet op de termen in deze files, zijn genoeg artikelen op internet te vinden zoals deze.. link hierin word uitgelegd wat voor actie's de computer hierna zal uitvoeren voor het binnenhalen.


Uiteindelijk word het virus via de browser in de temp folder gedrukt, waarna deze zich in de msconfig drukt.. een overlay op het scherm veroorzaakt en toetsen als crtl+alt+del en taakbeheer blokeerd. Zie foto :)

Gelukkig is dit soort malware nooit zo slim, en zijn ze simpelweg altijd in de temp directory te vinden en meestal dupliceren ze zich ook niet.


Iedereen die de moeite neemt om dit te lezen bedankt :)

Ja hoor, daar is ie weer.. Malware.

Door mmjjb op maandag 14 november 2011 23:38 - Reacties (8)
Categorie: Algemeen, Views: 8.542

Oef, lekker na een zware werkdag met wat drinken er bij.. zit ik op internet een van m'n favoriete tv serie's op te zoeken.


Klik de serie aan, en wacht lekker terwijl videobb aan het laden is,
ondetussen dacht ik aan m'n Windows Security Essentials die al een paar keer eerder de afgelopen week zat te mokken bij deze fantastische website over Javascript bla bla virus nog wat huppeldepup. :?

Wat er toen (eerder die week) was, was dat hij aangaf javascript gedonder en dat hij weer iets moest verwijderen, toen keurig gedaan, maar elke keer bijna kwam hij weer, bij het bezoeken van deze video streaming site. (voor de mensen die videobb niet kennen, denk dan maar aan megavideo).

Zo.. tv serie was geladen, en ik zit lekker klaar om te gaan genieten van de serie :)

Terwijl de serie aan afspelen was en ik m'n geluids apparatuur op het volume aan afstellen was, komt er ineens een venster op het scherm.

"Uw operationele systeem is geblokkeerd wegens inbreuk op de Nederlande Wetgeving!" Met daar boven een mooi logo van de politie en mijn ip adres :D

"Om de blokkering van Uw PC op te heffen, moet U 100 euro geldboete betalen! Dit bedrag moet binnen 24 uur vanaf de aanvang van blokkering betaald worden! Bij verzuim deze geldboete te betalen zullen alle gegevens van uw PC gewist worden!"
"U kunt deze geldboete aan de hand van een Paysafe card betalen. U betaald deze paysafe card ten bedrage.... " bla bla bla.


Nou ik dacht mooi is dat, zit er weer reclame tussen door er door heen te blaten.. maarja ik kon ook nergens het Sluit knopje vinden :(

Nouja, dan maar Internet Explorer beindigen dacht ik, maarja ineens werd taak beheer weg gedrukt.. toen werd het ineens andere koek, start knop wou niet en meer.

mm, dan maar even een cold reset.. zocht naar de uitknop..

--


Na een reboot, kwam na het inloggen weer het programmatje. Dit maal liep die vast vanwege het uitschakelen van de wifi, en kon ik mooi via proces beindigen de toepassing sluiten.

Deze malware werd na het uitvoeren van een scan met Security Essentials nog niet herekend.

Gelukkig zijn dit soort malware tooltje's niet zo slim, en zijn ze altijd in de Temp folder te vinden :)
Na het bestand te hebben gesubmit via VirusTotal (zie link naar gesubmitte virus file)(http://www.virustotal.com...f925eb4f2cbdd1-1321307995
en verplaatst te hebben naar een andere plek, dacht ik er wel vanaf te zijn.


De mensen die het interesant vinden vinden het deel2 van dit artikel straks wel, want blijkbaar kwam ik er nog niet zo makkelijk vanaf, bleek na een blik te hebben geworpen op de connectie's met netstat in cmd.

Voornu eerst deze pc maar uit.. :(

Bij netstats draaien in iedergeval nu de volgende programma's die verdacht zijn:
lktsrv.exe localhost:49157
klads.exe localhost:49158

en nog wel 10 anderen die er niet horen.

Oja, het tooltje heeft ook een connectie op iexplore lopen (tcp) naar ez-in-f97:https (meerdere), dus tapt vermoedelijk ook alle internet explorer data/wachtwoorden weg.

UPS klunzige levering: 2

Door mmjjb op dinsdag 20 september 2011 18:41 - Reacties (7)
Categorie: Algemeen, Views: 6.702

Allereerst wil ik iedereen die gereageerd heeft op deel 1 bedanken. :)

Ben zelf tamelijk nieuw met t.net blogs en had niet verwacht zo veel reacties te krijgen, iedereen die gereageerd heeft nogmaals dank.
Op deze manier heb ik op een mooie manier d'r mee kennis kunnen maken.
------------

Gister nog volledig in de mor vanwege de onozele ups bezorger, maar vandaag ben ik stukken opgeschoten.

Na om 6 uur s'avonds de telefoon lijn van een afwezige Dell en UPS te hebben gebombardeerd, heb ik vanochtend om 3 over 8 UPS gebeld.
Ik kreeg een uiterst vriendelijke dame aan de lijn, die nadat ik haar van alle informatie had voorzien aangaf dat ze niks voor me kon betekenen, de verzender moest worden gecontacteerd en deze kon dan een "Onderzoeks procedure" starten.

Na de termen: Onderzoek en Procedure gehoord te hebben, kwam het idee dat het nog wel 3 week kon duren aardig snel in me op. :|

Die middag maar even Dell gebeld, waarna hun keuze menu, geen van alle opties in de buurt kwamen met de gewenste afdeling. Uiteindelijk maar eentje gekozen, waarna de telefoon aardig snel werd doorverbonden met een medewerker.
Na deze van alle informatie te hebben voorzien en daarbij een toelichting van het UPS gesprek te hebben gegeven, ging deze dame voor mij even deze "Onderzoeks Procedure" starten.
Opnieuw vreesde ik het ergste, mischien duur het ook wel 4 week?
Na 10 minuten van de wachtmuziek te hebben genoten, kreeg ik te horen dat de procedure was gestart, ze had een mail naar ups gestuurd en nog een paar dingen.. maar het was gestart.

Net thuisgekomen en net bezig met een klacht aan schrijven op de UPS website, hoor ik een bestelbusje.. Niet met UPS opdruk weliswaar, maar van een of andere koeriersdienst. Na deze persoon binnen te hebben gelaten, bleek dat hij een heel mooi pakket bij zich had.. En de Laptop is geariveerd :)

Mooi dat Dell en UPS de procedure die zoals de naam deed vermoeden weken ging duren, nog de zelfde dag hebben afgehandeld.

Uiteindelijk maar 1 dag later de laptop binnen, en de verwachte levertijd was a.s donderdag.. allemaal nog mooi op tijd en door bijde partij'en goed afgehandeld. ;)

add: Hierdoor ook direct een mooie tweakblog evaring gekregen, zo blijkt wel weer.. elk nadeel heeft z'n voordeel :)

UPS klunzige levering

Door mmjjb op maandag 19 september 2011 18:51 - Reacties (15)
Categorie: Algemeen, Views: 12.586

Enige tijd terug een custom laptop met i7 gekocht bij Dell. :)
Kom thuis vandaag, zie ik op de tracking staan "Pakket afgeleverd om 12:06"..
mm dat is vreemd, aangezien er op dat moment niemand thuis was ..?!#

Bekijk ik wie er heeft getekend, dat even opgezocht.. blijkt dat ze het aan de andere kant van deze wijk hebben afgeleverd.. op een totaal ander adres 8)7

Heerlijk.. levering via vertrouwde UPS.. wat een domkoppen.
  • Ten eerste, is het adres anders.
  • Ten 2de, is de persoon die heeft getekend.. is niet de persoon die heeft besteld.. zelfs de achternaam komt niet overeen
Nouja, gelukkig is UPS verzekerd verzenden.. en dit is zeker hun fout.


Hopelijk is de laptop doos niet geopend, als dat wel het geval is heeft UPS en Dell een groot probleem. :(


--
@andros
Is dat bij UPS ook zo? Volgens mij niet toch? Teminste van een 'professionele' bezorings dienst mag je toch wel beter verwachten.. Nee, ga hem zelf niet ophalen bij die mensen.. zolang die niet geleverd is hier, zijn Dell en UPS aansprakelijk.