Ja hoor, daar is ie weer.. Malware. deel 3

Door mmjjb op dinsdag 7 mei 2013 12:30 - Reacties (7)
Categorie: -, Views: 5.884

Beste Mede-Tweakers,


Een flinke tijd terug ergens eind 2011 had ik verschillende artikelen geschreven over het politie/buma stemra-tim virus wat mensen massaal overspoelde. :)
Destijds had ik enkele txt bron bestanden toegevoegd, ineens kreeg ik van een tweaker te horen dat hij volgens Security Essentials een virus op de pc had, na flink wat puzzelen waren we uiteindelijk tot de conclusie gekomen dat het slechts de cache was van zijn browser toen hij mijn pastebin pagina bezocht, al met al een flink gestres dus.

Laatste tijd heb ik niet veel tijd gehad om de nieuwe variant van het 'virus' te onderzoeken, maar het is inmiddels toch flink wat releases verder. Destijds adviseerde ik om de avast opstartscan te gebruiken of uiteraard bitdefender om het verwijderen. Inmiddels heeft in ieder geval avast geen zin meer.

Hitmanpro even op een cd'tje zetten of vanaf usb werkt gelukkig wel. :*)

De vraag of het virus voorkomen kan worden is mij nog onbekend, met of virus scanner lijkt niet veel invloed te hebben. Gelukkig is het bedrijf er achter wel minder druk met het verspreiden er zijn weinig advertentie netwerken die het nog mee sturen.

Heb het idee dat het in virus land nu even rustig is nu ddos land het zo druk heeft maarja


Bedankt voor het wel of niet lezen en reacties zijn altijd welkom.

--
@afvalzak Klopt, zowel via Java als Adobe Reader komt het binnen. Alternatieven zijn er genoeg voor Adobe Reader, maar voor Java is het natuurlijk een ander verhaal. Zodra je even een driverscan wil doen bij welke leverancier/fabrikant of wat dan ook heb je direct Java nodig. Het gebruik wordt gelukkig steeds minder, maar 100% zonder kan helaas nog niet.
Naast zo lek als een mandje zit er ook nog van die ASK toolbar hap bij, echt ongelovelijk dat Oracle dat nog mee levert. Toolbar is zo 2007, maarja.

Ja hoor, daar is ie weer.. Malware. deel 2 (zelfde als in nieuws)

Door mmjjb op maandag 19 december 2011 22:49 - Reacties (8)
Categorie: -, Views: 9.359

nieuwartikel
Hallo, inmiddels wat meer onderzoek gedaan naar deze malware,
deel 1 was niet zeer uitgebreid maar gaf wel een oplossing aan.


Het bestand bevond zich in de Temp folder, en kan hier eenvoudig uit verwijderd worden genaamd upd.exe.
De infectie op de computer vind plaats doordat via verschillende advertentie platformen een advertentie word aangeboden met daaraan malware gekoppeld :).


Bij het laden van de gevaarlijke advertentie, word door de browser een bestand genaamd "ad_track[1].htm" en "in[1].htm" gecashed door de computer, bijde bestanden zijn identiek van elkaar.. inhoud is vindbaar op:
Pastebin voert geen code uit, en de site van de gehoste malware is down.. desondanks wees voorzichtig bij het bezoeken van de linkpastebin link.

Na wat zoeken op internet op de termen in deze files, zijn genoeg artikelen op internet te vinden zoals deze.. link hierin word uitgelegd wat voor actie's de computer hierna zal uitvoeren voor het binnenhalen.


Uiteindelijk word het virus via de browser in de temp folder gedrukt, waarna deze zich in de msconfig drukt.. een overlay op het scherm veroorzaakt en toetsen als crtl+alt+del en taakbeheer blokeerd. Zie foto :)

Gelukkig is dit soort malware nooit zo slim, en zijn ze simpelweg altijd in de temp directory te vinden en meestal dupliceren ze zich ook niet.


Iedereen die de moeite neemt om dit te lezen bedankt :)

Ja hoor, daar is ie weer.. Malware.

Door mmjjb op maandag 14 november 2011 23:38 - Reacties (8)
Categorie: Algemeen, Views: 8.933

Oef, lekker na een zware werkdag met wat drinken er bij.. zit ik op internet een van m'n favoriete tv serie's op te zoeken.


Klik de serie aan, en wacht lekker terwijl videobb aan het laden is,
ondetussen dacht ik aan m'n Windows Security Essentials die al een paar keer eerder de afgelopen week zat te mokken bij deze fantastische website over Javascript bla bla virus nog wat huppeldepup. :?

Wat er toen (eerder die week) was, was dat hij aangaf javascript gedonder en dat hij weer iets moest verwijderen, toen keurig gedaan, maar elke keer bijna kwam hij weer, bij het bezoeken van deze video streaming site. (voor de mensen die videobb niet kennen, denk dan maar aan megavideo).

Zo.. tv serie was geladen, en ik zit lekker klaar om te gaan genieten van de serie :)

Terwijl de serie aan afspelen was en ik m'n geluids apparatuur op het volume aan afstellen was, komt er ineens een venster op het scherm.

"Uw operationele systeem is geblokkeerd wegens inbreuk op de Nederlande Wetgeving!" Met daar boven een mooi logo van de politie en mijn ip adres :D

"Om de blokkering van Uw PC op te heffen, moet U 100 euro geldboete betalen! Dit bedrag moet binnen 24 uur vanaf de aanvang van blokkering betaald worden! Bij verzuim deze geldboete te betalen zullen alle gegevens van uw PC gewist worden!"
"U kunt deze geldboete aan de hand van een Paysafe card betalen. U betaald deze paysafe card ten bedrage.... " bla bla bla.


Nou ik dacht mooi is dat, zit er weer reclame tussen door er door heen te blaten.. maarja ik kon ook nergens het Sluit knopje vinden :(

Nouja, dan maar Internet Explorer beindigen dacht ik, maarja ineens werd taak beheer weg gedrukt.. toen werd het ineens andere koek, start knop wou niet en meer.

mm, dan maar even een cold reset.. zocht naar de uitknop..

--


Na een reboot, kwam na het inloggen weer het programmatje. Dit maal liep die vast vanwege het uitschakelen van de wifi, en kon ik mooi via proces beindigen de toepassing sluiten.

Deze malware werd na het uitvoeren van een scan met Security Essentials nog niet herekend.

Gelukkig zijn dit soort malware tooltje's niet zo slim, en zijn ze altijd in de Temp folder te vinden :)
Na het bestand te hebben gesubmit via VirusTotal (zie link naar gesubmitte virus file)(http://www.virustotal.com...f925eb4f2cbdd1-1321307995
en verplaatst te hebben naar een andere plek, dacht ik er wel vanaf te zijn.


De mensen die het interesant vinden vinden het deel2 van dit artikel straks wel, want blijkbaar kwam ik er nog niet zo makkelijk vanaf, bleek na een blik te hebben geworpen op de connectie's met netstat in cmd.

Voornu eerst deze pc maar uit.. :(

Bij netstats draaien in iedergeval nu de volgende programma's die verdacht zijn:
lktsrv.exe localhost:49157
klads.exe localhost:49158

en nog wel 10 anderen die er niet horen.

Oja, het tooltje heeft ook een connectie op iexplore lopen (tcp) naar ez-in-f97:https (meerdere), dus tapt vermoedelijk ook alle internet explorer data/wachtwoorden weg.

first post

Door mmjjb op zondag 28 augustus 2011 02:48 - Reacties (7)
Categorie: -, Views: 4.980

Eerste post, altijd een bijzonder moment. :)

Aangezien op T Blogs altijd gezelligheid en interessante artikelen te vinden zijn, heb ik besloten om ook maar eentje op te zetten.

Weet nog niet waarover de volgende post's zullen gaan, maar ik had een uitgebreide verklaring en werking van het windows recovery en installatie systeem ingedachten.

Mochten jullie opmerkingen of ideeŽn hebben, laat het gerust weten.


-------------------

@KaptKoek: Dat zou best kunnen inderdaad, maar... wie niet waagt wie niet wint. ;)
ieder1 start altijd 1 maar gaat er nooit mee doorr
K ga het iniedergeval proberen, en met goede moed, komt alles goed

@lemmymet +1 :P

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True