Ja hoor, daar is ie weer.. Malware. deel 2 (zelfde als in nieuws)

Door mmjjb op maandag 19 december 2011 22:49 - Reacties (8)
Categorie: -, Views: 8.895

nieuwartikel
Hallo, inmiddels wat meer onderzoek gedaan naar deze malware,
deel 1 was niet zeer uitgebreid maar gaf wel een oplossing aan.


Het bestand bevond zich in de Temp folder, en kan hier eenvoudig uit verwijderd worden genaamd upd.exe.
De infectie op de computer vind plaats doordat via verschillende advertentie platformen een advertentie word aangeboden met daaraan malware gekoppeld :).


Bij het laden van de gevaarlijke advertentie, word door de browser een bestand genaamd "ad_track[1].htm" en "in[1].htm" gecashed door de computer, bijde bestanden zijn identiek van elkaar.. inhoud is vindbaar op:
Pastebin voert geen code uit, en de site van de gehoste malware is down.. desondanks wees voorzichtig bij het bezoeken van de linkpastebin link.

Na wat zoeken op internet op de termen in deze files, zijn genoeg artikelen op internet te vinden zoals deze.. link hierin word uitgelegd wat voor actie's de computer hierna zal uitvoeren voor het binnenhalen.


Uiteindelijk word het virus via de browser in de temp folder gedrukt, waarna deze zich in de msconfig drukt.. een overlay op het scherm veroorzaakt en toetsen als crtl+alt+del en taakbeheer blokeerd. Zie foto :)

Gelukkig is dit soort malware nooit zo slim, en zijn ze simpelweg altijd in de temp directory te vinden en meestal dupliceren ze zich ook niet.


Iedereen die de moeite neemt om dit te lezen bedankt :)

Volgende: Ja hoor, daar is ie weer.. Malware. deel 3 05-'13 Ja hoor, daar is ie weer.. Malware. deel 3
Volgende: Ja hoor, daar is ie weer.. Malware. 11-'11 Ja hoor, daar is ie weer.. Malware.

Reacties


Door Tweakers user Brazza, maandag 19 december 2011 23:19

Wat wil je zeggen met deze malware is niet slim? Meestal zijn ze zo geprogrammeerd dat deze valse includes of addons registreren, waardoor verwijderen zo moeilijk word dat enige wat helpt is een reinstall. Maar ik snap je punt van het artikel.

Wat ik mij altijd af vraag, wat voor mensen maken nu deze software. Deze lui zijn of vroeger echt aan hun lot overgelaten, of hebben nooit normen en waarden geleerd.

Heb je ooit gebruik gemaakt van een sandbox? En zo ja, hoe installeer je (na een reinstall) updates van een OS. Want dit wordt dan na een restart ongedaan gemaakt. Want ergens moet je dit doen uiteraard.

Mooiste zou zijn een soort van preinstalled OS met geen schrijfrechten. Maar als je bv een nieuwe look of addon wil toevoegen mag je dit doorvoeren in een netwerk vrije zone. (lees= veel gedoe) Ik heb nog geen perfecte besturingssysteem gevonden dit mij dit zonder veel tijd kan bieden.

Malware sucks..

Door Tweakers user Biersteker, dinsdag 20 december 2011 00:56

Niet om vervelend te doen, maar dit virus, laat ook een leuk cadeautje achter. Kijk even bij je apparaat beheer. Ik durf te wedden dat je een apparaat hebt dat volume heet. :). Dat is de echte deel 2 van dit virus. (%system%\drivers\*random name*.sys)

[Reactie gewijzigd op dinsdag 20 december 2011 00:57]


Door Tweakers user mmjjb, dinsdag 20 december 2011 23:09

LeVortex schreef op dinsdag 20 december 2011 @ 22:50:
Niet om vervelender te doen, maar door jou kreeg ik het virus ook. Op een of andere manier wordt het uitgevoerd op pastebin denk ik, het duurde even voordat de infectie naar voren kwam. Hall hem even weg, of geef een waarschuwing
Om even de boel recht te zetten, heb ik voordat de boel op pastbin gooide even gekeken.. de url die in het script staat vermeld is al een tijd down.. en kan gerust bezocht worden, doordat deze down is er geen enkele mogelijk dat het via mijn pastebin kwam ;)

Daarnaast de broncode van pastebin onderzocht, en deze voert geen code uit.. dus dat kan ook al niet ;)

Je zult hem dus ergens anders hebben opgelopen.. as simple as that

[Reactie gewijzigd op dinsdag 20 december 2011 23:09]


Door Tweakers user LeVortex, woensdag 21 december 2011 09:51

mmjjb schreef op dinsdag 20 december 2011 @ 23:09:
[...]


Om even de boel recht te zetten, heb ik voordat de boel op pastbin gooide even gekeken.. de url die in het script staat vermeld is al een tijd down.. en kan gerust bezocht worden, doordat deze down is er geen enkele mogelijk dat het via mijn pastebin kwam ;)

Daarnaast de broncode van pastebin onderzocht, en deze voert geen code uit.. dus dat kan ook al niet ;)

Je zult hem dus ergens anders hebben opgelopen.. as simple as that
Heel bijzonder, mijn werklaptop raakte geinfecteerd (zit op de bedrijfs vpn, diverse firewalls en dergelijke) en een computer thuis dus ook welke dus in een compleet ander netwerk zit. Allebij na het zien van tweakblogs en de pastebin (de computer thuis is van een ander, het lijkt me dan weer sterk dat we beiden hetzelfde virus oplopen op dezelfde dag).

Het leek mij ook al sterk dat het op pastebin wordt uitgevoerd. Maar op beide computers was het een blackhole exploit in de temp folder. Een .dat file met een OLE stream erin ofzoiets. Security Essentials vond het.

Door Tweakers user LeVortex, woensdag 21 december 2011 10:04

Het komt of door jou tweakblog of door de pastebin of door de foto. Het kan niet anders, misschien voert een antieke IE8 installatie wel code uit. Ik scan voordat ik dit tweakblog kijk en nadat ik jou tweakblog kijk. Hij zit er echt weer op.

Door Tweakers user mmjjb, woensdag 21 december 2011 13:36

LeVortex schreef op woensdag 21 december 2011 @ 09:51:
[...]

Heel bijzonder, mijn werklaptop raakte geinfecteerd (zit op de bedrijfs vpn, diverse firewalls en dergelijke) en een computer thuis dus ook welke dus in een compleet ander netwerk zit. Allebij na het zien van tweakblogs en de pastebin (de computer thuis is van een ander, het lijkt me dan weer sterk dat we beiden hetzelfde virus oplopen op dezelfde dag).

Het leek mij ook al sterk dat het op pastebin wordt uitgevoerd. Maar op beide computers was het een blackhole exploit in de temp folder. Een .dat file met een OLE stream erin ofzoiets. Security Essentials vond het.
Op de fiets naar huis realiseerde ik mij de oorzaak :)


Een virus scanner kan niet zien wat een infectie is of wat een mogelijke infectie is.
Zodra jij de pastebin pagina bezoekt, word deze pagina gecashed in je temp folder als .dat file (veilig), echter zoekt jou virus scanner ook in files naar bedreigende code..
Wat er dus gebeurd is dat jou virus scanner het IE temp bestand doorzoekt en de cache vind, waarna hij aangeeft dat er een bedreiging is. :)

Dat het virus op die site al lang down is voeg daar niks aan toe, de virus scanner herkend gewoon een stukje van dat javascript en denkt hť da's een virus.. dat het inmiddels niet meer werkt weet die verder niet :P

[Reactie gewijzigd op woensdag 21 december 2011 21:58]


Door Tweakers user LeVortex, vrijdag 23 december 2011 08:56

Oh tuurlijk xD cache dat moet het zijn. Omdat security essentials het bestand bestempelde als virus ging ik er van uit dat het daadwerkelijk ook iets probeerde uit te voeren. Het was natuurlijk gewoon de background scan die de code herkende.

Door Tweakers user BeosBeing, donderdag 9 mei 2013 10:37

Heb je ooit gebruik gemaakt van een sandbox? En zo ja, hoe installeer je (na een reinstall) updates van een OS. Want dit wordt dan na een restart ongedaan gemaakt. Want ergens moet je dit doen uiteraard.

Mooiste zou zijn een soort van preinstalled OS met geen schrijfrechten. Maar als je bv een nieuwe look of addon wil toevoegen mag je dit doorvoeren in een netwerk vrije zone. (lees= veel gedoe) Ik heb nog geen perfecte besturingssysteem gevonden dit mij dit zonder veel tijd kan bieden. ...
Handigste voor een reÔnstall is gewoon de vorige snapshot van de VM terugzetten in je Xen/Virtualbox/... en bij updates maak je gewoon een nieuwe snapshot aan.

Moet je uiteraard wel virtualisatie gebruiken en op de host verder niets doen.

Reageren is niet meer mogelijk