Ja hoor, daar is ie weer.. Malware.

Door mmjjb op maandag 14 november 2011 23:38 - Reacties (8)
Categorie: Algemeen, Views: 8.543

Oef, lekker na een zware werkdag met wat drinken er bij.. zit ik op internet een van m'n favoriete tv serie's op te zoeken.


Klik de serie aan, en wacht lekker terwijl videobb aan het laden is,
ondetussen dacht ik aan m'n Windows Security Essentials die al een paar keer eerder de afgelopen week zat te mokken bij deze fantastische website over Javascript bla bla virus nog wat huppeldepup. :?

Wat er toen (eerder die week) was, was dat hij aangaf javascript gedonder en dat hij weer iets moest verwijderen, toen keurig gedaan, maar elke keer bijna kwam hij weer, bij het bezoeken van deze video streaming site. (voor de mensen die videobb niet kennen, denk dan maar aan megavideo).

Zo.. tv serie was geladen, en ik zit lekker klaar om te gaan genieten van de serie :)

Terwijl de serie aan afspelen was en ik m'n geluids apparatuur op het volume aan afstellen was, komt er ineens een venster op het scherm.

"Uw operationele systeem is geblokkeerd wegens inbreuk op de Nederlande Wetgeving!" Met daar boven een mooi logo van de politie en mijn ip adres :D

"Om de blokkering van Uw PC op te heffen, moet U 100 euro geldboete betalen! Dit bedrag moet binnen 24 uur vanaf de aanvang van blokkering betaald worden! Bij verzuim deze geldboete te betalen zullen alle gegevens van uw PC gewist worden!"
"U kunt deze geldboete aan de hand van een Paysafe card betalen. U betaald deze paysafe card ten bedrage.... " bla bla bla.


Nou ik dacht mooi is dat, zit er weer reclame tussen door er door heen te blaten.. maarja ik kon ook nergens het Sluit knopje vinden :(

Nouja, dan maar Internet Explorer beindigen dacht ik, maarja ineens werd taak beheer weg gedrukt.. toen werd het ineens andere koek, start knop wou niet en meer.

mm, dan maar even een cold reset.. zocht naar de uitknop..

--


Na een reboot, kwam na het inloggen weer het programmatje. Dit maal liep die vast vanwege het uitschakelen van de wifi, en kon ik mooi via proces beindigen de toepassing sluiten.

Deze malware werd na het uitvoeren van een scan met Security Essentials nog niet herekend.

Gelukkig zijn dit soort malware tooltje's niet zo slim, en zijn ze altijd in de Temp folder te vinden :)
Na het bestand te hebben gesubmit via VirusTotal (zie link naar gesubmitte virus file)(http://www.virustotal.com...f925eb4f2cbdd1-1321307995
en verplaatst te hebben naar een andere plek, dacht ik er wel vanaf te zijn.


De mensen die het interesant vinden vinden het deel2 van dit artikel straks wel, want blijkbaar kwam ik er nog niet zo makkelijk vanaf, bleek na een blik te hebben geworpen op de connectie's met netstat in cmd.

Voornu eerst deze pc maar uit.. :(

Bij netstats draaien in iedergeval nu de volgende programma's die verdacht zijn:
lktsrv.exe localhost:49157
klads.exe localhost:49158

en nog wel 10 anderen die er niet horen.

Oja, het tooltje heeft ook een connectie op iexplore lopen (tcp) naar ez-in-f97:https (meerdere), dus tapt vermoedelijk ook alle internet explorer data/wachtwoorden weg.