[MSN] Bropia-varianten (handcuffs.pif)

Rbot is wss de oorzaak van al die spyware... Ik heb ook rbot gehad, maar een andere variant (niet door Bropia verspreid). Ik had Rbot-EE volgens Avast, en heb voor het eerst in mn leven moeten toegeven aan een format... meerdere zelfs. (Ik gebruik intussen Linux dus jah ). Rbot is een trojan, maar ook en downloader, en die installeert dus hopen spyware achter je rug. Als Rbot er af is is het dus nog niet gedaan.... laat er dan Hitman of Spybot S&D of zo nog eens op los.

ik heb net mijn systeem gecleand dmv hitman pro.

ik reboot, allerlei nieuw spul erop

ik weet het niet meer nu hoor.

Kan ik hier een apart topic voor openen?

Als je tussen de ontdekking van het nieuwe spul en de reboot verbinding met het net hebt gemaakt, heeft Rbot vanalles zitten downloaden... en Rbot is best aggressief. De variant die ik had leek zijn slachtoffers te "onthouden" Na een format maakte ik verbinding met het net en binnen de 10 seconden was hij weer actief! Firewall gebruiken, dus.

Voor de duidelijkheid:
Rbot is een IRC controlled backdoor.
Als Rbot wat zal downloaden, dan is dat in opdracht van de master.

Kan ik hier een apart topic voor openen?

Zoiets hoort niet in dit topic thuis, dus ja.

Na een format maakte ik verbinding met het net en binnen de 10 seconden was hij weer actief!

Zo werkt dat niet.
Lees maar eens wat over ungepatchte Windowsen en open source IRC bots.

-Utopist- schreef op woensdag 16 februari 2005 @ 21:35:
ik heb net mijn systeem gecleand dmv hitman pro.

ik reboot, allerlei nieuw spul erop

ik weet het niet meer nu hoor.

Kan ik hier een apart topic voor openen?

Ja, let dan wel even op Beveiliging en Virussen - Nieuw topic starten

Voor de mensen die erop hebben geklikt die moeten even in de map C:\WINDOWS\Prefetch kijken of daar iets met handcuffs staat ,
Natuurlijk gelijk verwijderen.

pasta schreef op woensdag 16 februari 2005 @ 21:44:
[...]

Ja, let dan wel even op Beveiliging en Virussen - Nieuw topic starten

Nou ff offtopic danmaar,

je gelooft het niet, maar ik heb systeem herstel gedaan, en alles in orde nu! (vaag, maar allang best)

Thanks anyways!

amour021 schreef op woensdag 16 februari 2005 @ 17:38:
[...]

Ik vind het overigens wel raar dat vele Tweakers toch op die url hebben geklikt zonder te denken: "hey, een pif bestand, wat raar"

ik denk persoonlijk dat veel tweakers tegenwoordig niet meer het DOS tijdperk hebben meegemaakt. En ook niet de vechtpartijen met dos progs onder win95. Overigens miet je nog steeds denken ikke nie kennen ikke nie openen

Okay, ik zal nog ff posten wat ik heb gedaan, om mij nu weer te kunnen laten lachen.

Allereerst heb ik alle (verdachte) processen die liepen, opgezocht via google wat ze waren, en handmatig stop gezet, en toen in mijn systeem handmatig verwijderd. Toen heb ik hitman pro gedownd, en die laten lopen, 2x, toen heb ik in msconfig alles van opstart dingen uitgezet, en heb ik systeem herstel gestart (op hoop van zegen) systeem herstelt van 2 dagen terug, gereboot, en meteen sygate firewall geinstalleerd.

vervolgens nog een keertje hitman pro laten rennen, niets gevonden, dus een update van virusscanner laten lopen, die vond ook niets, dus * Utopist is weer blij.

ik weet niet of ik alles wel in de meest handige volgorde heb gedaan, maar het werkte voor mij gelukkig.

[ Voor 5% gewijzigd door Utopist op 16-02-2005 23:06 ]

Verwijderd schreef op woensdag 16 februari 2005 @ 21:49:
Voor de mensen die erop hebben geklikt die moeten even in de map C:\WINDOWS\Prefetch kijken of daar iets met handcuffs staat ,
Natuurlijk gelijk verwijderen.

Thx 4 the tip: daar stond ie op de PC van mijn vriendin ook (naast andere hier reeds genoemde plekken). Wanneer wordt deze map benaderd?

Ik was niet helemaal duidelijk: ik vraag me af wanneer Windows deze map 'in gaat' om iets met de bestanden aldaar te doen? (Bv. bij een herstart of als winupdate begint te draaien.)

[ Voor 19% gewijzigd door pven op 16-02-2005 23:15 ]

pven schreef op woensdag 16 februari 2005 @ 23:08:
[...]

Thx 4 the tip: daar stond ie op de PC van mijn vriendin ook (naast andere hier reeds genoemde plekken). Wanneer wordt deze map benaderd?

Het lijkt mij dat dat gebeurt op het moment dat ook de Rbot geplaatst wordt.

---

Omdat het ondertussen wel duidelijk is dat het hier om Bropia varianten gaat, voer ik eventjes een titeledit uit.

[ Voor 20% gewijzigd door pasta op 16-02-2005 23:15 ]

Nou, t heeft mij ook te pakken.
Ik heb opeens 70 runnning processes als ik niks met mijn pc doe, ipv de normale 35.
Heel mijn lijst staat vol met goldenretrievers en ADtoolsinstaller.exe, Adtoolskeep.exe, en adtools.EXE. Ik heb hitman gebruikt, norton 2004, en ad-aware en het helpt niet.
Ik heb echt geen zin om te gaan formatteren dus heeft iemand nog een oplossing?

Pandemic schreef op donderdag 17 februari 2005 @ 03:28:
Nou, t heeft mij ook te pakken.
Ik heb opeens 70 runnning processes als ik niks met mijn pc doe, ipv de normale 35.
Heel mijn lijst staat vol met goldenretrievers en ADtoolsinstaller.exe, Adtoolskeep.exe, en adtools.EXE. Ik heb hitman gebruikt, norton 2004, en ad-aware en het helpt niet.
Ik heb echt geen zin om te gaan formatteren dus heeft iemand nog een oplossing?

ik heb hetzelfde gehad, mij heeft het dus geholpen op de bovenstaande manier ^^

(zie mijn post) Tja, je kunt het natuurlijk proberen, bij mij heeft het geholpen. Dus, succes.

Ik kan er echt niet bij hoor.. Vertrouwen of geen vertrouwen.. Iedereen die met computers werkt en zeker de mensen die hier komen zouden toch moeten weten dat je een pif-bestand niet moet openen. Als je dan echt zo nieuwsgierig bent en je wilt persé weten waar dat ding naar wijst dan sla je 'em toch op en vraag je er de eigenschappen van op??

-Utopist- schreef op woensdag 16 februari 2005 @ 19:06:
wat heb ik nou toch aan mijn taakbeheer hangen?

[afbeelding]

iemand raad?

wat kan hier van weg? ik neem aan dat die golden retriever.exe en salm. exe weg kunnen, maar hoe krijg ik ze van mijn systeem?

Ik haat dit!

Webrebates0
Webrebates1
salm
Goldon Retriever

Zou je verder niet beter ff kunnen googlen op de bestandsnamen die je niet kent. Dan weet je of het weg kan of niet... Zelf doe ik zowieso een complete format binnenkort.

Sierra-NL schreef op donderdag 17 februari 2005 @ 08:41:
Ik kan er echt niet bij hoor.. Vertrouwen of geen vertrouwen.. Iedereen die met computers werkt en zeker de mensen die hier komen zouden toch moeten weten dat je een pif-bestand niet moet openen. Als je dan echt zo nieuwsgierig bent en je wilt persé weten waar dat ding naar wijst dan sla je 'em toch op en vraag je er de eigenschappen van op??

Ja ik snap dat ook niet, ik vond het zwaar verdacht toen ik die link binnenkreeg. Als je dan meer wilt weten dan kun je hem opslaan ('opslaan' ipv openen ) en vervolgens nog online op virussen laten scannen of anders even op internet kijken of er al meer over bekend is (fora enzo ). Moet wel zeggen dat bij Jotti's virusscan NOD32 hem gelukkig wel herkende, anders had het ws toch een vals gevoel van veiligheid gegeven. Sowieso is het niet openen van onbekende pif, exe, vbs en scr bestanden toch wel een belangrijke tip mbt voorkomen van besmetting met virussen.

[ Voor 7% gewijzigd door Sassie op 17-02-2005 15:10 ]

Ik kreeg dat kreng ook via MSN maar XP SP2 gaf gewoon een melding (was toch testbak, vermoedde al wat maar dat kon niet boeien op die PC), geen directe execute dus.

Wat ik mij nou echt afvraag is waarom de meeste XP gebruikers die het binnenkregen _geen_ SP2 geinstalleerd hebben Zoals je ziet maakt dat het verschil tussen wel of niet geinfecteerd raken (buiten het gewoon domweg klikken erop). Je kan knorren wat je wil op MS maar SP2 doet z'n werk, en goed ook.

Overigens, KAV detecteert het _nu_ wel maar NOD32 deed dat meteen al, zoals theezeefje al had gepost, dus KAV gelijk de hemel in prijzen is nogal overtrokken.

Verwijderd schreef op donderdag 17 februari 2005 @ 20:38:
Wat ik mij nou echt afvraag is waarom de meeste XP gebruikers die het binnenkregen _geen_ SP2 geinstalleerd hebben

Op de PC van mijn vriendin staat SP2 geïnstalleerd, dat heeft niet veel geholpen.

TrailBlazer schreef op woensdag 16 februari 2005 @ 22:32:
[...]

ik denk persoonlijk dat veel tweakers tegenwoordig niet meer het DOS tijdperk hebben meegemaakt. En ook niet de vechtpartijen met dos progs onder win95. Overigens miet je nog steeds denken ikke nie kennen ikke nie openen

Dat kan wel. Ik ben met DOS 6.0 begonnen met computers
Toch had ik wel gedacht dat bijna iedereen wist dat *.pif bestanden in een URL/e-mail bijlage zoiezo verdacht zijn

Ja precies.. ik kreeg 'm 2 keer en bij de 1ste keer wist ik al dat het om een virus zou gaan.

Ik werd vanavond bij een pc geroepen omdat MS spyware vreemde meldingen gaf.

Het bleek dat iemand via msn een bestand zat te versturen naar mensen wat zich op de @home servers stond. Doe maar niet
http://virusscan.jotti.org/ geeft op het bestand helemaal niks (sexy.pif) en ook symantec antivirus geeft geen virus activiteit.
Er wordt een bestand aangemaakt en opgestart doit.exe dat zich bevindt in c:\windows\system32\
Symantec vangt dit bestand wel af dmv zijn bloodhound engine.
Dit is natuurlijk niet voldoende want deze wordt elke als je opstart er weer neergezet.

Iemand die dit vandaag ook al heeft meegemaakt?

[ Voor 7% gewijzigd door pasta op 21-02-2005 00:26 ]

Verwijderd schreef op maandag 21 februari 2005 @ 00:23:
Het bleek dat iemand via msn een bestand zat te versturen naar mensen wat zich op de @home servers stond.

Hmm, dat is geen bropia variant.
Het gaat om een sfx archive welke de volgende malware bevat:

Trojan-Clicker.Win32.VB.ga
Backdoor.Win32.Rbot.ja
Backdoor.Win32.Wootbot.ar

He, een leuk linkje... laat ik daareens op klikken.
Veel besmettingen worden veroorzaakt door de natuurlijke drang van nieuwsgierigheid.

Wil niet zeggen dat ik nooit besmet ben geweest. (in het verleden)

Ik zie toevallig de waarschuwing op waarschuwingsdienst.nl voorbij komen: http://www.waarschuwingsd...der.html?it=1113&cid=1039

Zij waarschuwden er op 3 febuari al voor.

LaMa ... dit gat om de F-variant, niet om de G-variant.

[ Voor 15% gewijzigd door pven op 21-02-2005 18:31 ]

Mja in de tussentijd is er al weer een nieuwe gevonden.
Wederom gehost op een .nl domain..

pifje @ http://www.mardecristal.nl is na telefoontje met administrative contact opgelost

Hm... En het leeft weer
Mailtje naar Chello is onderweg

nieuwe versie ?
X X X /massive-turd.pif
???

Fijn, weer een nieuwe
paris-hilton.pif en wederom van een chello adres
weet iemand welke worm dit is ?
en waarmee die te verwijderen valt ?

Een maat van mij had net dus ook op zo'n link geklikt.. en was dus naar iedereen in zijn lijst aan het doorsturen, Verschillende icoontjes en wormen probeerden allerlei zaakjes uit te voeren en outlook kwam met de melding dat een applicatie gebruik van de email contact personen lijst gebruik van wou maken, toen was het dus toch mooi tijd een housecalletje te doen en idd 6 wormen in een uur tijd gevonden

Ik snap ook niet dat norton dit allemaal niet doorheeft... Is 2005 / Up to date maar realtime schijnt ie nix te kunnen zien

anyway opgelost en hij zal nooit meer linkjes met .pif aannemen

wat doet een .pif normaal eigenlijk ? wat voor extensie is het?

HeefStan schreef op maandag 21 februari 2005 @ 23:20:
wat doet een .pif normaal eigenlijk ? wat voor extensie is het?

Een ms-dos snelkoppeling, werdt gebruik in tijden van windows 95 / 98 / 2000 / ME.

ook in xp.

Norton Antivirus herkende dit virus bij mij niet, dus dat was voor mij de reden om NAV er meteen maar af te gooien en te vervangen. Dit is namelijk de derde keer dat hij een soortgelijk virus niet herkend. Bij mij heette het trouwens 'funny.pif'

[ Voor 27% gewijzigd door Verwijderd op 22-02-2005 00:14 ]

Ik ga eens een bak bouwen en daarop express allemaal spyware en virussen / trojans instaleren en kijken hoelang het duurt voordat het helemaal vast loopt...

Verwijderd schreef op dinsdag 22 februari 2005 @ 00:13:
Norton Antivirus herkende dit virus bij mij niet, dus dat was voor mij de reden om NAV er meteen maar af te gooien en te vervangen. Dit is namelijk de derde keer dat hij een soortgelijk virus niet herkend. Bij mij heette het trouwens 'funny.pif'

Tja, als je 3 keer op rij een vreemde pif(!!) file opent, betwijfel ik of er een AV bestaat die je virusvrij kan houden.

Verwijderd schreef op dinsdag 22 februari 2005 @ 00:17:
Ik ga eens een bak bouwen en daarop express allemaal spyware en virussen / trojans instaleren en kijken hoelang het duurt voordat het helemaal vast loopt...

Zonder een vorm van analyse lijkt me dat niet echt nuttig

Verwijderd schreef op dinsdag 22 februari 2005 @ 00:19:
[...]

Tja, als je 3 keer op rij een vreemde pif(!!) file opent, betwijfel ik of er een AV bestaat die je virusvrij kan houden.

Ik ben niet helemaal bekend met alle afkortingen van bestanden, en al helemaal niet van virussen, dat is niet te doen in my opinion... daarnaast leuk het me een (onschuldig?) MS-DOS programma omdat NAV helemaal niet aangeeft dat het een virus is.

Nou, voor de mensen met Norton/Symantec: Download HIER (FTP Symantec) de allernieuwste virusdefinities (21-02-2005 rev. 22 23). Met het standaard liveupdate krijg je maar 21-02-2005 rev. 08.

Symantec/Norton herkent dan zo'n Pif-bestand als W32.Bropia.P:

[ Voor 12% gewijzigd door Klovan op 22-02-2005 01:33 . Reden: Nieuwe versie update ]

<!-- Ik kreeg vandaag massive-turd.pif. Mcafee herkent deze nog niet, Kaspersky wel. Maar voor de nieuwsgierigen onder ons, je krijgt het volgende plaatje:



sexy.pif is gewoon een jpeg plaatje (rename maar), dan krijg je deze:



En dan heb je nog hot.pif wat een installatie progsel tevoorschijn tovert.

Heeft iemand handcuffs.pif nog voor mij? Ik spaar ze allemaal


Discaimer voor de mods: de foto's zijn niet bedoeld om pr0n te posten, maar om de inhoud van bestanden te weergeven. -->Doe toch maar niet.

[ Voor 5% gewijzigd door pasta op 22-02-2005 17:20 ]

Verwijderd schreef op maandag 21 februari 2005 @ 23:21:
[...]


Een ms-dos snelkoppeling, werdt gebruik in tijden van windows 95 / 98 / 2000 / ME.

ook in xp.

volgens mij vooral in windows 3.1(1), ik dacht dat vanaf win95/98 de functies van een .pif gewoon in een .lnk zitten... Ik gebruik voor ms-dos progs in ieder geval GEEN pif maar gewoon een .lnk

DataGhost schreef op dinsdag 22 februari 2005 @ 06:32:
[...]

volgens mij vooral in windows 3.1(1), ik dacht dat vanaf win95/98 de functies van een .pif gewoon in een .lnk zitten... Ik gebruik voor ms-dos progs in ieder geval GEEN pif maar gewoon een .lnk

Volgens mij heb jij gelijk

pif was een 3.11 shortcut voor een dos applicatie, maar wordt wel nog steeds gebruikt In xp en downwards.

Ik heb windows xp met sp2 en heb ook het virus binnen gekregen.
Windows firewall hield heb tegen.
Maar ik was zo dom om op blokkering opheffen te klikken.
Dus ik heb f-prot gedraait maar die zegt alleen maar dat hij verdachte file heeft gevonden?
Toch maar symantec removal tool gedraait. die zegt weer dat er niks gevonden werd.
Dus heb ik maar alles met de hand op gezocht alleen wil ik even weten waar het virus zijn bestanden opslaat want dan kan ik alles nog even controleren.

ken veel mensen die het virus hadden en omdat ze allemaal nik svan computers snappen vragen ze altijd aan mij wat te doen.

vandaar dat ik toen ik gister de link kreeg hem maar ff aanklikt en ja een sexy plaatje en de dos applicatie begint en ping virus.msn deed het niet meer en hij stuurde naar iedereen in mijn lijst wat.

norton 2005 deed er in ieder geval niets tegen. mooi dacht ik ff kijken hoe we het kunnen verhelpen dan kan ik mijn vrienden ook helpen.

net nadat ik op de link heb geklikt melde norton dat winis.exe een verbinding wilde maken, die heb ik dus maar ff geblokkeerd want vond het wel genoeg zo.

meteen de nieuwste verwijdertool gedownt en mijn definities geupdate.
alles gedraaid maar hij kon geen virus vinden.

heb in de map c:/windows/....... prefetch een bestand evrwijderd waarin winis stond met nog veel andere rare tekens.


nu wil ik eigenlijk weten of ik nu wel of niet dit virus heb omdat hij niks vind?
ik weet dat de virusscanner hem misschien nog niet herkent.

zit nu op m;n werk vandaar de vraag dan weet ik of ik vanavond wat te doen heb

de mzzl

....
Wrong button

[ Voor 96% gewijzigd door Outerspace op 22-02-2005 10:08 ]

Verwijderd schreef op dinsdag 22 februari 2005 @ 10:01:
ken veel mensen die het virus hadden en omdat ze allemaal nik svan computers snappen vragen ze altijd aan mij wat te doen.

vandaar dat ik toen ik gister de link kreeg hem maar ff aanklikt en ja een sexy plaatje en de dos applicatie begint en ping virus.msn deed het niet meer en hij stuurde naar iedereen in mijn lijst wat.

norton 2005 deed er in ieder geval niets tegen. mooi dacht ik ff kijken hoe we het kunnen verhelpen dan kan ik mijn vrienden ook helpen.

net nadat ik op de link heb geklikt melde norton dat winis.exe een verbinding wilde maken, die heb ik dus maar ff geblokkeerd want vond het wel genoeg zo.

meteen de nieuwste verwijdertool gedownt en mijn definities geupdate.
alles gedraaid maar hij kon geen virus vinden.

heb in de map c:/windows/....... prefetch een bestand evrwijderd waarin winis stond met nog veel andere rare tekens.


nu wil ik eigenlijk weten of ik nu wel of niet dit virus heb omdat hij niks vind?
ik weet dat de virusscanner hem misschien nog niet herkent.

zit nu op m;n werk vandaar de vraag dan weet ik of ik vanavond wat te doen heb

de mzzl

is dus precies wat ik ook gedaan heb
alleen waren het bij mij 2 bestanden

Verwijderd schreef op dinsdag 22 februari 2005 @ 06:34:
[...]


Volgens mij heb jij gelijk

pif was een 3.11 shortcut voor een dos applicatie, maar wordt wel nog steeds gebruikt In xp en downwards.

PIF was niet alleen een shortcut.

PIF = Program Information File. In Windows 3.x werd die niet alleen voor shortcut gebruikt, maar ook om een bepaalde hoeveelheid geheugen aan de applicatie toe te kennen, welk font hij moest gebruiken, hoeveel regels er in de commandprompt werden gebruikt en meer van die dingen. Word niet meer gebruikt tegenwoordig, maar de support zit er idd nog in vanwege backwards compatibility.

Een .LNK bevat niet al deze functionaliteit, maar een deel. De rest word tegenwoordig namelijk door Windows zelf automatisch afgehandeld, of je kan het via de registry beinvloeden.

Ik heb Mcafee mijn sample gestuurd en ze hebben een paar uur later een nieuwe defenitie bestand gestuurd:

Copy pasta de code en noem het bestand EXTRA.DAT

Zet deze in de map waar SCAN.DAT zit. En je kunt deze virus verwijderen.

heb dus norton 2005 met de nieuwste definities en de bropia verwijdertools van de symantec site gedownload en gedraaid en hij kon geen virus vinden.

normaal ben ik hier blij om maar nu dus even niet omdat ik die link heb aangeklikt.

heb ik nu dus wel of niet het virus?? en hoe weet ik dat zeker.

gister wel nog meer dan 30 minuten met iemand op msn gezeten nadat ik op de link had geklikt en die kreeg geen link naar het virus doorgestuurd. betekent dit dat ik niks heb?

toch vreemd dat ik niet blij ben dat er geen virus wordt gevonden

Het is een hele recente virus, dus de kans is wel groot dat je besmet bent als je het aangeklikt hebt. De definities van Mcafee zijn ook nog niet publiekelijk verkrijgbaar. Je zou Kaspersky kunnen installleren, deze detecteert het wel. Of je kopieert en plakt de bovenstaande definitie als je Mcafee hebt.

MORCIK schreef op dinsdag 22 februari 2005 @ 10:45:
Ik heb Mcafee mijn sample gestuurd en ze hebben een paar uur later een nieuwe defenitie bestand gestuurd:

Copy pasta de code en noem het bestand EXTRA.DAT

Zet deze in de map waar SCAN.DAT zit. En je kunt deze virus verwijderen.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

53 178 136 180 77 179 192 135 141 49 205 179 158 52 141 243 141 115 141 254 87 176 143 143 13 25 14 177 133 51 40 183 168 150 40 22 126 72 86 178 6 232 140 164 0 177 136 179 242 204 140 179 25 52 3964 256 12900 340 M4 355 178 159 179 77 51 218 128 63 28 207 193 98 67 228 210 35 68 226 193 96 160 138 180 77 51 141 179 230 50 30 180 10 115 141 179 13 91 140 76 12 71 114 183 156 49 140 178 142 49 205 179 232 35 152 213 26 197 159 78 158 244 177 0 1 225 77 83 94 234 104 163 27 127 53 173 183 175 53 118 213 112 35 252 253 116 238 192 215 50 134 48 15 115 141 76 6 193 132 76 12 144 40 85 168 195 40 69 121 176 143 163 13 242 137 163 13 219 114 114 11 43 141 234 144 151 28 199 242 33 108 163 29 51 141 179 13 253 140 180 143 219 142 179 5 59 141 179 242 33 108 163 29 51 141 179 13 213 140 184 235 91 80 178 5 50 140 179 242 33 108 163 29 51 141 179 225 227 143 180 99 197 141 179 5 59 141 179 242 33 108 163 29 51 140 179 49 217 140 184 67 230 85 178 5 50 140 179 242 33 108 163 29 51 141 179 13 211 140 180 143 245 142 179 5 59 141 179 242 33 108 163 29 51 141 179 13 171 143 180 143 141 141 179 5 59 141 179 242 33 108 163 29 51 141 179 13 153 140 150 239 66 234 114 117 42 128 163 0 177 139 178 107 182 230 76 14 177 139 178 106 224 232 76 14 177 139 178 101 92 159 76 14 177 139 178 100 212 196 76 14 177 139 178 103 60 205 76 14 177 139 178 102 176 206 76 14 177 139 178 97 52 197 76 14 177 139 178 98 34 253 76 14 177 139 178 125 37 237 76 14 177 139 178 124 199 203 76 14 39 64 177 10 51 195 180 28634 256 12900 340 W32/Bropia.worm

De beschrijving van deze variant is inmiddels ook online: http://vil.nai.com/vil/content/v_131872.htm

Ik heb er dus op geklikt...ik denk omdat ik de link van een goede bekende, non-computern00b, kreeg. McAfee begon te brullen "unwanted program dit dat", dus gelukkig niks gebeurt maar ik ga nu dus echt niet meer zomaar linkje klikken enzo

MORCIK schreef op dinsdag 22 februari 2005 @ 10:45:
Ik heb Mcafee mijn sample gestuurd en ze hebben een paar uur later een nieuwe defenitie bestand gestuurd:

Copy pasta de code en noem het bestand EXTRA.DAT

Zet deze in de map waar SCAN.DAT zit. En je kunt deze virus verwijderen.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

53 178 136 180 77 179 192 135 141 49 205 179 158 52 141 243 141 115 141 254 87 176 143 143 13 25 14 177 133 51 40 183 168 150 40 22 126 72 86 178 6 232 140 164 0 177 136 179 242 204 140 179 25 52 3964 256 12900 340 M4 355 178 159 179 77 51 218 128 63 28 207 193 98 67 228 210 35 68 226 193 96 160 138 180 77 51 141 179 230 50 30 180 10 115 141 179 13 91 140 76 12 71 114 183 156 49 140 178 142 49 205 179 232 35 152 213 26 197 159 78 158 244 177 0 1 225 77 83 94 234 104 163 27 127 53 173 183 175 53 118 213 112 35 252 253 116 238 192 215 50 134 48 15 115 141 76 6 193 132 76 12 144 40 85 168 195 40 69 121 176 143 163 13 242 137 163 13 219 114 114 11 43 141 234 144 151 28 199 242 33 108 163 29 51 141 179 13 253 140 180 143 219 142 179 5 59 141 179 242 33 108 163 29 51 141 179 13 213 140 184 235 91 80 178 5 50 140 179 242 33 108 163 29 51 141 179 225 227 143 180 99 197 141 179 5 59 141 179 242 33 108 163 29 51 140 179 49 217 140 184 67 230 85 178 5 50 140 179 242 33 108 163 29 51 141 179 13 211 140 180 143 245 142 179 5 59 141 179 242 33 108 163 29 51 141 179 13 171 143 180 143 141 141 179 5 59 141 179 242 33 108 163 29 51 141 179 13 153 140 150 239 66 234 114 117 42 128 163 0 177 139 178 107 182 230 76 14 177 139 178 106 224 232 76 14 177 139 178 101 92 159 76 14 177 139 178 100 212 196 76 14 177 139 178 103 60 205 76 14 177 139 178 102 176 206 76 14 177 139 178 97 52 197 76 14 177 139 178 98 34 253 76 14 177 139 178 125 37 237 76 14 177 139 178 124 199 203 76 14 39 64 177 10 51 195 180 28634 256 12900 340 W32/Bropia.worm

In welke map staat SCAN.DAT Ik kan het bestand niet vinden met de "windows zoekmachine".

EDIT: 2x gevonden, stond ergens in "Common Files" en in twee folders dus EXTRA.DAT erbij gezet. Wat nu? De WINDOWS map scannen? Vreemde is dat ik wel die registerdingen heb maar geen WINIS.exe...
EDIT 2: Hij prompte dus net en er stond bij "deleted" dus ik neem aan dat t gefioxt is...gode zij dank.

[ Voor 91% gewijzigd door sjaakaq op 22-02-2005 14:05 ]

Chips.. dit is het dus.
Ik had al gemerkt dat ze op het werk de interne msn (die alleen met de exchange adressen werkt) al uitgezet hadden. Zal wel poosje duren voordat die weer up is....

Nu zoiets het niet meer doet merk je pas hoe msn al een behoorlijk groot onderdeel van de bedrijfscommunicatie geworden is, Ik moet nu ineens veel meer mailen en bellen.....

Nieuwe versie is weer on the loose:
-rw-r--r-- 1 valhallasw users 46082 Mar 6 20:58 cute.pif


mailtje naar AT&T (dat is de hoster ditmaal) verstuurd

Thank you for your report to the AT&T Internet Investigations and Security
Services Team. This is an auto-generated response to confirm that we have
received your report, which will be personally investigated by an analyst
within 2 business days.

laten we hopen dat ze sneller zijn dan 2 werkdagen

Het is een 'nieuwe oude' variant.

Het is een repack van IM-Worm.Win32.Kelvir.a - gepackt met een hacked UPX.

er is een nieuwe actief:

omg this is funny! http://niet boeiend.pif

hij heet iig Cute.pif

[ Voor 38% gewijzigd door Utopist op 06-03-2005 22:28 ]

http://www.viruslist.com/...ncyclopedia?virusid=74494
dus

hij wordt door avast nog niet herkend iig, wel opgestuurd... wget is heerlijk voor dit soort dingen

virus@kasperskylab toegevoegd aan virus notify mailadressen, ik neem aan dattie daar niet meer naar toe hoeft?

utopist: zei ik niet ook al zoiets?

[ Voor 22% gewijzigd door ValHallASW op 06-03-2005 22:38 . Reden: toevoeging mailshizzle ]

ValHallASW schreef op zondag 06 maart 2005 @ 22:36:
utopist: zei ik niet ook al zoiets?

ow ja, Sheisse! haha, ik had naar de post erboven gekeken, en zag dat die van de 22ste was, heb je post dus over het hoofd gezien

Maar goed. dit keer ben ik slim geweest, en heb ik hem niet geopend, en heb ik me weer héél wat ellende bespaard (zie pagina 2 van deze topic)

ValHallASW schreef op zondag 06 maart 2005 @ 22:36:
virus@kasperskylab toegevoegd aan virus notify mailadressen, ik neem aan dattie daar niet meer naar toe hoeft?

Nee dat hoeft niet, we hebben de sample al.

De IM-Worm installeert trouwens nog een Backdoor, zoals de meeste IM-Worms doen.

[ Voor 12% gewijzigd door Verwijderd op 07-03-2005 10:18 ]

Een paar dagen geleden had ik al een topic geopent over een Bropia-variant (sorry btw daarvoor ),
iig, nu komt weer iemand op mn msn aanzetten met een andere aanpak dan dat ik eerst zag.

In dat topic omschreef ik hoe iemand me (ongemerkt) een url gaf naar een .pif file,

maar deze x (zoals je kunt zien) kreeg ik (extensie-loze?) bestanden van 17kb toegestuurd..
Die dude kwam online, bood me 3 files aan, met een interval van 5sec ofzo..

ik neem aan dat het ook dit keer om een Bropia-variant gaat?
dit begint wel een beetje om zich heen te grijpen, of zie ik dit verkeerd??

Ik kreeg vandaag ook voor het eerst allemaal aanbieding van kikkers en bananen en elvis enzo.
Zoals hierboven.
Uiteraard open ik het niet, maar ik snap niet dat er mensen zijn die zoiets gewoon accepteren.

johnuitalmelo schreef op maandag 07 maart 2005 @ 19:11:
Een paar dagen geleden had ik al een topic geopent over een
maar deze x (zoals je kunt zien) kreeg ik (extensie-loze?) bestanden van 17kb toegestuurd..

.pif extensie wordt standaard verborgen in Windows, je moet een regkey verwijderen om die te laten zien...

dit begint wel een beetje om zich heen te grijpen, of zie ik dit verkeerd??

Nee, je ziet het niet verkeerd.
Vandaag wat op ons weblog over geschreven wat wel interessant kan zijn. klik

Zojuist is er trouwens nog een nieuwe Kelvir variant ontdekt.

Er is dus gewoon nog geen manier om de nieuwe versie te verwijderen

Edit

Oplossing geloofik

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

[ Voor 37% gewijzigd door Micha op 07-03-2005 19:52 ]

MicDis schreef op maandag 07 maart 2005 @ 19:44:
Er is dus gewoon nog geen manier om de nieuwe versie te verwijderen

Edit

Oplossing geloofik

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

Wordt afgesloten voor ik hem kan openen.

Verwijderd schreef op maandag 07 maart 2005 @ 19:56:
[...]

Wordt afgesloten voor ik hem kan openen.

IM-Worm.Win32.Sumom.a doet nogal wat moeite om op het systeem te blijven.
Probeer het eens in safe mode.

Geloof dat het is opgelost. Althans, alles lijkt weer gewoon te draaien. Geloof ook niet dat het zich via netwerk heeft verspreid. Enige wat niet helemaal tof eruit zag was: WORM_FATSO.A[virus clean failed], maar denk niet dat dit een probleem is toch?

Naar he!
http://securityresponse.s....html#removalinstructions
Dat heb ik zo'n beetje opgevolgd.
Nu kan mn zus tenminste een virusscanner de klus laten afmaken

Zou iemand misschien de tekst uit de laatste link hier kunnen neerzetten want door dit virus kan ik die pagina niet bekijken (Google
Error


Not Found
The requested URL /avcenter/venc/data/w32.serflog.a.html was not found on this server. )

het virus gooit alle securitysites over naar google

ff je hosts file leegmaken en het probleem is opgelost dat je naar google wordt geredirect

En er is wéér een nieuwe Bropia variant gesignaleerd...

meer mensen last van traag of geen internet?

mn pc is snel, en mn geinfecteerde laptop is traag

Reanimation schreef op maandag 07 maart 2005 @ 20:53:
Zou iemand misschien de tekst uit de laatste link hier kunnen neerzetten want door dit virus kan ik die pagina niet bekijken (Google
Error


Not Found
The requested URL /avcenter/venc/data/w32.serflog.a.html was not found on this server. )

het virus gooit alle securitysites over naar google

Ja, hij past je hosts file aan. Reboot in veilige modus, eventueel met netwerkondersteuning, hosts file handmatig cleanen en dan de rest...

Tooltje van Trendmicro werkt prima (die hierboven gepost is). Alleen staat die dus op een geblokkeerd URL Ik heb 'm daarom gemirrored op een url wat niet door t virus geblokkeerd is zodat je 'm kan downloaden.
Heb m meteen msn-n00b aangepast: zipje veranderd in een self-extracting ding, met een snelkoppeling op buroblad erbij

Mirrors:
http://files.djsmiley.com/tsc.exe
http://www.xs4all.nl/~mozteke/tsc.exe
http://home.caiway.nl/~paulmax/tsc.exe

btw: heb niet getest of ie ook in normale modus goed scanned of dat je t vanuit veilige modus moet doen.

[ Voor 29% gewijzigd door DJSmiley op 07-03-2005 21:52 ]

Ik weet niet zeker of er iets staat op m'n pc. Heb gisteren en eergisteren 2 keer een bestandje doorgestuurd gekregen van goede vrienden. De eerste keer waren die fameuze pif bestandjes, daar heb ik gewoon op geklikt (gewoon int midden van een gesprek) . Maar die stonden dan op mijn bureaublad, en dat waren msdos icoontjes... Die heb ik dan maar ge-shift-deleted. Vandaag 2 17 kb bestandjes (ook weer gedownload, ook weer int midden van een gesprek), maar toen hij downloadde een mega virus warning van norton "het bestand is verwijderd". Dus ik ben nu wel vrij gerust, omdat regedit enzo nog werkt internet werkt nog, ik kan ook restarten enzo ... Alleen MSN werkt op dit moment niet "je lijst van contactpersonen is niet beschikbaar". Is dat normaal? Of is het gewoon de server van MSN die platligt of zo?

http://messenger.msn.nl/Status.aspx

Oef, MSN werkt terug. Volgens mij ben ik de dans -voorlopig-ontsprongen. Heil Norton Antivirus

ik ben mn laptop maar opnieuw aan het installeren (dikke format)

nix werkt meer Mcafee heeft em niet afgevangen, bedankt

Mn hele wlan maakt geen verbinding meer, en als ie verbindin heeft doet ie net niets

Verwijderd schreef op maandag 07 maart 2005 @ 22:32:
ik ben mn laptop maar opnieuw aan het installeren (dikke format)

nix werkt meer Mcafee heeft em niet afgevangen, bedankt

Mn hele wlan maakt geen verbinding meer, en als ie verbindin heeft doet ie net niets

mjah, beetje overkill hoor, format voor een "relatief" simpel virusje...

wlan dat niet werkt, dan druk je er toch een utp kabel in? En removal tool kun je wel op een USB pen/ CDRW oid zetten, en desnoods duik je handmatig je registry in.....

* DJSmiley ff een verhaaltje gemaakt, al die dozen op msn vragen nu hoe ie eraf moet, doen ze maar lekker zelf...
http://www.djsmiley.com/virusverwijderen/

DJSmiley schreef op maandag 07 maart 2005 @ 22:36:
[...]


mjah, beetje overkill hoor, format voor een "relatief" simpel virusje...

Je weet precies wat deze Worm, de bijbehorende en mogelijk gedownloade malware doen?

* DJSmiley ff een verhaaltje gemaakt, al die dozen op msn vragen nu hoe ie eraf moet, doen ze maar lekker zelf...
http://www.djsmiley.com/virusverwijderen/

Detecteert Trend alle varianten en alles wat (mogelijk) gedownload wordt?

Verwijderd schreef op maandag 07 maart 2005 @ 22:45:
[...]

Je weet precies wat deze Worm, de bijbehorende en mogelijk gedownloade malware doen?

[...]

Detecteert Trend alle varianten en alles wat (mogelijk) gedownload wordt?

nee.
ik kreeg er alleen dat virus mee weg en nog wat rommel. iig genoeg om weer fatsoenlijk te werken, de rest doen ze maar lekker zelf met adaware/virusscanner enz.


wat ik bedoelde was dat een format (wat natuurlijk wel het beste is, ben je gegarandeerd van je zooi af) wel misschien een erg agressieve oplossing van het probleem is

[ Voor 17% gewijzigd door DJSmiley op 07-03-2005 22:48 ]

ik heb 'm maar 1 keer gehad van iemand, 4 files... later snapte ze ook dat ze besmet was.

Zodra je het hebt gaat het naar al je contactpersonen sturen

heel vervelend.

DJSmiley schreef op maandag 07 maart 2005 @ 22:36:
[...]


mjah, beetje overkill hoor, format voor een "relatief" simpel virusje...

wlan dat niet werkt, dan druk je er toch een utp kabel in? En removal tool kun je wel op een USB pen/ CDRW oid zetten, en desnoods duik je handmatig je registry in.....

* DJSmiley ff een verhaaltje gemaakt, al die dozen op msn vragen nu hoe ie eraf moet, doen ze maar lekker zelf...
http://www.djsmiley.com/virusverwijderen/

Virus was er dus al af he, en toen bleef ie nog steeds aan stront...

Hoi allemaal, ik zie net dit topic en heb even geen zin om alles te gaan lezen.

In de 'eerste ronde' van dat handcups.pif heb ik dat ding dus ook gedownload. Op het moment dat er een heleboel vensters geopend werden, deed ik ctr-alt-del. Nu is mijn vraag: heb ik nu ook een virus? En weten jullie misschien een goede gratis virusscanner, omdat ik mijn mc affee niet meer kan updaten?

ga naar google.com en zoek op antivir
eerste hit = gratis virusscanner die ook deze variant eruit pikt

dank je

vandaag bij mijn zusje deze worm: w32.serflog.a verwijderd. Dit virus lijkt heel veel op het hier beschreven virus ook met een zooi *.pif bestanden en hele mikmak meer, voor meer info: http://www.symantec.com/a...c/data/w32.serflog.a.html

The_Scarabial schreef op dinsdag 08 maart 2005 @ 18:52:
vandaag bij mijn zusje deze worm: w32.serflog.a verwijderd. Dit virus lijkt heel veel op het hier beschreven virus ook met een zooi *.pif bestanden en hele mikmak meer, voor meer info: http://www.symantec.com/a...c/data/w32.serflog.a.html

Ik zie dat Symantec inmiddels ook een removal tooltje beschikbaar heeft:
http://securityresponse.symantec.com/avcenter/FixSflog.exe

DJSmiley schreef op maandag 07 maart 2005 @ 22:36:
[...]


mjah, beetje overkill hoor, format voor een "relatief" simpel virusje...

wlan dat niet werkt, dan druk je er toch een utp kabel in? En removal tool kun je wel op een USB pen/ CDRW oid zetten, en desnoods duik je handmatig je registry in.....

* DJSmiley ff een verhaaltje gemaakt, al die dozen op msn vragen nu hoe ie eraf moet, doen ze maar lekker zelf...
http://www.djsmiley.com/virusverwijderen/

Misschien toch handig om erbij te zetten dan er daarna nog wel extra scans met een (online) virusscanner en een spywarescanner (bijv HitmanPro ) gewenst zijn. Je zegt zelf al wel dat ze dat zelf nog moeten doen, maar da's niet voor iedereen even evident
Link zwerft namelijk inmiddels ook op andere Nederlandse fora rond (oa partyflock).


Inmiddels is er trouwens ook een Nederlandse removalinstructie:
http://www.virushelp.nl/serflog.htm

[ Voor 3% gewijzigd door Sassie op 09-03-2005 14:21 ]

DJSmiley schreef op maandag 07 maart 2005 @ 21:32:
[...]
...
Heb m meteen msn-n00b aangepast: zipje veranderd in een self-extracting ding, met een snelkoppeling op buroblad erbij

....

Merci, want ik heb hier ook zo'n paar n00b's van het ergste niveau, en dat kunnen ze nog net

Ik ben volgens mij zojuist het slachtoffer van een lek in messenger geworden. Het volgende is gebeurd: Messenger kwam met een popup venster. Deze werd meteen weggeklikt zonder dat ik iets deed. En vervolgens werden continu internet explorers geopend. Echt honderden achter elkaar. Dit terwijl ik geen links heb aangeklikt. Ik hang achter een PIX, op het systeem draait mcafee anti virus. Op het systeem draait ook nog Kerio. Ik ben vrij paranoide als het aan komt op de veiligheid van computer systemen. Alle patches zijn geinstalleerd. Ik accepteer nooit software of links van untrusted sites. Ik download nooit zomaar bestanden. Ik dacht het te snel af te zijn door de processen te killen. Maar vandaag werd toch echt mijn msn account op een andere locatie geopend.

Mijn wachtwoorden en geheime vragen zijn niet te raden. telt zowel kleine als hoofdletters cijfers en speciale tekens. Het antwoord van mijn geheime vraag heeft ook totaal niks met de vraag te maken. Al met al lijkt het uit te sluiten dat er iets op mijn pc is geinstalleerd. Vandaar mijn vermoeden dat het een lek in msn betreft. Alle bekende zoektochten heb ik al gehad. Denk hierbij aan hijack this, msconfig na pluizen. Autoexec.bat en dergelijke doorzoeken. Maar dit leverde niks op. Ik sta hier voor een raadsel. Mijn account heb ik verder netjes terug. Dus veel schade heb ik niet geleden maar toch zit e dit dwars.

Nu weet ik dat dit weinig van doen heeft met dit virus. Maar komt dit iemand ook maar enigsinds bekend voor?

dus als ik scan met trend micro moet hij die virus normaal vinden?

DJSmiley schreef op maandag 07 maart 2005 @ 21:32:
[...]


Ja, hij past je hosts file aan. Reboot in veilige modus, eventueel met netwerkondersteuning, hosts file handmatig cleanen en dan de rest...

Tooltje van Trendmicro werkt prima (die hierboven gepost is). Alleen staat die dus op een geblokkeerd URL Ik heb 'm daarom gemirrored op een url wat niet door t virus geblokkeerd is zodat je 'm kan downloaden.
Heb m meteen msn-n00b aangepast: zipje veranderd in een self-extracting ding, met een snelkoppeling op buroblad erbij

Mirrors:
http://files.djsmiley.com/tsc.exe
http://www.xs4all.nl/~mozteke/tsc.exe
http://home.caiway.nl/~paulmax/tsc.exe

btw: heb niet getest of ie ook in normale modus goed scanned of dat je t vanuit veilige modus moet doen.

Mijn buurjongen heeft zelf deze errors:

-Geen gesprekken starten, of ontvangen
-Om de 5 minuten stuurt hij naar iedereen die online is een plaatje
-Als je op internet het woord virus zoekt, sluit hij IE af
-Norton start niet meer op
-Volle Host-lijst (reeds al handmatig verwijderd)

werkt deze fix hier ook tegen?

[ Voor 3% gewijzigd door Verwijderd op 19-03-2005 11:07 ]

Verwijderd schreef op zaterdag 19 maart 2005 @ 10:57:
[...]
-Als je op internet het woord virus zoekt, sluit hij IE af

Whahahahaha

(sorry, ik vind dit wel heel erg lachwekkend... )

Verwijderd schreef op zaterdag 19 maart 2005 @ 10:57:
[...]

Mijn buurjongen heeft zelf deze errors:

-Geen gesprekken starten, of ontvangen
-Om de 5 minuten stuurt hij naar iedereen die online is een plaatje
-Als je op internet het woord virus zoekt, sluit hij IE af
-Norton start niet meer op
-Volle Host-lijst (reeds al handmatig verwijderd)

werkt deze fix hier ook tegen?

Klinkt idd als serflog. Op www.virushelp.nl/serflog.htm staat een tooltje van Symantec wat iets handiger werkt, gewoon runnen en gaan. Daarna met een volledige scan de pc op alle overige rommel nalopen.

Thanks! Zeer bedankt Lol, ook die tool word door windows afgesloten hoor ik. Maar even downloaden, renamen naar rekenprogramma.exe en uploaden naar een ander domein (ik zie hier een hele blacklist van woorden staan )

Verwijderd schreef op zaterdag 19 maart 2005 @ 11:39:
Thanks! Zeer bedankt Lol, ook die tool word door windows afgesloten hoor ik. Maar even downloaden, renamen naar rekenprogramma.exe en uploaden naar een ander domein (ik zie hier een hele blacklist van woorden staan )

virushelp.nl heeft een oudere versie dan Symantec...

http://securityresponse.symantec.com/avcenter/FixSflog.exe

Op dit moment is 1.1.2 de meest actuele. Ik heb m ff gemirrored (omdat symantec.com niet te benaderen is op een besmette pc): http://files.djsmiley.com/FixSflog.exe

The Legend schreef op maandag 30 mei 2005 @ 23:06:
[...]


Ik heb 5.0.20, probeer nu deze ff. Dat andere topic is precies hetzelfde wat ik heb btw..

Yup, redelijke (lokale) epidemie.

Mijn hele System32 map is trouwens verdwenen, dat lijkt me ook niet echt een goed teken eigenlijk?

Stealth gemaakt door Backdoor.Win32.HacDef.ad..

Verwijderd schreef op maandag 30 mei 2005 @ 23:22:
[...]

Yup, redelijke (lokale) epidemie.

[...]

Stealth gemaakt door Backdoor.Win32.HacDef.ad..

Hmmkej.. die versie van jou Kaspersky geeft ook aan dat de definities meer dan een jaar oud zijn, updaten gaat zoals verwacht niet, hij draait dus wel maar heb er verdacht weinig aan..

Ik ga toch maar formatteren denk ik, tenzij je nog een geniale oplossing hebt

Ik heb even wat posts afgesplitst naar een nieuw topic