Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.
Toon posts:

[malware] O.a. rootkit en IM-worm

Pagina: 1
Acties:
  • 981 views sinds 30-01-2008

maandag 30 mei 2005 12:29

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Modbreak:Dit topic is afgesplitst van [rml][ MSN] Bropia-varianten (handcuffs.pif)[/rml]

Ik kreeg laats weer es wat doorgestuurt "Check deze site www.[..]/funny.flash.movie.pif.. zonder na te denken ram ik op de link en hatseflats, autoexecute. Nu flipt mn PC nogal en ik zag net in m'n processen wat heen en weer vliegen: sirh0t32.pif. Nu geeft google en got geen enkele hit op 1 van deze .pif's. Online virusscan met housecall levert niets op, Hitmanpro vindt ook niets en een trial versie van Norton Antivirus 2005 kan geen liveupdate doen omdat de hostnames zijn verandert in 127.0.0.1 :(

Hoe kom ik van dat virus/trojan af? ;(

[edit]

Post stond eerst in verkeerd topic, had dit subfora nog niet eens gezien :X Heb inmiddels dat serflog tooltje gedraait maar die heeft niets gevonden.

[ Voor 8% gewijzigd door pasta op 31-05-2005 00:16 ]

Ik ben toch malle pietje niet!

maandag 30 mei 2005 12:30

Acties:
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 13:08

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

The Legend schreef op maandag 30 mei 2005 @ 12:29:
Ik kreeg laats weer es wat doorgestuurt "Check deze site www.[..]/funny.flash.movie.pif.. zonder na te denken ram ik op de link en hatseflats, autoexecute. Nu flipt mn PC nogal en ik zag net in m'n processen wat heen en weer vliegen: sirh0t32.pif. Nu geeft google en got geen enkele hit op 1 van deze .pif's. Online virusscan met housecall levert niets op, Hitmanpro vindt ook niets en een trial versie van Norton Antivirus 2005 kan geen liveupdate doen omdat de hostnames zijn verandert in 127.0.0.1 :(

Hoe kom ik van dat virus/trojan af? ;(

[edit]

Post stond eerst in verkeerd topic, had dit subfora nog niet eens gezien :X Heb inmiddels dat serflog tooltje gedraait maar die heeft niets gevonden.
Dit nog geprobeerd :?
outerspace schreef op maandag 30 mei 2005 @ 12:08:
Iig. Je moet eerst alle processen killen, msconfig (opstarten) bewerken.
Daarna kijken met Hijackhis en dingen verwijderen. Opnieuw opstarten , msconfig checken.
Als het goed is, ben je al heel wat kwijt. Daarna met Hitmanpro de restjes opruimen :)
Voor virussen moet je nog even naar Trendmicro ;)

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 30 mei 2005 12:32

Acties:
  • WimB
  • Registratie: Juli 2001
  • Laatst online: 30-03-2024

WimB

Heb je bij Hitman Pro de virusscan aangevinkt?

Probeer ook je PC eens online te scannen op http://housecall.trendmicro.com

maandag 30 mei 2005 12:38

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

outerspace schreef op maandag 30 mei 2005 @ 12:30:
[...]

Dit nog geprobeerd :?

[...]
Msconfig sluit gelijk als je het opent? Kan ik nix in veranderen dus.
WimB schreef op maandag 30 mei 2005 @ 12:32:
Heb je bij Hitman Pro de virusscan aangevinkt?

Probeer ook je PC eens online te scannen op http://housecall.trendmicro.com
Zowel Hitman als Housecall vinden niets zoals ook in mijn post vermeld staat :p

Ik ben toch malle pietje niet!

maandag 30 mei 2005 13:09

Acties:
  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 13:08

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

The Legend schreef op maandag 30 mei 2005 @ 12:38:
[...]


Msconfig sluit gelijk als je het opent? Kan ik nix in veranderen dus.


[...]


Zowel Hitman als Housecall vinden niets zoals ook in mijn post vermeld staat :p
In veilig modus alles al geprobeerd :?
Anders zou ik het ook niet weten hoe je dit moet oplossen.
wat je zou kunnen proberen is alle belangrijke bestanden downloaden (hijackthis, virusscan e.d) en dan je netwerkkabel eruit trekken, en dan alles opnieuw proberen. Misschien probeert die virus wel het internet te bereiken

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 30 mei 2005 13:19

Acties:

Verwijderd

Gezien de filename is het zeer waarschijnlijk een SdBot.
Vandaag een linkje van iemand op IRC gekregen welke linkt naar een SdBot variant met de kenmerken die je omschrijft.
code:
1

"ruEq:0041A0AC 00000017 C SDBoT Stable By sirh0t"

Deze SdBot is gepackt met UPX, Upolyx en Morphine, wat zou verklaren waarom de door jouw gebruikte producten het beestje niet detecteren.
De Bot bevat rootkit functionality dus enige voorzichtigheid is geboden, HT zal nutteloos zijn.

De info is echter speculatie aangezien nog niet vastgesteld kan worden of het om exact dezelfde variant gaat.

Ik zal eens kijken in hoeverre dit handmatig te verwijderen is.

maandag 30 mei 2005 14:49

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Deze SdBot is gepackt met UPX, Upolyx en Morphine, wat zou verklaren waarom de door jouw gebruikte producten het beestje niet detecteren.
De Bot bevat rootkit functionality dus enige voorzichtigheid is geboden, HT zal nutteloos zijn.
Dit is redelijk abracadabra voor mij :P UPX, Upolyx, Morphine, rootkit, HT? Ik ben een n00b op virus gebied, zit achter een linux server in een netwerk dus heb eigenlijk nooit last van virussen -> weet er veel te weinig van.. Dus als je het kan uitleggen in lekentaal, zou fijn zijn :*

Ik ben toch malle pietje niet!

maandag 30 mei 2005 15:06

Acties:

Verwijderd

The Legend schreef op maandag 30 mei 2005 @ 14:49:
[...]


Dit is redelijk abracadabra voor mij :P UPX, Upolyx, Morphine, rootkit, HT? Ik ben een n00b op virus gebied, zit achter een linux server in een netwerk dus heb eigenlijk nooit last van virussen -> weet er veel te weinig van.. Dus als je het kan uitleggen in lekentaal, zou fijn zijn :*
Deze Backdoor heeft - waarschijnlijk - stealth functionaliteit.
Probeer eens je systemdirectory te benaderen, als je een page not found krijgt heb je een SdBot te pakken welke rootkit functionality heeft.

maandag 30 mei 2005 15:15

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

Verwijderd schreef op maandag 30 mei 2005 @ 15:06:
[...]

Deze Backdoor heeft - waarschijnlijk - stealth functionaliteit.
Probeer eens je systemdirectory te benaderen, als je een page not found krijgt heb je een SdBot te pakken welke rootkit functionality heeft.
Wat Schouw dus zegt is dat het waarschijnlijk om een virus gaat dat zich zelf met een bepaalde techniek (UPX, Upolyx en Morphine) vermomd heeft en daarom moeilijker (of helemaal niet) opgepikt wordt door de huidige virusscanners.

HT = Hijack This

Rootkit: een virus* dat bepaalde essentiele executables van een besturingssysteem aanpast of vervangt en daarmee een integraal onderdeel uit gaat maken van je besturingssysteem. Hiermee kan het meer dingen doen dan als een normale executable + dat het met de huidige technieke van virusscanners heel moeilijk tot niet te ontdekken is. Er begint nu langzamerhand wat meer software op de markt te komen, speciaal gericht op rootkits. Het probleem is echter dat er nauwelijks iets met 'heuristics' kan worden gewerkt, maar alleen met specifieke handtekeningen.

Als je een rootkit hebt, is het beter om de boel opnieuw te installeren: meestal is het regelrecht hopeloos om te verwijderen.

Dus... met een beetje mazzel ben je één van de eersten die geinfecteerd is + dat het een geavanceerd ding is :P Of je daar nou blij mee moet zijn... >:) Ik vind het overigens van wel, want het is nog rotter als je geinfecteerd raakt door een heel simpel dingetje: dan heb je je zaakjes niet op orde.
edit:
Ik lees nu pas dat je op een .pif link hebt geklikt |:(


* Je kan niet over een virus spreken, het is een rootkit... Trojan ook niet echt. Malware ook niet. Het is een nieuwe klasse.

[ Voor 3% gewijzigd door Motrax op 30-05-2005 15:17 ]

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

maandag 30 mei 2005 16:58

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Dus je advies komt er eigenlijk op neer dat een format C: sneller en effectiever zou zijn?

Ik ben toch malle pietje niet!

maandag 30 mei 2005 17:15

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

The Legend schreef op maandag 30 mei 2005 @ 16:58:
Dus je advies komt er eigenlijk op neer dat een format C: sneller en effectiever zou zijn?
Als het gaat om het geval dat Schouw beschrijft. Hij gaf een mogelijke manier om het te ontdekken:
Verwijderd schreef op maandag 30 mei 2005 @ 15:06:
[...]

Deze Backdoor heeft - waarschijnlijk - stealth functionaliteit.
Probeer eens je systemdirectory te benaderen, als je een page not found krijgt heb je een SdBot te pakken welke rootkit functionality heeft.
De meer traditionele methoden zou je gewoon kunnen gebruiken. Ik zie dat AV's niks vinden en Hitman ook niet. Probeer Kapersky? Die heb je nog niet gehad. En probeer in veilige modus HT te draaien en daarmee een eind verder te komen. In de FAQ van dit forum staat uitgelegd hoe:
[rml][ Howto] Spyware scannen en opruimen[/rml]
En ook in 'hoe een nieuw topic starten'.

Daarnaast zou hij nog eens kijken of het handmatig viel te verwijderen:
Verwijderd schreef op maandag 30 mei 2005 @ 13:19:
De info is echter speculatie aangezien nog niet vastgesteld kan worden of het om exact dezelfde variant gaat.

Ik zal eens kijken in hoeverre dit handmatig te verwijderen is.

[ Voor 17% gewijzigd door Motrax op 30-05-2005 17:21 ]

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

maandag 30 mei 2005 17:18

Acties:

Verwijderd

Motrax schreef op maandag 30 mei 2005 @ 15:15:
[...]

Wat Schouw dus zegt is dat het waarschijnlijk om een virus gaat dat zich zelf met een bepaalde techniek (UPX, Upolyx en Morphine) vermomd heeft en daarom moeilijker (of helemaal niet) opgepikt wordt door de huidige virusscanners.
UPX, Upolyx en Morphine zijn runtime packers, ondersteuning voor deze packers moet aanwezig zijn om kans te maken op detectie.(Sterke generieke signatures doen een hoop).
Rootkit: een virus* dat bepaalde essentiele executables van een besturingssysteem aanpast of vervangt en daarmee een integraal onderdeel uit gaat maken van je besturingssysteem.
Het is gewoon een extra setje aan (lowlevel) drivers.
Hiermee kan het meer dingen doen dan als een normale executable + dat het met de huidige technieke van virusscanners heel moeilijk tot niet te ontdekken is. Er begint nu langzamerhand wat meer software op de markt te komen, speciaal gericht op rootkits.
AVP 3.5 had al een module waarmee (zga) alle rootkits 'gedetecteerd' mee konden worden.
Het probleem is echter dat er nauwelijks iets met 'heuristics' kan worden gewerkt, maar alleen met specifieke handtekeningen.
Mwhoa, heuristics op de 'stealth action' lijkt goed te werken.(Zie KIS2006)
Dus... met een beetje mazzel ben je één van de eersten die geinfecteerd is + dat het een geavanceerd ding is :P Of je daar nou blij mee moet zijn... >:)
Dit lijkt redelijk wijdverspreid te zijn eigenlijk.
* Je kan niet over een virus spreken, het is een rootkit... Trojan ook niet echt. Malware ook niet. Het is een nieuwe klasse.
Malware is de verzamelnaam voor alle meuk, het stealth gebeuren is slechts een subroutine van een 'grotere' payload, normaal Backdoor functionaliteit. Het is dus sowieso geen (nieuwe) klasse.

Er moet eerst zekerheid zijn over hetgene waar we hier mee te maken hebben voor we actie kunnen ondernemen/bepalen.

maandag 30 mei 2005 17:22

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

Verwijderd schreef op maandag 30 mei 2005 @ 17:18:
<knip>
Weer wat geleerd :)

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

maandag 30 mei 2005 22:01

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Hijack This werkt niet, het progje start op, showt het warning schermpje met info over dat niet alle gevonden bestanden persé spyware zijn en daarna gebeurd er niets. Volgens de site is dat dit:
CWShredder or HijackThis closes immediately after opening?
There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them.
If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it.
Gedaan, niets gevonden.
Deze Backdoor heeft - waarschijnlijk - stealth functionaliteit.
Probeer eens je systemdirectory te benaderen, als je een page not found krijgt heb je een SdBot te pakken welke rootkit functionality heeft.
Wat bedoel je precies met systemroot? Gewoon mijn D:\Windows? Daar kom ik gewoon in.

Ik ga nu ff Kapersky proberen.

[edit]

Hmm.. http://www.kaspersky.com geeft een 404, zou een teken van spyware zijn maar norton antivirus en panda etc. zijn wel te bereiken :?

[edit2]

Via een omweg weten te installeren + key, alleen ook dit progje start niet op maar verdwijnt direct na execute.. terwijl panda en ad-aware ed gewoon kunnen draaien?!

[ Voor 18% gewijzigd door The Legend op 30-05-2005 22:16 ]

Ik ben toch malle pietje niet!

maandag 30 mei 2005 22:16

Acties:
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

The Legend schreef op maandag 30 mei 2005 @ 22:01:
Hijack This werkt niet, het progje start op, showt het warning schermpje met info over dat niet alle gevonden bestanden persé spyware zijn en daarna gebeurd er niets. Volgens de site is dat dit:


[...]


Gedaan, niets gevonden.


[...]


Wat bedoel je precies met systemroot? Gewoon mijn D:\Windows? Daar kom ik gewoon in.

Ik ga nu ff Kapersky proberen.

[edit]

Hmm.. http://www.kaspersky.com geeft een 404, zou een teken van spyware zijn maar norton antivirus en panda etc. zijn wel te bereiken :?
Die 404 komt omdat in je host-file het e.e.a. geredirect wordt naar je lokale netwerk en daar is die site niet te vinden. Idd teken van malware.

Overigens is hier een topic waar je eigen probleem ook wordt besproken:
[rml][ GenCTurK] sirh0t rootkit[/rml]
Ik heb er al een e-mail over gestuurd naar de bv-mods (eentje om precies te zijn :P)
Er staat nog geen oplossing in. Overigens wel meer informatie en een link naar symantec met meer informatie, maar geen duidelijk removal-instructie.

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

maandag 30 mei 2005 22:55

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Hmm.. ik heb net in de veilige modus gescand met Kaspersky, dat werkte wel, maar dan wel met virusdefiniets van 119 dagen oud. Hij vond 1 backdoor SdBot (sfilez.dat ofzo). Verwijdert maar er zit duidelijk meer troep op want ik kan nu Kaspersky niet draaien, proces wordt gelijk gekilled..

Hijack This ook gedraait, maar die vond niets verdachts.

Ga nu ff die link hierboven bestuderen, thx! :)

Ik ben toch malle pietje niet!

maandag 30 mei 2005 23:00

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Ik heb ook hetzelfde, mijn hele System32 map is zelfs vertrokken :P Echt dramatisch, de eerste keer dat ik een virus heb is het gelijk een hele beste... En verkregen via MSN, een halve seconde nadat ik klikte voelde ik me een ontzettende oetlul / n00b :X :D Magoed.. als je mijn posts doorleest zie je dat ik ook al een bult heb geprobeerd, uiteindelijk 1 sdbot geval kunnen verwijderen maar er is nogsteeds van alles mis dus kga gewoon windows opnieuw installeren denk ik :r

Ik ben toch malle pietje niet!

maandag 30 mei 2005 23:03

Acties:

Verwijderd

Welke versie heb je gedownload? Bij tests hier wordt KAV Personal 5.0.325 niet gekilled.
klik Deze heeft trouwens bases van vorige week.

[ Voor 11% gewijzigd door Verwijderd op 30-05-2005 23:04 ]

maandag 30 mei 2005 23:06

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op maandag 30 mei 2005 @ 23:03:
Welke versie heb je gedownload? Bij tests hier wordt KAV Personal 5.0.325 niet gekilled.
klik Deze heeft trouwens bases van vorige week.
Ik heb 5.0.20, probeer nu deze ff. Dat andere topic is precies hetzelfde wat ik heb btw..

Mijn hele System32 map is trouwens verdwenen, dat lijkt me ook niet echt een goed teken eigenlijk? :X

Ik ben toch malle pietje niet!

maandag 30 mei 2005 23:22

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Het virus komt trouwens op gezette tijden boven, dan wordt sih0t32.pif actief en gaat hij random alle online mensen @ msn het bekende "Wow check... " sturen |:( Snel proces gekilled, en ff verontschuldigt bij m'n gehele lijst :p

Ga nu maar direct formatteren, wordt er schijtziekvan :r

Ik ben toch malle pietje niet!

maandag 30 mei 2005 23:24

Acties:

Verwijderd

Zou je het niet gewoon bij één topic houden waarin je reageert The Legend? Wel zo handig. :)

maandag 30 mei 2005 23:32

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Klopt sorry, dat is wel zo duidelijk.
The Legend schreef op maandag 30 mei 2005 @ 23:24:
[...]


Hmmkej.. die versie van jou Kaspersky geeft ook aan dat de definities meer dan een jaar oud zijn, updaten gaat zoals verwacht niet, hij draait dus wel maar heb er verdacht weinig aan..

Ik ga toch maar formatteren denk ik, tenzij je nog een geniale oplossing hebt ;)
Laatste reactie uit dat andere topic, zal de rest wel hier laten. Belde net een vriend van me op die ook had geklikt :X Verspreid razendsnel dus zo..

Ik ben toch malle pietje niet!

maandag 30 mei 2005 23:52

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Weer een update:

Net XoftSpy 4.13 gedraait (die was standaard al geupdate naar definities van 26 mei). Een trojan mee gevonden, verder niet. RootkitRevealer vindt echter een bult meer in het register:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

HKLM\SYSTEM\ControlSet001\Control\Safeboot\Minimal\GencTurK RootKit
HKLM\SYSTEM\ControlSet001\Control\Safeboot\Network\GencTurK RootKit
HKLM\SYSTEM\ControlSet001\Services\GencTurk RootKit
HKLM\SYSTEM\ControlSet001\Services\GencTurk RootKit Driver
HKLM\SYSTEM\ControlSet003\Control\Safeboot\Minimal\GencTurK RootKit
HKLM\SYSTEM\ControlSet003\Control\Safeboot\Network\GencTurK RootKit
HKLM\SYSTEM\ControlSet003\Services\GencTurk RootKit
HKLM\SYSTEM\ControlSet003\Services\GencTurk RootKit Driver
HKLM\SYSTEM\ControlSet004\Control\Safeboot\Minimal\GencTurK RootKit
HKLM\SYSTEM\ControlSet004\Control\Safeboot\Network\GencTurK RootKit
HKLM\SYSTEM\ControlSet004\Services\d347prt\Cfg\oJf40
HKLM\SYSTEM\ControlSet004\Services\GencTurk RootKit
HKLM\SYSTEM\ControlSet004\Services\GencTurk RootKit Driver


[edit]

Regedit, Msconfig etc. worden trouwens ook allemaal direct gekilled bij opstarten. De stealth HacDef geval heb ik ook niet kunnen verwijderen tot nu toe :/

[ Voor 8% gewijzigd door The Legend op 30-05-2005 23:57 ]

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 00:52

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Als ik in de veilige modus met regedit in m'n register zoek op "rootkit" kom ik een aantal keys tegen, deze kan ik echter niet wijzigen, aanpassen of verwijderen, allemaal beveiligd ;(

[edit]

De localhost ongein van de rootkit kunje omzeilen door bv. http://www.hcidata.com/host2ip.htm te gebruiken om het ipadres van antivirus sites te achterhalen, surfen op IP gaat nl. wel gewoon.

[ Voor 39% gewijzigd door The Legend op 31-05-2005 00:57 ]

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 01:12

Acties:

Verwijderd

draai een sniffer, post de log...als er dan iemand aardig is gaat ie ff zichzelf vermommen als bot zijnde wachtende op een inlogpoging... zodra dat gebeurt heb je de mogelijkheid alle geinfecteerde pc's door deze persoon in 1 keer vrij te maken..

dinsdag 31 mei 2005 01:17

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 01:12:
draai een sniffer, post de log...als er dan iemand aardig is gaat ie ff zichzelf vermommen als bot zijnde wachtende op een inlogpoging... zodra dat gebeurt heb je de mogelijkheid alle geinfecteerde pc's door deze persoon in 1 keer vrij te maken..
Okeej :P Een sniffer? Vermommen als bot en alles vrij maken, klinkt allemaal top alleen wat moet ik nu precies doen? :)

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 01:25

Acties:

Verwijderd

Hmm ok, www.google.nl en zoek een simpele Faq over een sniffer ;)
Die logt alles wat je over het internet verstuurt e.d.
Je kan ethereal gebruiken welke een zee goede grafische sniffer is maar deze worden gedetecteerd door de SDBot (als de verspreider een goede had iig ;) )
zelf gebruik ik ngSniff, deze werkt vanuit een command promp en gewoon opstarten met de juiste parameters, sluit zo veel mogelijk nutteloze toepassing af voordat je je sniffer draait, ook downloads. Anders is je log zo 20 mb.
starten doe je bijv zo; start -> uitvoeren -> cmd [enter]
ngSniff (wel eerst downloaden en naar de juiste map navigeren maar ik neem aan dat je dat wel lukt).
Dan geeft ie je aan hoe je het moet gebruiken, zeer simpel. Dan doe je dus bijvoorbeeld: ngSniff --interface 1 > logfile.txt, anders logt hij het niet in een txt file maar flits alles over je scherm ;)
Deze log mag je wel posten, na 2 minuten kan je je venster van de sniffer wel stoppen hoor. maar als ie te groot is mag je hem wel mailen naar sdbot@dutchmaffia.org

dinsdag 31 mei 2005 01:45

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 01:25:
Hmm ok, www.google.nl en zoek een simpele Faq over een sniffer ;)
Die logt alles wat je over het internet verstuurt e.d.
Je kan ethereal gebruiken welke een zee goede grafische sniffer is maar deze worden gedetecteerd door de SDBot (als de verspreider een goede had iig ;) )
zelf gebruik ik ngSniff, deze werkt vanuit een command promp en gewoon opstarten met de juiste parameters, sluit zo veel mogelijk nutteloze toepassing af voordat je je sniffer draait, ook downloads. Anders is je log zo 20 mb.
starten doe je bijv zo; start -> uitvoeren -> cmd [enter]
ngSniff (wel eerst downloaden en naar de juiste map navigeren maar ik neem aan dat je dat wel lukt).
Dan geeft ie je aan hoe je het moet gebruiken, zeer simpel. Dan doe je dus bijvoorbeeld: ngSniff --interface 1 > logfile.txt, anders logt hij het niet in een txt file maar flits alles over je scherm ;)
Deze log mag je wel posten, na 2 minuten kan je je venster van de sniffer wel stoppen hoor. maar als ie te groot is mag je hem wel mailen naar sdbot@dutchmaffia.org
Het is gelukt! :) Logfile ligt in je mail.

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 01:49

Acties:

Verwijderd

Ah ok, we hebben hier wel met een beginner te maken denk ik :x heb zijn chat server waar hij de "bots" aanstuurd inmiddels gevonden
En inmiddels ook 2 channels erop
Hier een stukje van waaruit hij de bots controleerd:
Modbreak:IP's van bots hier geven lijkt me niet zo handig ;)

<!---01:53:03- ¹¹º¹ Quit» (SDBOT|MSN-48217) (~SDBOT_MSN@204.212.125.97) (Read error: Connection reset by peer)
-01:53:04- ¹¹º¹ Quit» (SDBOT|MSN-83915) (~SDBOT_MSN@i230046.upc-i.chello.nl) (Read error: Connection reset by peer)
-01:53:06- ¹¹º¹ Join» (SDBOT|MSN-37370) (~SDBOT_MSN@200-187-220-221.brt.dialuol.com.br)
-01:53:06- ¹¹º¹ Join» (SDBOT|MSN-96633) (~SDBOT_MSN@ip503c9978.speed.planet.nl)
-01:53:08- ¹¹º¹ Quit» (SDBOT|MSN-59874) (~SDBOT_MSN@modemcable198.200-37-24.mc.videotron.ca) (Read error: Connection reset by peer)-->
kan 1 van de mods mij adviseren wat hiermee te doen? het gaat om 700 geinfecteerde pc's op dit moment.... wie moet ik deze informatie geven om de virusmaker te pakken te krijgen??/

[ Voor 93% gewijzigd door moto-moi op 31-05-2005 13:49 ]

dinsdag 31 mei 2005 01:54

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Met beginner doel je op die wacko die deze rootkit inmekaar heeft gedraait? En wat kun je met deze informatie?

Die gast is dus te achterhalen en aan de domeinen te zien nederlands? En hoe weet je dat het om 700 pc's gaat?

[ Voor 54% gewijzigd door The Legend op 31-05-2005 01:59 ]

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 02:00

Acties:

Verwijderd

Ik kan met deze informatie volgen wat de virusmaker doet, en die beginner bedoel ik de virusmaker
Ik heb helaas niet de mogelijkheid om nu alle bots te verwijderen, er is geen eigenaar aanwezig nu
edit:

Heb ff wat gezocht, het blijkt hier te gaan om een Kelvir bot, waarvan de source gewoon public is in bepaalde kringen

@ the Legend, ik zie alle pc's die infected zijn in een lijst staan, op dit moment zijn het er 676

[ Voor 40% gewijzigd door Verwijderd op 31-05-2005 02:07 ]

dinsdag 31 mei 2005 02:09

Acties:
  • Peedy
  • Registratie: Februari 2002
  • Laatst online: 06-11-2024

Peedy

@-Intelligence-: dus het is een IRC chan met een botnet enzo met dingen die je kan besturen en verwijderen en pc's hacken etc?

dinsdag 31 mei 2005 02:09

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Ok, das niet nix.. een kleine 700 pc's :(

Maar goed, met deze info kunnen we (jij :P) die bots, en dus de verspreiding uitschakelen? Das positief, alleen de besmette mensen zijn wel de lul dus begrijp ik.

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 02:15

Acties:

Verwijderd

Ja het is een botnet die via irc werkt, maar wel een rare irc server, luistert niet bepaald nauw aan de IRC RFC's want er zijn geen modes of dergelijk zichtbaar maar kan ook alleen luisteren, zal morgenochten ff weer op jacht gaan het word nu laat ;)
Via het topic/chat onderwerp word er bepaald wat er voor een text naar mensen in de contact persoon lijst van msn word gestuurd, op dit moment is dat:
code:
1

"check [hier een link met daarin beach_pictures] .pif :D:D:D !!!"

dinsdag 31 mei 2005 02:26

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 02:15:
Ja het is een botnet die via irc werkt, maar wel een rare irc server, luistert niet bepaald nauw aan de IRC RFC's want er zijn geen modes of dergelijk zichtbaar maar kan ook alleen luisteren, zal morgenochten ff weer op jacht gaan het word nu laat ;)
Via het topic/chat onderwerp word er bepaald wat er voor een text naar mensen in de contact persoon lijst van msn word gestuurd, op dit moment is dat:
code:
1

"check [hier een link met daarin beach_pictures] .pif :D:D:D !!!"
Ok, wel vet dat je dat zo ff achterhaald :) Als je nu op de één of andere manier die bots kunt uitschakelen is het helemaal geweldig :P

Ik ga nog ff de allerlaatste versie van KAV proberen, werkt het niet dan pitten en morgen formatten.

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 02:59

Acties:

Verwijderd

mja om ze uit te schakelen is het een kwestie van wachten :( zal morgen nog 1 ding proberen, want als de virusmaker inlogt kan ik niet inloggen aangezien het channel ook een soort van moderated is, maar heb de isp van de chatserver iig gemaild met het verzoek deze user aan te pakken enzo

dinsdag 31 mei 2005 08:58

Acties:
  • slash24
  • Registratie: November 2002
  • Laatst online: 20-08 11:34

slash24

Hier hetzelfde probleem! Ben er ondertussen al achter dat de karakteristieken van dit probleem lijken op het (volgens norton site) "virus" overeen komen met W32.Mytob.CU@mm.
Genoemd virus probeert een hele lijst van services te killen (onder andere alle bekende virusscanners!) en zet in je hosts file een heleboel regels die alle bekende security sites naar 127.0.0.1 linken. (127.0.0.1 = localhost)

Als je die regels uit de hostfile verwijdert kun je wel weer naar de antivirus sites surfen en je updates binnenhalen (alleen in SAFE modus) en dan kun je de stappen voor removal volgen. Als je dit niet in safe mode doet lukt het niet want dan wordt je virusscanner steeds gekilled! Ook regedit is helaas 1 van de services die steeds gekilled wordt. Ik heb het stappenplan beschreven op de norton site gevolgd maar helaas is 1 van de stappen een full system scan en die viindt het virus niet!
Ik verwacht dat het dus net een andere (nieuwere) variant is en hoop dus dat er vandaag een nieuwe update komt..... Tot dan: even wachten nog!

Succes daar in ieder geval!

dinsdag 31 mei 2005 10:27

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 02:59:
mja om ze uit te schakelen is het een kwestie van wachten :( zal morgen nog 1 ding proberen, want als de virusmaker inlogt kan ik niet inloggen aangezien het channel ook een soort van moderated is, maar heb de isp van de chatserver iig gemaild met het verzoek deze user aan te pakken enzo
Goed werk, ik ga iig m'n pc formatteren, ben ik overal van af (was eigenlijk toch al nodig).

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 12:34

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Net PC geformatteerd en Kaspersky 5.0.325 laten scannen met extended base, vindt hij op een andere partitie nog (of alweer):

C:\sih0t32.pif --> IM-Worm.Win32.Kelvir.bm
C:\system.exe --> Trojan Backdoor.Win32.HacDef.ad
D:\Windows\System32\KILLAPPS.exe --> Tool.Win32.KillApp.b (riskware, not a virus)

En nog meer ongein.. Kaspersky vindt hem dus wel met extended base en de laatse definities! De worm verspreid zich alleen over meerdere partities als ik het zo bekijk..

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 12:47

Acties:

Verwijderd

zo ik ben ook eindelijk weer wakker :P was laat gisteraaf :P zal eens ff kijken hoeveel geinfecteerde pc's er nu zijn :)
edit:
Het zijn er nu maar 157, maar luister goed wat ik nu zeg, de virusmaker is nu online! hij zit erop! Dus denk dat hij jullie pc's nu infected heeft met iets anders. Ik wacht rustig af tot hij bij mij probeert ion te loggen..
edit:
Hij heeft geprobeert in te loggen, heb zijn wachtwoord nu :D en het zijn er meer dan 170, hij gaf de bots de opdracht om NT Server password te scannen, wat in SP1 al verholpen is :) en gaf ze toen het disconnect commando....
edit:
elke 10 minuten worden alle pc's disconnected van de server nu, zodat anderen er weer op kunnen....naar mijn schatting gaat hier nu wel om een aantal van rond de 5000 pc's, als het er niet meer zijn....

[ Voor 87% gewijzigd door Verwijderd op 31-05-2005 13:23 ]

dinsdag 31 mei 2005 13:17

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 12:47:
zo ik ben ook eindelijk weer wakker :P was laat gisteraaf :P zal eens ff kijken hoeveel geinfecteerde pc's er nu zijn :)
edit:
Het zijn er nu maar 157, maar luister goed wat ik nu zeg, de virusmaker is nu online! hij zit erop! Dus denk dat hij jullie pc's nu infected heeft met iets anders. Ik wacht rustig af tot hij bij mij probeert ion te loggen..
edit:
Hij heeft geprobeert in te loggen, heb zijn wachtwoord nu :D en het zijn er meer dan 170, hij gaf de bots de opdracht om NT Server password te scannen, wat in SP1 al verholpen is :) en gaf ze toen het disconnect commando....
Nu je zijn pass hebt, kunje dan ook alle besmette pc's van afstand disinfecteren??

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 13:24

Acties:

Verwijderd

Dat kan alleen als hij offline gaat, en ik zijn nickname kan overnemen met password wat bij de nickname hoort, anders krijg ik geen operator status. En met een beetje pech heeft hij ook nog een ip restrictie erop zitten, dan kan het niet 123, maar misschien wel, word afwachten dus

dinsdag 31 mei 2005 13:47

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 13:24:
Dat kan alleen als hij offline gaat, en ik zijn nickname kan overnemen met password wat bij de nickname hoort, anders krijg ik geen operator status. En met een beetje pech heeft hij ook nog een ip restrictie erop zitten, dan kan het niet 123, maar misschien wel, word afwachten dus
Keep us posted..

Wat jij nu doet trouwens he, is dat gewoon een standaard progje of moet je daar virus expert voor zijn? :P

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 14:58

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Vriend van me heeft net in veilige modus met Kasparsky 5.0.325 + laatste updates z'n systeem gescand. Hij vindt alleen de IM-Worm en níet de backdoor.hac.def die zorgt dat de System32 map gestealtht wordt... mooi klote.

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 15:21

Acties:

Verwijderd

Goed of slecht nieuws, ik weet het niet. Ik ben in ieder geval disconnected van de "chat" server, de server zelf staat nog wel aan maar poort 6667 is nu dicht. Nu weet ik dus niet of hij verkast is naar een andere server dmv een dns, dan zou hij dus het ip waarop ale infected pc's connecten makkelijk kunnen wijzigen.
The Legend, als je het virus nog hebt, zou je nog een keer die sniffer kunnen draaien? ben wel benieuwd of hij nu eindelijk aangepakt is :)
edit:
Er draaien wel 2 irc bnc's op :P ff kijken of ie t zelfde password heeft O-)

[ Voor 12% gewijzigd door Verwijderd op 31-05-2005 15:27 ]

dinsdag 31 mei 2005 15:28

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772

ngSniff v1.2 by NGSEC Research Team <labs@ngsec.com>
FREEWARE command line sniffer
Next Generation Security Technologies
http://www.ngsec.com

Sniffing...
IP HEADER 207.46.108.88 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 32
 IP->tot_len: 40
 IP->id: 51595
 IP->frag_off: 0
 IP->ttl: 111
 IP->protocol: 6
 IP->checksum: 63170

TCP HEADER
----------
 TCP->sport: 1863
 TCP->dport: 4227
 TCP->seq: 876164332
 TCP->ack: 1815544512
 TCP->off: 5
 TCP->flags: FIN|ACK
 TCP->window: 65474
 TCP->checksum: 32382
 TCP->urp: 0



IP HEADER 207.46.108.88 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 32
 IP->tot_len: 40
 IP->id: 50831
 IP->frag_off: 0
 IP->ttl: 111
 IP->protocol: 6
 IP->checksum: 63934

TCP HEADER
----------
 TCP->sport: 1863
 TCP->dport: 4227
 TCP->seq: 892941548
 TCP->ack: 1832321728
 TCP->off: 5
 TCP->flags: ACK
 TCP->window: 65474
 TCP->checksum: 32126
 TCP->urp: 0



IP HEADER 192.168.0.195 -> 192.168.0.255
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 235
 IP->id: 30605
 IP->frag_off: 0
 IP->ttl: 128
 IP->protocol: 17
 IP->checksum: 30761

UDP HEADER
----------
 UDP->sport: 138
 UDP->dport: 138
 UDP->ulen: 215
 UDP->checksum: 64957

----- Begin of data dump -----
11 02 80 95 c0 a8 00 c3 00 8a 00 c1 00 00 20 46  .............. F
41 45 4a 45 46 46 45 45 46 46 43 43 41 43 41 43  AEJEFFEEFFCCACAC
41 43 41 43 41 43 41 43 41 43 41 43 41 41 41 00  ACACACACACACAAA.
20 41 42 41 43 46 50 46 50 45 4e 46 44 45 43 46   ABACFPFPENFDECF
43 45 50 46 48 46 44 45 46 46 50 46 50 41 43 41  CEPFHFDEFFPFPACA
42 00 ff 53 4d 42 25 00 00 00 00 00 00 00 00 00  B..SMB%.........
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00 00 11 00 00 27 00 00 00 00 00 00 00 00 00 e8  .....'..........
03 00 00 00 00 00 00 00 00 27 00 56 00 03 00 01  .........'.V....
00 01 00 02 00 38 00 5c 4d 41 49 4c 53 4c 4f 54  .....8.\MAILSLOT
5c 42 52 4f 57 53 45 00 0c 00 a0 bb 0d 00 57 45  \BROWSE.......WE
52 4b 47 52 4f 45 50 00 00 00 00 00 01 00 03 0a  RKGROEP.........
----- End of data dump -----


IP HEADER 207.46.108.121 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 32
 IP->tot_len: 40
 IP->id: 44829
 IP->frag_off: 0
 IP->ttl: 111
 IP->protocol: 6
 IP->checksum: 61488

TCP HEADER
----------
 TCP->sport: 1863
 TCP->dport: 4229
 TCP->seq: -1067410556
 TCP->ack: -377449535
 TCP->off: 5
 TCP->flags: ACK
 TCP->window: 65374
 TCP->checksum: 49011
 TCP->urp: 0



IP HEADER 207.46.108.121 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 32
 IP->tot_len: 40
 IP->id: 50473
 IP->frag_off: 0
 IP->ttl: 111
 IP->protocol: 6
 IP->checksum: 55844

TCP HEADER
----------
 TCP->sport: 1863
 TCP->dport: 4229
 TCP->seq: -1067410556
 TCP->ack: 1971426241
 TCP->off: 5
 TCP->flags: ACK
 TCP->window: 65234
 TCP->checksum: 49011
 TCP->urp: 0



IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 40
 IP->id: 55612
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 14481

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: -604187613
 TCP->ack: -475270479
 TCP->off: 5
 TCP->flags: ACK
 TCP->window: 64123
 TCP->checksum: 40705
 TCP->urp: 0



IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 44
 IP->id: 55868
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 13201

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: -604187613
 TCP->ack: 1101853361
 TCP->off: 5
 TCP->flags: PUSH|ACK
 TCP->window: 65535
 TCP->checksum: 45259
 TCP->urp: 0

----- Begin of data dump -----
30 00 00 00                                      0...
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 280
 IP->id: 11451
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 1230

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 260
 UDP->checksum: 9659

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 70 6e 70 3a 72 6f 6f 74 64  l..NT:upnp:rootd
65 76 69 63 65 0d 0a 4e 54 53 3a 73 73 64 70 3a  evice..NTS:ssdp:
61 6c 69 76 65 0d 0a 53 45 52 56 45 52 3a 45 6d  alive..SERVER:Em
62 65 64 64 65 64 20 55 50 6e 50 2f 31 2e 30 0d  bedded UPnP/1.0.
0a 55 53 4e 3a 75 75 69 64 3a 75 70 6e 70 2d 49  .USN:uuid:upnp-I
6e 74 65 72 6e 65 74 47 61 74 65 77 61 79 44 65  nternetGatewayDe
76 69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36 37  vice-1_0-1234567
38 39 30 30 30 30 31 3a 3a 75 70 6e 70 3a 72 6f  8900001::upnp:ro
6f 74 64 65 76 69 63 65 0d 0a 0d 0a              otdevice....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 298
 IP->id: 11707
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 61901

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 278
 UDP->checksum: 4426

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 75 69 64 3a 75 70 6e 70 2d  l..NT:uuid:upnp-
49 6e 74 65 72 6e 65 74 47 61 74 65 77 61 79 44  InternetGatewayD
65 76 69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36  evice-1_0-123456
37 38 39 30 30 30 30 31 0d 0a 4e 54 53 3a 73 73  78900001..NTS:ss
64 70 3a 61 6c 69 76 65 0d 0a 53 45 52 56 45 52  dp:alive..SERVER
3a 45 6d 62 65 64 64 65 64 20 55 50 6e 50 2f 31  :Embedded UPnP/1
2e 30 0d 0a 55 53 4e 3a 75 75 69 64 3a 75 70 6e  .0..USN:uuid:upn
70 2d 49 6e 74 65 72 6e 65 74 47 61 74 65 77 61  p-InternetGatewa
79 44 65 76 69 63 65 2d 31 5f 30 2d 31 32 33 34  yDevice-1_0-1234
35 36 37 38 39 30 30 30 30 31 0d 0a 0d 0a        5678900001....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 352
 IP->id: 11963
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 47821

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 332
 UDP->checksum: 10060

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 64 65 76 69 63  s-upnp-org:devic
65 3a 49 6e 74 65 72 6e 65 74 47 61 74 65 77 61  e:InternetGatewa
79 44 65 76 69 63 65 3a 31 0d 0a 4e 54 53 3a 73  yDevice:1..NTS:s
73 64 70 3a 61 6c 69 76 65 0d 0a 53 45 52 56 45  sdp:alive..SERVE
52 3a 45 6d 62 65 64 64 65 64 20 55 50 6e 50 2f  R:Embedded UPnP/
31 2e 30 0d 0a 55 53 4e 3a 75 75 69 64 3a 75 70  1.0..USN:uuid:up
6e 70 2d 49 6e 74 65 72 6e 65 74 47 61 74 65 77  np-InternetGatew
61 79 44 65 76 69 63 65 2d 31 5f 30 2d 31 32 33  ayDevice-1_0-123
34 35 36 37 38 39 30 30 30 30 31 3a 3a 75 72 6e  45678900001::urn
3a 73 63 68 65 6d 61 73 2d 75 70 6e 70 2d 6f 72  :schemas-upnp-or
67 3a 64 65 76 69 63 65 3a 49 6e 74 65 72 6e 65  g:device:Interne
74 47 61 74 65 77 61 79 44 65 76 69 63 65 3a 31  tGatewayDevice:1
0d 0a 0d 0a                                      ....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 344
 IP->id: 12219
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 49613

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 324
 UDP->checksum: 57332

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 73 65 72 76 69  s-upnp-org:servi
63 65 3a 4c 61 79 65 72 33 46 6f 72 77 61 72 64  ce:Layer3Forward
69 6e 67 3a 31 0d 0a 4e 54 53 3a 73 73 64 70 3a  ing:1..NTS:ssdp:
61 6c 69 76 65 0d 0a 53 45 52 56 45 52 3a 45 6d  alive..SERVER:Em
62 65 64 64 65 64 20 55 50 6e 50 2f 31 2e 30 0d  bedded UPnP/1.0.
0a 55 53 4e 3a 75 75 69 64 3a 75 70 6e 70 2d 49  .USN:uuid:upnp-I
6e 74 65 72 6e 65 74 47 61 74 65 77 61 79 44 65  nternetGatewayDe
76 69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36 37  vice-1_0-1234567
38 39 30 30 30 30 31 3a 3a 75 72 6e 3a 73 63 68  8900001::urn:sch
65 6d 61 73 2d 75 70 6e 70 2d 6f 72 67 3a 73 65  emas-upnp-org:se
72 76 69 63 65 3a 4c 61 79 65 72 33 46 6f 72 77  rvice:Layer3Forw
61 72 64 69 6e 67 3a 31 0d 0a 0d 0a              arding:1....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 274
 IP->id: 12475
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 1742

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 254
 UDP->checksum: 31875

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 75 69 64 3a 75 70 6e 70 2d  l..NT:uuid:upnp-
57 41 4e 44 65 76 69 63 65 2d 31 5f 30 2d 31 32  WANDevice-1_0-12
33 34 35 36 37 38 39 30 30 30 30 31 0d 0a 4e 54  345678900001..NT
53 3a 73 73 64 70 3a 61 6c 69 76 65 0d 0a 53 45  S:ssdp:alive..SE
52 56 45 52 3a 45 6d 62 65 64 64 65 64 20 55 50  RVER:Embedded UP
6e 50 2f 31 2e 30 0d 0a 55 53 4e 3a 75 75 69 64  nP/1.0..USN:uuid
3a 75 70 6e 70 2d 57 41 4e 44 65 76 69 63 65 2d  :upnp-WANDevice-
31 5f 30 2d 31 32 33 34 35 36 37 38 39 30 30 30  1_0-123456789000
30 31 0d 0a 0d 0a                                01....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 316
 IP->id: 12731
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 56269

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 296
 UDP->checksum: 17956

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 64 65 76 69 63  s-upnp-org:devic
65 3a 57 41 4e 44 65 76 69 63 65 3a 31 0d 0a 4e  e:WANDevice:1..N
54 53 3a 73 73 64 70 3a 61 6c 69 76 65 0d 0a 53  TS:ssdp:alive..S
45 52 56 45 52 3a 45 6d 62 65 64 64 65 64 20 55  ERVER:Embedded U
50 6e 50 2f 31 2e 30 0d 0a 55 53 4e 3a 75 75 69  PnP/1.0..USN:uui
64 3a 75 70 6e 70 2d 57 41 4e 44 65 76 69 63 65  d:upnp-WANDevice
2d 31 5f 30 2d 31 32 33 34 35 36 37 38 39 30 30  -1_0-12345678900
30 30 31 3a 3a 75 72 6e 3a 73 63 68 65 6d 61 73  001::urn:schemas
2d 75 70 6e 70 2d 6f 72 67 3a 64 65 76 69 63 65  -upnp-org:device
3a 57 41 4e 44 65 76 69 63 65 3a 31 0d 0a 0d 0a  :WANDevice:1....
                                                 
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 348
 IP->id: 12987
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 47821

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 328
 UDP->checksum: 32412

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 73 65 72 76 69  s-upnp-org:servi
63 65 3a 57 41 4e 43 6f 6d 6d 6f 6e 49 6e 74 65  ce:WANCommonInte
72 66 61 63 65 43 6f 6e 66 69 67 3a 31 0d 0a 4e  rfaceConfig:1..N
54 53 3a 73 73 64 70 3a 61 6c 69 76 65 0d 0a 53  TS:ssdp:alive..S
45 52 56 45 52 3a 45 6d 62 65 64 64 65 64 20 55  ERVER:Embedded U
50 6e 50 2f 31 2e 30 0d 0a 55 53 4e 3a 75 75 69  PnP/1.0..USN:uui
64 3a 75 70 6e 70 2d 57 41 4e 44 65 76 69 63 65  d:upnp-WANDevice
2d 31 5f 30 2d 31 32 33 34 35 36 37 38 39 30 30  -1_0-12345678900
30 30 31 3a 3a 75 72 6e 3a 73 63 68 65 6d 61 73  001::urn:schemas
2d 75 70 6e 70 2d 6f 72 67 3a 73 65 72 76 69 63  -upnp-org:servic
65 3a 57 41 4e 43 6f 6d 6d 6f 6e 49 6e 74 65 72  e:WANCommonInter
66 61 63 65 43 6f 6e 66 69 67 3a 31 0d 0a 0d 0a  faceConfig:1....
                                                 
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 294
 IP->id: 13243
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 61389

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 274
 UDP->checksum: 24145

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 75 69 64 3a 75 70 6e 70 2d  l..NT:uuid:upnp-
57 41 4e 43 6f 6e 6e 65 63 74 69 6f 6e 44 65 76  WANConnectionDev
69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36 37 38  ice-1_0-12345678
39 30 30 30 30 31 0d 0a 4e 54 53 3a 73 73 64 70  900001..NTS:ssdp
3a 61 6c 69 76 65 0d 0a 53 45 52 56 45 52 3a 45  :alive..SERVER:E
6d 62 65 64 64 65 64 20 55 50 6e 50 2f 31 2e 30  mbedded UPnP/1.0
0d 0a 55 53 4e 3a 75 75 69 64 3a 75 70 6e 70 2d  ..USN:uuid:upnp-
57 41 4e 43 6f 6e 6e 65 63 74 69 6f 6e 44 65 76  WANConnectionDev
69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36 37 38  ice-1_0-12345678
39 30 30 30 30 31 0d 0a 0d 0a                    900001....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 346
 IP->id: 13499
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 47821

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 326
 UDP->checksum: 56596

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 64 65 76 69 63  s-upnp-org:devic
65 3a 57 41 4e 43 6f 6e 6e 65 63 74 69 6f 6e 44  e:WANConnectionD
65 76 69 63 65 3a 31 0d 0a 4e 54 53 3a 73 73 64  evice:1..NTS:ssd
70 3a 61 6c 69 76 65 0d 0a 53 45 52 56 45 52 3a  p:alive..SERVER:
45 6d 62 65 64 64 65 64 20 55 50 6e 50 2f 31 2e  Embedded UPnP/1.
30 0d 0a 55 53 4e 3a 75 75 69 64 3a 75 70 6e 70  0..USN:uuid:upnp
2d 57 41 4e 43 6f 6e 6e 65 63 74 69 6f 6e 44 65  -WANConnectionDe
76 69 63 65 2d 31 5f 30 2d 31 32 33 34 35 36 37  vice-1_0-1234567
38 39 30 30 30 30 31 3a 3a 75 72 6e 3a 73 63 68  8900001::urn:sch
65 6d 61 73 2d 75 70 6e 70 2d 6f 72 67 3a 64 65  emas-upnp-org:de
76 69 63 65 3a 57 41 4e 43 6f 6e 6e 65 63 74 69  vice:WANConnecti
6f 6e 44 65 76 69 63 65 3a 31 0d 0a 0d 0a        onDevice:1....
----- End of data dump -----


IP HEADER 192.168.1.1 -> 239.255.255.250
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 340
 IP->id: 13755
 IP->frag_off: 0
 IP->ttl: 127
 IP->protocol: 17
 IP->checksum: 49101

UDP HEADER
----------
 UDP->sport: 1900
 UDP->dport: 1900
 UDP->ulen: 320
 UDP->checksum: 52383

----- Begin of data dump -----
4e 4f 54 49 46 59 20 2a 20 48 54 54 50 2f 31 2e  NOTIFY * HTTP/1.
31 0d 0a 48 4f 53 54 3a 32 33 39 2e 32 35 35 2e  1..HOST:239.255.
32 35 35 2e 32 35 30 3a 31 39 30 30 0d 0a 43 41  255.250:1900..CA
43 48 45 2d 43 4f 4e 54 52 4f 4c 3a 6d 61 78 2d  CHE-CONTROL:max-
61 67 65 3d 31 32 30 0d 0a 4c 4f 43 41 54 49 4f  age=120..LOCATIO
4e 3a 68 74 74 70 3a 2f 2f 31 39 32 2e 31 36 38  N:http://192.168
2e 31 2e 31 3a 35 36 37 38 2f 69 67 64 2e 78 6d  .1.1:5678/igd.xm
6c 0d 0a 4e 54 3a 75 72 6e 3a 73 63 68 65 6d 61  l..NT:urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 73 65 72 76 69  s-upnp-org:servi
63 65 3a 57 41 4e 49 50 43 6f 6e 6e 65 63 74 69  ce:WANIPConnecti
6f 6e 3a 31 0d 0a 4e 54 53 3a 73 73 64 70 3a 61  on:1..NTS:ssdp:a
6c 69 76 65 0d 0a 53 45 52 56 45 52 3a 45 6d 62  live..SERVER:Emb
65 64 64 65 64 20 55 50 6e 50 2f 31 2e 30 0d 0a  edded UPnP/1.0..
55 53 4e 3a 75 75 69 64 3a 75 70 6e 70 2d 57 41  USN:uuid:upnp-WA
4e 43 6f 6e 6e 65 63 74 69 6f 6e 44 65 76 69 63  NConnectionDevic
65 2d 31 5f 30 2d 31 32 33 34 35 36 37 38 39 30  e-1_0-1234567890
30 30 30 31 3a 3a 75 72 6e 3a 73 63 68 65 6d 61  0001::urn:schema
73 2d 75 70 6e 70 2d 6f 72 67 3a 73 65 72 76 69  s-upnp-org:servi
63 65 3a 57 41 4e 49 50 43 6f 6e 6e 65 63 74 69  ce:WANIPConnecti
6f 6e 3a 31 0d 0a 0d 0a                          on:1....
----- End of data dump -----


IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 88
 IP->id: 56124
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 1681

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: -537078749
 TCP->ack: 1101853361
 TCP->off: 5
 TCP->flags: PUSH|ACK
 TCP->window: 65535
 TCP->checksum: 21061
 TCP->urp: 0

----- Begin of data dump -----
72 a6 77 00 d0 74 01 00 00 00 00 00 00 00 00 00  r.w..t..........
2e 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00  ................
28 41 05 00 b5 d0 ba 00 2e 00 00 00 00 00 00 00  (A..............
                                                 
----- End of data dump -----


IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 40
 IP->id: 56380
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 13713

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: 268293155
 TCP->ack: 1168962225
 TCP->off: 5
 TCP->flags: ACK
 TCP->window: 65531
 TCP->checksum: 35067
 TCP->urp: 0



IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 44
 IP->id: 56636
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 12433

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: 268293155
 TCP->ack: -1548946767
 TCP->off: 5
 TCP->flags: PUSH|ACK
 TCP->window: 65437
 TCP->checksum: 31947
 TCP->urp: 0

----- Begin of data dump -----
30 00 00 00                                      0...
----- End of data dump -----


IP HEADER 81.204.116.137 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 88
 IP->id: 57404
 IP->frag_off: 64
 IP->ttl: 37
 IP->protocol: 6
 IP->checksum: 401

TCP HEADER
----------
 TCP->sport: 40390
 TCP->dport: 4014
 TCP->seq: 335402019
 TCP->ack: -1548946767
 TCP->off: 5
 TCP->flags: PUSH|ACK
 TCP->window: 65437
 TCP->checksum: 7138
 TCP->urp: 0

----- Begin of data dump -----
72 a6 77 00 d1 74 01 00 00 00 00 00 00 00 00 00  r.w..t..........
2e 00 00 00 00 00 00 00 00 00 00 00 02 00 00 00  ................
29 41 05 00 16 d3 ba 00 2e 00 00 00 00 00 00 00  )A..............
                                                 
----- End of data dump -----


IP HEADER 192.168.0.1 -> 192.168.0.193
------------------------------------------
 IP->version: 4
 IP->ihl: 5
 IP->tos: 0
 IP->tot_len: 262
 IP->id: 0
 IP->frag_off: 64
 IP->ttl: 64
 IP->protocol: 17
 IP->checksum: 54455

UDP HEADER
----------
 UDP->sport: 53
 UDP->dport: 1306
 UDP->ulen: 242
 UDP->checksum: 3090

----- Begin of data dump -----
01 cd 81 80 00 01 00 01 00 05 00 05 09 6d 65 73  .............mes
73 65 6e 67 65 72 04 7a 6f 6e 65 03 6d 73 6e 03  senger.zone.msn.
63 6f 6d 00 00 01 00 01 c0 0c 00 01 00 01 00 00  com.............
00 c9 00 04 cf 2e cb 2a c0 1b 00 02 00 01 00 02  .......*........
40 79 00 0e 03 6e 73 33 04 6d 73 66 74 03 6e 65  @y...ns3.msft.ne
74 00 c0 1b 00 02 00 01 00 02 40 79 00 06 03 6e  t.........@y...n
73 34 c0 48 c0 1b 00 02 00 01 00 02 40 79 00 06  s4.H........@y..
03 6e 73 35 c0 48 c0 1b 00 02 00 01 00 02 40 79  .ns5.H........@y
00 06 03 6e 73 31 c0 48 c0 1b 00 02 00 01 00 02  ...ns1.H........
40 79 00 06 03 6e 73 32 c0 48 c0 44 00 01 00 01  @y...ns2.H.D....
00 00 0d ad 00 04 d5 c7 90 97 c0 5e 00 01 00 01  ...........^....
00 01 3f 16 00 04 cf 2e 42 4b c0 70 00 01 00 01  ..?.....BK.p....
00 00 0d ad 00 04 cf 2e 8a 14 c0 82 00 01 00 01  ................
00 00 0d ad 00 04 cf 2e f5 e6 c0 94 00 01 00 01  ................
00 00 0d ad 00 04 40 04 19 1e                    ......@...
----- End of data dump -----


Volgens mij ben ik hem kwijt..

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 15:30

Acties:

Verwijderd

The Legend, als je het virus nog hebt, zou je nog een keer die sniffer kunnen draaien? ben wel benieuwd of hij nu eindelijk aangepakt is :)
A: Zoiets vraag je niet, zeker niet aan een leek.
B: Je post infected hosts.
C: Er zijn veel te veel variabelen om ook maar enige uitspraak te kunnen doen over de 'identiteit' van de blackhat.

En ik zie dat The Legend het al heeft gedaan, imho mag speelkwartier nu wel over zijn want veel goeds zal hier niet uit voortvloeien.

dinsdag 31 mei 2005 15:33

Acties:
  • The Legend
  • Registratie: Mei 2000
  • Laatst online: 08:30

The Legend

*Plop*

Verwijderd schreef op dinsdag 31 mei 2005 @ 15:30:
[...]

A: Zoiets vraag je niet, zeker niet aan een leek.
B: Je post infected hosts.
C: Er zijn veel te veel variabelen om ook maar enige uitspraak te kunnen doen over de 'identiteit' van de blackhat.

En ik zie dat The Legend het al heeft gedaan, imho mag speelkwartier nu wel over zijn want veel goeds zal hier niet uit voortvloeien.
Hmm, jij bent de expert dus zal 't wel weten maar waarom zou je dat niet mogen vragen? Zit er gevaar bij cq illegaal gedrag?

Ik ben toch malle pietje niet!

dinsdag 31 mei 2005 15:34

Acties:
  • markvt
  • Registratie: Maart 2001
  • Laatst online: 12:39

markvt

Peppi Cola

IM-Worm_Win32_Prex_d
Backdoor_Win32_Rbot_gen

het virus wat hier bovenaan gepost word kwam ik al eerder tegen met de naam hierboven sample heb ik wel voor degenen die geinteresseerd zijn, sophos herkend hem nog steeds niet, waar kaspersky.com/scanforvirus hem netjes aangeeft.

Weet iemand waar je bij sophos samples kan insturen ?

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

dinsdag 31 mei 2005 15:35

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Dat je virussen, malware en dat soort ellende interesant vindt, prima, maar om een botnet proberen over te nemen gaat mij net even iets te ver.

Verder iemand aanraden om op zijn eigen machine, aangesloten aan internet, zonder maatregelen die een viruslab daarvoor heeft, te draaien, is niet de bedoeling, zoals Schouw hierboven al netjes uitlegd.

God, root, what is difference? | Talga Vassternich | IBM zuigt

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq