/u/126369/Daos2.png?f=community)
Gisteravond kreeg ik bij het surfen met IE5.5 op W95 wat troep binnen. De taalbalk bleef op een gegeven moment hangen. Dit gebeurt vaker als meerdere websites tegelijk een popup openen. Alt-tab werkte net als altijd wel gewoon nog.
Naar een paar minuten crashde IE met een mededeling van een ongeldige instructie. Gelijk daarna crashde een ander vreemd programma (ole32vbs.exe), er werd een batch file uitgevoerd en er werd geprobeerd een .so file uit te voeren (hoort dat niet bij Linux?).
Ik heb toen alle vreemde processen afgesloten. Toen ik bij hijackthis keek stond er alleen een extra bestand bij het opstarten (msmsgs.exe). De rest van de instellingen klopten nog. Het was dus snel opgelost.
Ik heb toen alle nieuwe bestanden opgezocht en dat zijn deze (met tijd ervoor):
23:57
GetAccess.class
InsecureClassLoader.class
Dummy.class
aantal .idx bestanden
0:06
aantal .exe bestanden
aantal .dll bestanden
aantal .so bestanden
aantal .ico bestanden
Msimgsiz.dat
plugin150_04.trace
Dit doet mij denken aan een oude ervaring:
Een paar jaar geleden heb ik een keer last gehad van CoolWebSearch (de echte). CWS kwam via een bug in de Microsoft Java VM binnen.
Omdat er geen patches meer voor Windows 95 worden gemaakt heb ik die VM van MS er af gegooid.
Nu lijk het erop dat het gisteren ook via Java binnen gekomen is. De aanwezigheid van het bestand plugin150_04.trace betekent volgens mij dat het via de Sun Java VM is binnen gekomen. Er staat alleen geen nuttige info in die trace.
Ik heb die drie bestanden door een decompiler gehaald. Er worden de volgende packages geimporteerd:
InsecureClassLoader:
com.ms.security.SecurityClassLoader
GetAccess:
com.ms.security.PermissionDataSet;
com.ms.security.PermissionSet;
com.ms.vm.loader.URLClassLoader;
java.applet.Applet;
java.lang.reflect.Method;
Dummy:
com.ms.vm.loader.URLClassLoader
Ik dacht dat die com.ms. packages alleen bij de MS VM werken. Werken die dingen ook bij de Sun VM? Via JBuilder kan ik ze niet vinden.
Of ben ik op een andere manier gehacked? Er worden immers al een tijdje geen patches meer voor IE onder Windows 95 uitgegeven.
Naar een paar minuten crashde IE met een mededeling van een ongeldige instructie. Gelijk daarna crashde een ander vreemd programma (ole32vbs.exe), er werd een batch file uitgevoerd en er werd geprobeerd een .so file uit te voeren (hoort dat niet bij Linux?).
Ik heb toen alle vreemde processen afgesloten. Toen ik bij hijackthis keek stond er alleen een extra bestand bij het opstarten (msmsgs.exe). De rest van de instellingen klopten nog. Het was dus snel opgelost.
Ik heb toen alle nieuwe bestanden opgezocht en dat zijn deze (met tijd ervoor):
23:57
GetAccess.class
InsecureClassLoader.class
Dummy.class
aantal .idx bestanden
0:06
aantal .exe bestanden
aantal .dll bestanden
aantal .so bestanden
aantal .ico bestanden
Msimgsiz.dat
plugin150_04.trace
Dit doet mij denken aan een oude ervaring:
Een paar jaar geleden heb ik een keer last gehad van CoolWebSearch (de echte). CWS kwam via een bug in de Microsoft Java VM binnen.
Omdat er geen patches meer voor Windows 95 worden gemaakt heb ik die VM van MS er af gegooid.
Nu lijk het erop dat het gisteren ook via Java binnen gekomen is. De aanwezigheid van het bestand plugin150_04.trace betekent volgens mij dat het via de Sun Java VM is binnen gekomen. Er staat alleen geen nuttige info in die trace.
Ik heb die drie bestanden door een decompiler gehaald. Er worden de volgende packages geimporteerd:
InsecureClassLoader:
com.ms.security.SecurityClassLoader
GetAccess:
com.ms.security.PermissionDataSet;
com.ms.security.PermissionSet;
com.ms.vm.loader.URLClassLoader;
java.applet.Applet;
java.lang.reflect.Method;
Dummy:
com.ms.vm.loader.URLClassLoader
Ik dacht dat die com.ms. packages alleen bij de MS VM werken. Werken die dingen ook bij de Sun VM? Via JBuilder kan ik ze niet vinden.
Of ben ik op een andere manier gehacked? Er worden immers al een tijdje geen patches meer voor IE onder Windows 95 uitgegeven.