[malware] Trojan connect naar IRC? * - Privacy en beveiliging

dinsdag 20 december 2005 11:52

Acties:

Verwijderd

Topicstarter

Ik vond een lange lijst connecties in mijn firewall waarvan ik geen idee heb wat het is
hier een stukje paste:

2005-12-19 23:35:23 CLOSE TCP 10.0.0.1 83.53.189.150 3750 6667 - - - - - - - - -
2005-12-19 23:35:25 OPEN TCP 10.0.0.1 83.53.189.150 3751 6667 - - - - - - - - -
2005-12-19 23:35:27 CLOSE TCP 10.0.0.1 83.53.189.150 3751 6667 - - - - - - - - -
2005-12-19 23:35:29 OPEN TCP 10.0.0.1 83.53.189.150 3752 6667 - - - - - - - - -
2005-12-19 23:35:30 CLOSE TCP 10.0.0.1 83.53.189.150 3752 6667 - - - - - - - - -
2005-12-19 23:35:32 OPEN TCP 10.0.0.1 83.53.189.150 3753 6667 - - - - - - - - -
2005-12-19 23:35:33 CLOSE TCP 10.0.0.1 83.53.189.150 3753 6667 - - - - - - - - -
2005-12-19 23:35:35 OPEN TCP 10.0.0.1 83.53.189.150 3754 6667 - - - - - - - - -
2005-12-19 23:35:36 CLOSE TCP 10.0.0.1 83.53.189.150 3754 6667 - - - - - - - - -
2005-12-19 23:35:38 OPEN TCP 10.0.0.1 83.53.189.150 3755 6667 - - - - - - - - -
2005-12-19 23:35:40 CLOSE TCP 10.0.0.1 83.53.189.150 3755 6667 - - - - - - - - -
2005-12-19 23:35:42 OPEN TCP 10.0.0.1 83.53.189.150 3756 6667 - - - - - - - - -
2005-12-19 23:35:43 CLOSE TCP 10.0.0.1 83.53.189.150 3756 6667 - - - - - - - - -
2005-12-19 23:35:45 OPEN TCP 10.0.0.1 83.53.189.150 3757 6667 - - - - - - - - -
2005-12-19 23:35:46 CLOSE TCP 10.0.0.1 83.53.189.150 3757 6667 - - - - - - - - -
2005-12-19 23:35:48 OPEN TCP 10.0.0.1 83.53.189.150 3758 6667 - - - - - - - - -
2005-12-19 23:35:50 CLOSE TCP 10.0.0.1 83.53.189.150 3758 6667 - - - - - - - - -
2005-12-19 23:35:52 OPEN TCP 10.0.0.1 83.53.189.150 3759 6667 - - - - - - - - -
2005-12-19 23:35:53 CLOSE TCP 10.0.0.1 83.53.189.150 3759 6667 - - - - - - - - -
2005-12-19 23:35:55 OPEN TCP 10.0.0.1 83.53.189.150 3760 6667 - - - - - - - - -
2005-12-19 23:35:56 CLOSE TCP 10.0.0.1 83.53.189.150 3760 6667 - - - - - - - - -
2005-12-19 23:35:58 OPEN TCP 10.0.0.1 83.53.189.150 3761 6667 - - - - - - - - -
2005-12-19 23:36:00 CLOSE TCP 10.0.0.1 83.53.189.150 3761 6667 - - - - - - - - -
2005-12-19 23:36:02 OPEN TCP 10.0.0.1 83.53.189.150 3762 6667 - - - - - - - - -
2005-12-19 23:36:03 CLOSE TCP 10.0.0.1 83.53.189.150 3762 6667 -

Weet iemand wat hier aan de hand is geweest? bedankt

dinsdag 20 december 2005 11:53

Acties:

McKaamos

Master of the Edit-button

onsuccesvolle pogingen om verbinding te maken met IRC?

Iemand een Tina2 in de aanbieding?

dinsdag 20 december 2005 11:54

Acties:

Verwijderd

Topicstarter

ik heb nog nooit een IRC progje gebruikt....

dinsdag 20 december 2005 11:55

Acties:

Verwijderd

wat is jou uitslag bij http://www.whatismyip.com.com

Is het dat 83 nummer?

[ Voor 17% gewijzigd door Verwijderd op 20-12-2005 11:55 ]

dinsdag 20 december 2005 11:55

Acties:

MuddyMagical

Hmmm, zou kunnen zijn dat je pc is geinfecteerd met een virus / trojan die verbinding probeert te maken naar een bepaalde IRC server om daar zijn opdrachten vandaan te halen.

Virusscanner en HitmanPro draaien!

dinsdag 20 december 2005 11:55

Acties:

Dark0r

WAT

geinfecteerd met een irc worm die nu probeerd te connecten ?

dinsdag 20 december 2005 11:57

Acties:

BCC

Dark0r schreef op dinsdag 20 december 2005 @ 11:55:
geinfecteerd met een irc worm die nu probeerd te connecten ?

Ik weet het wel zeker.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

dinsdag 20 december 2005 12:00

Acties:

Verwijderd

Topicstarter

Nee, het is niet mijn IP range, ik vrees ook een worm of bot ofzo maar als ik een virusscan doe komt ie met een trojan in de MSN.exe file nota bene, welke naturrlijk nooit verwijderd kan worden..
I

dinsdag 20 december 2005 12:00

Acties:

jbr

Right back @ ya

Dark0r schreef op dinsdag 20 december 2005 @ 11:55:
geinfecteerd met een irc worm die nu probeerd te connecten ?

Inderdaad, ook mijn eerste gedachte ... post maar eens een screenie van je processen uit taakbeheer....

Een goeie bak teringherrie in de morgen is een dag zonder zorgen!

dinsdag 20 december 2005 12:01

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op dinsdag 20 december 2005 @ 12:00:
Nee, het is niet mijn IP range, ik vrees ook een worm of bot ofzo maar als ik een virusscan doe komt ie met een trojan in de MSN.exe file nota bene, welke naturrlijk nooit verwijderd kan worden..
I

Veilige modus, andere virusscanner, etc.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 20 december 2005 12:01

Acties:

Brede P

MSN.EXE is een virus.
MSN Messenger gaat schuil onder de naam msnmsgr.exe.

dinsdag 20 december 2005 12:02

Acties:

jbr

Right back @ ya

Verwijderd schreef op dinsdag 20 december 2005 @ 12:00:
Nee, het is niet mijn IP range, ik vrees ook een worm of bot ofzo maar als ik een virusscan doe komt ie met een trojan in de MSN.exe file nota bene, welke naturrlijk nooit verwijderd kan worden..

Integendeel. MSN Messenger gebruikt msnmsgr.exe, als je denkt dat het dat is. het is een duidelijke poging om verborgen te blijven.

//edit
500 Tweakers, 1 gedachte!

[ Voor 5% gewijzigd door jbr op 20-12-2005 12:03 ]

Een goeie bak teringherrie in de morgen is een dag zonder zorgen!

dinsdag 20 december 2005 12:03

Acties:

Rone

Moderator Tweaking

http://www.grc.com/port_6667.htm

Name:	ircu
Purpose:	IRCU
Trojan Sightings:	Dark FTP, EGO, Maniac rootkit, Moses, ScheduleAgent, SubSeven, The Thing (modified), Trinity, WinSatan

http://www.liutilities.co...skspro/processlibrary/MSN

Description
MSN.exe is a process belonging to MSN Explorer which adds new features to Internet Explorer. This is a non-essential process. Disabling or enabling this is down to user preference.

Note
MSN.exe is also a process which is registered as the W32.Flita Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately.

Symantec Security Response:
http://securityresponse.s.../venc/data/w32.flita.html

[ Voor 27% gewijzigd door Rone op 20-12-2005 12:05 ]

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

dinsdag 20 december 2005 12:07

Acties:

MuddyMagical

Alsjeblieft : http://securityresponse.s.../venc/data/w32.flita.html

Leuker kunnen we het niet maken, wel makkelijker...

@ r00n: En dan snel editten hé!

[ Voor 13% gewijzigd door MuddyMagical op 20-12-2005 12:08 ]

dinsdag 20 december 2005 12:07

Acties:

Verwijderd

Topicstarter

bedankt zover iedereen, ik zal nog eens scannen...

dinsdag 20 december 2005 12:09

Acties:

Rone

Moderator Tweaking

MuddyMagical schreef op dinsdag 20 december 2005 @ 12:07:
[...]
@ r00n: En dan snel editten hé!

offtopic:
Ik vind ook maar informatie along the way.
Moet ik die dan maar niet toevoegen aan mijn post omdat jij twee minuten later dezelfde pagina vindt

Mijn edit is van 12:05. Jouw post is van 12:07... Let even op, wil je?

[ Voor 12% gewijzigd door Rone op 20-12-2005 12:15 ]

PC1: 9800X3D + RX 9070 XT || PC2: 5800X3D + RTX 3080 || Laptop: 7735HS + RTX 4060

dinsdag 20 december 2005 12:24

Acties:

MuddyMagical

r00n schreef op dinsdag 20 december 2005 @ 12:09:
[...]

offtopic:
Ik vind ook maar informatie along the way.
Moet ik die dan maar niet toevoegen aan mijn post omdat jij twee minuten later dezelfde pagina vindt

Mijn edit is van 12:05. Jouw post is van 12:07... Let even op, wil je?

offtopic:
Ja, maar ik kan niet knippen en plakken... Moest heel dat adres overtypen... Maar ik ben niet boos hoor..

dinsdag 20 december 2005 14:05

Acties:

pasta

Ondertitel

offtopic:
Even een titelfix

Maar goed, lees Beveiliging en Virussen - Nieuw topic starten eens door, ik mis namelijk nog een hoop informatie in je TS. Zo had je kunnen kijken met HijackThis icm Google en Jotti's online malware scan of je nog meer verdachte files tegenkomt. Je kunt vervolgens een volledige scan draaien met 1 van de virusscanners die het bestand herkent.

Signature

dinsdag 20 december 2005 17:39

Acties:

Verwijderd

Wellicht een trojan die naar een botnetje connect.

Btw, je kan beter geen ip adressen posten. Je kan voor de gein mIRC een opstarten en connecten naar de server waarna je PC verbinding wil maken.

Groet,
Jeroen

woensdag 21 december 2005 14:56

Acties:

Clueless

Verwijderd schreef op dinsdag 20 december 2005 @ 17:39:
Wellicht een trojan die naar een botnetje connect.

Btw, je kan beter geen ip adressen posten. Je kan voor de gein mIRC een opstarten en connecten naar de server waarna je PC verbinding wil maken.

Groet,
Jeroen

Bijna wel zeker ja... of jij moet iets in Spanje hebben naast Sinterklaas?

inetnum: 83.51.241.0 - 83.56.132.255
netname: RIMA
descr: TELEFONICA DE ESPANA
descr: Provider Local Registry
country: ES
admin-c: AFG2-RIPE
admin-c: JB986-RIPE
tech-c: FLT14-RIPE
tech-c: FSB3-RIPE
status: ASSIGNED PA
remarks: ***************************************************
remarks: For ABUSE/SPAM/INTRUSION issues
remarks: PLEASE CONTACT THROUGH LINK
remarks: http://www.telefonicaonline.com/nemesys/
remarks: or send mail to nemesys@telefonica.es
remarks: any mail to adminis.ripe@telefonica.es will be ignored
remarks: ***************************************************

I Don't Know, So Don't Shoot Me