[XP] JS.Ider verwijderen / informatie - Privacy en beveiliging

donderdag 22 december 2005 21:24

Acties:

Topicstarter

Een relatief nieuw virus inderdaad, maar dood irritant.

Sinds enige uren geleden is mijn computer geinfecteerd met het JS.Ider virus. Het wordt verstuurd via e-mail ( afzender: secur@yahoo.com ) met het bericht dat er een belangrijk, gecodeerd bericht voor je aangekomen is. Voor kleine zusjes is het natuurlijk zeer interessant om te bekijken wat dit bericht is, en dat is ook de manier hoe ik hieraan ben gekomen.

Het virus zelf "maakt de sockets kapot". Zodra ik een e-mail met outlook verstuur komt er een error dat er een exception is opgetreden, FlashFXP kan geen bestanden meer uploaden, MSN / andere programma's die sockets gebruiken gebruiken 100% CPU zodra er een socket geopend moet worden. Samengevat, zeer irritant, omdat dit mijn mogelijkheden vrij stevig beperkt. Internet Explorer / mail binnenhalen / verbinden met FTP server gaat echter perfect.

Mijn vraag is, hoe kan ik dit verwijderen, en is er verdere informatie rond het virus beschikbaar? Google weet nog niet meer dan een paar vermeldingen, en AVG kan alleen de bron bestanden (waar het virus vandaan komt) verwijderen. Alvast bedankt! $_/-\o_$

donderdag 22 december 2005 23:27

Acties:

Sassie

Check je lopende processen eerst eens op verdachte bestanden.

Dit kan aan de hand van Windows Taakbeheer, ProcessExplorer of Hijackthis (even een logje maken).

Eventuele verdachte bestanden kun je dan (samen met je 'bronbestanden') laten analyseren op http://virrusscan.jotti.org (of op www.kaspersky.com). Als er een virusscanner is die alles herkent, dan kun je die gebruiken om het virus te verwijderen. Je kunt dan trouwens ook een online scanner gebruiken (als je Active X nog wel werkt), zie voor links Beveiliging en Virussen - FAQ (antwoorden) Verder zou je de verdachte bestanden ook nog kunnen submitten bij makers van antivirussoftware, zodat zij dat dan kunnen gebruiken om uit te vinden hoe die dingen opereren en uiteindelijk een bestrijding kunnen uitdokteren.

vrijdag 23 december 2005 00:01

Acties:

Verwijderd

Sassie schreef op donderdag 22 december 2005 @ 23:27:
Check je lopende processen eerst eens op verdachte bestanden.

Dat zal weinig nut hebben, beestje heeft rootkit technologie aan boord.

Malwaredetecties(KAV):
Worm.Win32.Feebs.b
Trojan-Dropper.Win32.Small.ake
Backdoor.Win32.Agent.rp

De JS classificatie is semi-juist, het is geen JS virus/worm.
De email die je hebt ontvangen fungeert als dropper, de JS dropt een exe.
(command.com in c:\)

Doel is om een onzichtbare backdoor te installeren met Worm functie.
(Kopieert zich o.a. als een aantal gezipte cracks in alle directories met "Shared")

Ook deze files zijn verborgen.

Boot in safe mode en rename de volgende bestanden:
C:\command.exe
%sysdir%\msgt.exe
%sysdir%\msps (geen extensie)
%sysdir%\msdt32.dll

Hiermee heb je effectief de malware uitgeschakeld en je inet zou het weer fatsoenlijk moeten doen. Scan daarna je pc met een AV welke alle gerelateerde malware kan detecteren.

vrijdag 23 december 2005 00:58

Acties:

Peter

Topicstarter

Het virus was wel Ider.A / JS.Ider, de bestanden die Schouw aangaf waren dan ook niet aanwezig

Ook waren er geen processen aanwezig.

Ik heb een restore point gebruikt van enige dagen terug, en alles werkt weer. Bedankt voor de hulp, mocht ik nog een fix/oplossing voor het virus vinden, dan zal ik hem hier posten. Op die manier hebben mensen die dit topic in de toekomst krijgen er wat aan (hij is gister pas "uitgegeven")

vrijdag 23 december 2005 01:04

Acties:

Verwijderd

Heb je mijn (complete) post wel gelezen?

vrijdag 23 december 2005 01:06

Acties:

Peter

Topicstarter

Verwijderd schreef op vrijdag 23 december 2005 @ 01:04:
Heb je mijn (complete) post wel gelezen?

Jawel, maar geen van de bestanden was aanwezig. Ook hebben 2 verschillende virusscanners aangegeven dat het het Ider (ware het JS.Ider, of Ider.A ) was. De specificaties van het virus Ider.A komen perfect overeen met mijn probleem.

vrijdag 23 december 2005 01:06

Acties:

pasta

Ondertitel

beestje heeft rootkit technologie aan boord.

Dat zegt an sich genoeg waarom dat je de processen die Schouw noemde niet kon vinden.

Daarnaast zou ik zo de payload van dat stukje malware niet weten, maar het zou goed kunnen dat het ondertussen eerdere restore points heeft kunnen infecten. Tip: Kijk eens met F-Secure's Blacklight of die (of andere) verdachte processen nog stiekem draaien.

Signature

vrijdag 23 december 2005 01:10

Acties:

Verwijderd

Mocht ik morgen(of eventueel zelfs dadelijk)besluiten tot het schrijven van een write-up van hetgene wat ik in mijn post heb gezet zullen JS.Ider en Ider.A waarschijnlijk als alias gelist worden.

FYI: KAV detecteerde het eerst als Email-Worm.JS.Ider.a.

.Peter schreef op vrijdag 23 december 2005 @ 01:06:
[...]

Jawel, maar geen van de bestanden was aanwezig

Heb je in safe mode gekeken?

vrijdag 23 december 2005 01:14

Acties:

Jordi

#1#1

.Peter schreef op vrijdag 23 december 2005 @ 00:58:
Het virus was wel Ider.A / JS.Ider, de bestanden die Schouw aangaf waren dan ook niet aanwezig Ook waren er geen processen aanwezig.

En dat heb je gecontroleerd.... hoe precies? Process manager? Windows explorer? Schouw heeft het over een admi^h^h^h^hrootkit. Ik zou de volgende keer nog even wat andere maatregelen treffen, rootkitscanner bv.

edit:
argh... spuit 11

[ Voor 4% gewijzigd door Jordi op 23-12-2005 01:14 ]

Het zal wel niet, maar het zou maar wel.