Toon posts:

mijn Postbank ge-hackt ?

Pagina: 1
Acties:
  • 2.494 views sinds 30-01-2008
  • Reageer

maandag 24 april 2006 22:16

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Bij het inloggen op mijnpostbank punt nl kreeg ik vanmiddag tot tweemaal toe een foutmelding bij het inloggen. onderstaand scherm verscheen. ik voelde nattigheid. en heb postbank gebeld. die dachten dat ik het via een mailtje had binnengekregen.

Afbeeldingslocatie: http://img2.glowfoto.com/images/2006/04/24-1304259771T.jpg

niet dus. gewoon wat onvoorzichtig surfen. ik was vrijdag besmet geraakt en was in de veronderstelling dat ik het kwijt was. Norton had me gewaarschuwd maar bleek zelf ook half onderuit gegaan te zijn. maar dat de hufters op deze manier je TAN codes proberen te jatten (en misschien je username passwords is wel heel ziek.

let op het maffe zinnetje:
"Zowat wedder zekerheid voor wisselborgtocht , zijn voor zij 10 vigerend TANs ter zijn cijfers
verlenen"

Heeft iemand nog tips om mijn Explorer en Java wat veiliger af te stellen?

[ Voor 7% gewijzigd door RobbieDee op 24-04-2006 22:18 ]

maandag 24 april 2006 22:22

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Virusscanners, antispywarescanners, altijd up to date houden, opletten waar je surft, etc.
en desnoods Firefox oid gebruiken

Maar behalve common sense zijn er niet heel veel trucjes. Zorg dat alles up to date blijft en trap nergens in.

"Always remember to quick save" - Sun Tzu

maandag 24 april 2006 22:41

Acties:
  • 0 Henk 'm!
  • André
  • Registratie: Maart 2002
  • Laatst online: 12-09 14:32

André

Analytics dude

Welk certificaat staat bij het slotje onderaan de pagina?

maandag 24 april 2006 22:43

Acties:
  • 0 Henk 'm!

Verwijderd

Wat ik niet snap: ze doen veel moeite om een site te imiteren, het beveiligingsprotocol te achterhalen (TAN codes etc.) en een trojan te verspreiden. Het is dan blijkbaar teveel moeite om een stukje tekst fatsoenlijk te vertalen. Raar.

maandag 24 april 2006 22:43

Acties:
  • 0 Henk 'm!
  • Daywalk3r
  • Registratie: Mei 2005
  • Laatst online: 15-12-2023

Daywalk3r

Walks at night 2

Pak anders knoppix voor internetbankieren als het kan... Laat je niks achter.. Haal je niks geen rommel binnen. ;)

Doen er geloof ik wel meer

Is the enemy of my enemy, my friend or my enemy?

maandag 24 april 2006 23:12

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
André schreef op maandag 24 april 2006 @ 22:41:
Welk certificaat staat bij het slotje onderaan de pagina?
Hoe kom ik daar nu nog achter? En waar?
Ik zat later ok te kijkenbij de certificaten van Java en dat ging mij mijn pet een beetje te boven. Bovendien was er ook iets met mijn Java. Als ik naar dat controle paneel wilden dat starte er wel iets maar dat verdween net zo hard. Heb het nodige in de registry moeten krabben om het weer normaal te krijgen...

maandag 24 april 2006 23:15

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op maandag 24 april 2006 @ 22:43:
Wat ik niet snap: ze doen veel moeite om een site te imiteren, het beveiligingsprotocol te achterhalen (TAN codes etc.) en een trojan te verspreiden. Het is dan blijkbaar teveel moeite om een stukje tekst fatsoenlijk te vertalen. Raar.
Lijkt wel een studentengrap. Misschien alleen een proof of concept hack.
Het woord "vigerend" schijnt in de studentenwereld een tijdje toonaangevend te zijn geweest.
Heb daar zelf sinds eind jaren 80 niks meer te zoeken dus...

maandag 24 april 2006 23:15

Acties:
  • 0 Henk 'm!
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 22-07-2024

BasieP

er op dubbelklikken :| maak gewoon een screenshot

even voor de duidelijkheid:
de postbank vraagt NOOIT om Tan codes, dus vul ze iig niet in.

waarschijnlijk heb je inderdaad een soort HOSTS aanpassing gehad, (waarschijnlijk van trojan/spyware) en word 'postbank.nl' doorgestuurd naar een ander ip adres.

draai eens hijackthis, en post hier de log

[ Voor 9% gewijzigd door BasieP op 24-04-2006 23:17 ]

This message was sent on 100% recyclable electrons.

maandag 24 april 2006 23:17

Acties:
  • 0 Henk 'm!

Verwijderd

Dit komt van een bekende Bank Trojan familie af.

Doe eens een scan @ http://www.kaspersky.com/virusscanner.
Ben benieuwd naar de gevonden malware - zéér waarschijnlijk een Trojan-PSW.Win32.Sinowal variant.

[edit]

Belangrijk: dit beestje logt + verstuurt PSWs van je email clients, FAR, en nog een aantal programma's. Inhoud van forms die je in je browser invult worden gelogd en direct verstuurd.

[ Voor 33% gewijzigd door Verwijderd op 24-04-2006 23:22 ]

maandag 24 april 2006 23:23

Acties:
  • 0 Henk 'm!
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 22-07-2024

BasieP

Verwijderd schreef op maandag 24 april 2006 @ 23:17:
Dit komt van een bekende Bank Trojan familie af.

Doe eens een scan @ http://www.kaspersky.com/virusscanner.
Ben benieuwd naar de gevonden malware - zéér waarschijnlijk een Trojan-PSW.Win32.Sinowal variant.

[edit]

Belangrijk: dit beestje logt + verstuurt PSWs van je email clients, FAR, en nog een aantal programma's. Inhoud van forms die je in je browser invult worden gelogd en direct verstuurd.
kortom:
andere pc pakken (of schone install) en al je passwords per direct wijzigen (vooral van banken etc.)
vervolgens _GEEN_ wachtwoorden meer invullen op de geinfecteerde pc

This message was sent on 100% recyclable electrons.

maandag 24 april 2006 23:38

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
BasieP schreef op maandag 24 april 2006 @ 23:15:
er op dubbelklikken :| maak gewoon een screenshot

even voor de duidelijkheid:
de postbank vraagt NOOIT om Tan codes, dus vul ze iig niet in.

waarschijnlijk heb je inderdaad een soort HOSTS aanpassing gehad, (waarschijnlijk van trojan/spyware) en word 'postbank.nl' doorgestuurd naar een ander ip adres.

draai eens hijackthis, en post hier de log
Inderdaad in winnt een onbekende hosts file (mijn oude staat in WINNT\system32\drivers\etc) met een timestamp van de besmetting vrijdag die ik meende verwijderd te hebben.

127.0.0.5 makethemcry.com
127.0.0.5 loudcash.com
127.0.0.5 iframestat.com
127.0.0.5 toolbarpartner.com
127.0.0.5 hqcash.com
127.0.0.5 verybigcash.com
127.0.0.5 makethemcry.com
127.0.0.5 moviepartnership.com
127.0.0.5 callmachine.com
127.0.0.5 regcash.com
127.0.0.5 toolbarpartner.com
127.0.0.5 klikrevenue.com
127.0.0.5 p2dll.com
127.0.0.5 t73.com
127.0.0.5 www.makethemcry.com
127.0.0.5 www.loudcash.com
127.0.0.5 www.iframestat.com
127.0.0.5 www.toolbarpartner.com
127.0.0.5 www.hqcash.com
127.0.0.5 www.verybigcash.com
127.0.0.5 www.makethemcry.com
127.0.0.5 www.moviepartnership.com
127.0.0.5 www.callmachine.com
127.0.0.5 www.regcash.com
127.0.0.5 www.toolbarpartner.com
127.0.0.5 www.klikrevenue.com
127.0.0.5 www.p2dll.com
127.0.0.5 www.t73.com

=========
hijackthis komt eraan

maandag 24 april 2006 23:48

Acties:
  • 0 Henk 'm!

Verwijderd

Die 127.0.0.5 zijn aanpassingen van 1 of andere spyware/virus/banner blocker

[edit]
127.0.0.5 is het zelfde als 127.0.0.1 (localhost)

[ Voor 35% gewijzigd door Verwijderd op 24-04-2006 23:51 ]

dinsdag 25 april 2006 00:01

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Logfile of HijackThis v1.99.1
Scan saved at 23:50:13, on 24-4-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\apps\pdfMachine\mapisnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
G:\Install\Hijack-this\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.193.242.33:80
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\apps\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [pdfMachine dispatcher] c:\apps\pdfMachine\mapisnd.exe -printer="BroadGun pdfMachine" -port="PDFPORT1:"
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\apps\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\apps\DAP\DAP.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.co...stall/TEInstallPlugIn.cab
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.enschede.nl:48250/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengersetupdownloader.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/do...s/suite/yautocomplete.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit...s/activex/IPSUploader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp01.photoprintit...aults/activex/XUpload.ocx
O18 - Protocol: ezpp - {810403FA-E82E-11D5-8AAB-0010A404A3DE} - C:\WINNT\system32\EZTOOL~1.DLL
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DriveHealth - Helexis Software Development - C:\apps\DriveHealth\dhcore.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program Files\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Program Files\Symantec\Ghost\ngserver.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\system32\UAService7.exe

dinsdag 25 april 2006 00:06

Acties:
  • 0 Henk 'm!
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 22-07-2024

BasieP

omfg je kan beter vragen wat je mag houden.. :|
heb je nog ergens een image liggen? (ik zie dat je ghost heb geinstalleerd)

al gescanned zoals schouw zei? denk dat je hijackthis log na het scannen al behoorlijk geslonken is
zelfde verhaal als je spybot search & destroy draait (zie ik ook staan)

offtopic:
duidelijk voorbeeld van iemand die alles installeerd wat ie tegenkomt, en waarschijnlijk nooit gebruikt.. verder toch raar dat norton antivir je infectie niet tegengehouden heeft.. wanneer begint het gros nou eens te twijfelen aan die rotzooi :/

[ Voor 45% gewijzigd door BasieP op 25-04-2006 00:13 ]

This message was sent on 100% recyclable electrons.

dinsdag 25 april 2006 00:08

Acties:
  • 0 Henk 'm!

Verwijderd

Het valt best wel mee, ik zie zo geen dingen die echt veel problemen opleveren. Wel veel files die m.i.a. zijn en veel plugins (activex) van verschillende programma's en sites.

Natuurlijk hoeft er maar 1 rotte appel te zijn.

oa. deze kan ik niet plaatsen: h t t p://us.dl1.yimg.com/do...s/suite/yautocomplete.cab

offtopic:
Met je offtopic edit ben ik het wel eens.

[ Voor 48% gewijzigd door Verwijderd op 25-04-2006 00:15 ]

dinsdag 25 april 2006 09:02

Acties:
  • 0 Henk 'm!
  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

lak je log hier eens in: http://hjt.networktechs.com

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 25 april 2006 09:56

Acties:
  • 0 Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 11-09 13:55

frickY

Ik ben bijzonder nieuwsschierig naar de partij welke als "issuer" van het certificaat van die pagina is vermeld.

Het zou voor een derde onmogelijk moeten zijn een ceritificaat op naam van "mijn.postbank.nl" te bemachtigen, uitgegeven door een authoriteit op de trusted-list van je browser. Tenzij het besmettende virus een eigen uitgever op je trusted-lijst heeft gezet....

dinsdag 25 april 2006 10:10

Acties:
  • 0 Henk 'm!

Verwijderd

Client-side HTML injection.

dinsdag 25 april 2006 10:54

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 12-09 09:03

TRON

Het kan mogelijk zijn via cross-site-scripting (XSS) om het gegeven voorbeeld te krijgen MET het certificaat van mijn.postbank.nl.


-edit-
even verversen in het vervolg

[ Voor 18% gewijzigd door TRON op 25-04-2006 10:55 ]

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 25 april 2006 11:11

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op dinsdag 25 april 2006 @ 10:10:
Client-side HTML injection.
Krijg je dan geen melding dat je data gaat versturen naar een onbeveiligde pagina buiten mijn.postbank.nl ? De meeste mensen zullen dan nog op OK klikken maargoed.

Of zou je als virus die melding ook even uitschakelen ?

[ Voor 4% gewijzigd door Verwijderd op 25-04-2006 11:11 ]

dinsdag 25 april 2006 11:40

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 12-09 09:03

TRON

Die melding zal je zeer waarschijnlijk wel krijgen ja, maar niemand snapt dat je daar dan niet op moet drukken omdat dat zo vaak voorkomt :)

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 25 april 2006 11:50

Acties:
  • 0 Henk 'm!

Verwijderd

Of betreffend form is zo gemaakt dat er niets verstuurd wordt, maar alleen de codes worden gecaptured en dan door de malware zelf worden doorgestuurd. ;)

dinsdag 25 april 2006 11:59

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 12-09 09:03

TRON

Dat kan natuurlijk ook Schouw, maar als er alleen maar gebruik wordt gemaakt van XSS dan is de kans groot dat men eerst een bericht krijgt voordat men informatie verstuurt.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 25 april 2006 12:02

Acties:
  • 0 Henk 'm!

Verwijderd

TRON schreef op dinsdag 25 april 2006 @ 11:59:
Dat kan natuurlijk ook Schouw, maar als er alleen maar gebruik wordt gemaakt van XSS dan is de kans groot dat men eerst een bericht krijgt voordat men informatie verstuurt.
Ik neem aan dat als je XSS zou willen gebruiken je eerst toegang tot de postbank server moet hebben ? (geen ervaringen met xss).

dinsdag 25 april 2006 12:05

Acties:
  • 0 Henk 'm!
  • TRON
  • Registratie: September 2001
  • Laatst online: 12-09 09:03

TRON

Nee, dat is niet nodig Blackspot.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 25 april 2006 20:10

Acties:
  • 0 Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 11-09 13:55

frickY

Dat is nou juist het probleem van XSS ;)

Maar zou toch graag van de TS willen horen wie de issuer van het certificaat is :Y)

dinsdag 25 april 2006 20:56

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
TRON schreef op dinsdag 25 april 2006 @ 11:40:
Die melding zal je zeer waarschijnlijk wel krijgen ja, maar niemand snapt dat je daar dan niet op moet drukken omdat dat zo vaak voorkomt :)
Er kwam geen vraag om een site in een trusted zone te zetten. Er kwam ook geen vraag of ik een certificaat van 1 of ander partij wilde accepteren. En neen ik ben ook niet zo blond om TAN codes in te typen ;)

Wel vond ik (voordat ik de hijack log hier poste) een site in de trusted zone die ik nooit heb geaccepteerd. En ook nooit als trusted zou hebben geaccepteerd: O15 - Trusted Zone: http://*.69sexsearch.com Die heb ik inmiddels maar in "restricted sites" gezet.

Omdat ik zsm van de besmetting af wilde is m.i. niet meer te achterhalen om welk certificaat het ging dat aan die namaak Postbank site hing. Of iemand moet mij een plek wijzen op mijn PC (w2k) waar ik die dingen zou kunnen terugvinden. Voor de liefhebbers heb ik ook nog de source code van dat window en de meeste bestanden (behalve de jars) die er mee te maken hadden.

Tijdens de vermoedelijke besmetting op vrijdag is er ook een portscan door de firewall in mijn router geregistreerd. Kennelijk afkomstig van de dns machines ns1 en ns2 van mijn provider tiscali. Ik heb Tiscali verwittigd.

dinsdag 25 april 2006 21:13

Acties:
  • 0 Henk 'm!
  • localhost
  • Registratie: November 1999
  • Niet online

localhost

Ook in geel, groen, paars, wit

Heb je de volgende vinkjes aanstaan in Tools > Internet Options > Advanced, onder het "slotje":
  • warn if form submittal is being redirected
  • warn if changing between secure and not secure mode
  • warn about invalid site certificates
  • check for signatures on downloaded programs
  • check for server signatures revocation

[ Voor 4% gewijzigd door localhost op 25-04-2006 21:13 ]

dinsdag 25 april 2006 21:37

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op dinsdag 25 april 2006 @ 20:56:
[...]

Voor de liefhebbers heb ik ook nog de source code van dat window en de meeste bestanden (behalve de jars) die er mee te maken hadden.
virus@kaspersky.nl svp.
Tijdens de vermoedelijke besmetting op vrijdag is er ook een portscan door de firewall in mijn router geregistreerd. Kennelijk afkomstig van de dns machines ns1 en ns2 van mijn provider tiscali. Ik heb Tiscali verwittigd.
Ik denk niet dat je die melding al te serieus hoeft te nemen. :)

dinsdag 25 april 2006 22:08

Acties:
  • 0 Henk 'm!
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Online Trends en Hypes -> Beveiliging & Virussen..

God, root, what is difference? | Talga Vassternich | IBM zuigt

dinsdag 25 april 2006 22:13

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op dinsdag 25 april 2006 @ 21:37:
Ik denk niet dat je die melding al te serieus hoeft te nemen. :)
Het afzenderadres zal wel fake zijn alhoewel... Het kwam ook van port 53 af (DNS).

Ik zal morgen alles (ook die FW log opsturen). En de files die ik hier die met die besmetting te maken hebben hebben allemaal dezelfde time/date stamp als van de scan... ik heb nog geen reactie van tante Tis...

dinsdag 25 april 2006 22:16

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
moto-moi schreef op dinsdag 25 april 2006 @ 22:08:
Online Trends en Hypes -> Beveiliging & Virussen..
dank je voor het verplaatsen. lijkt me inderdaad beter zo.

woensdag 26 april 2006 11:12

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
localhost schreef op dinsdag 25 april 2006 @ 21:13:
Heb je de volgende vinkjes aanstaan in Tools > Internet Options > Advanced, onder het "slotje":
• warn if form submittal is being redirected
stond al aan
• warn if changing between secure and not secure mode
stond uit. heb ik aan gezet
• warn about invalid site certificates
stond al aan
• check for signatures on downloaded programs
stond uit. heb ik aan gezet
• check for server signatures revocation
stond uit. heb ik aan gezet
Leuk allemaal maar ik heb daar nooit eerder aan gezeten.
Is dit weer 1 van de onveilige zaken van MS? Ik ga er vanuit dat als ik regelmatig security updates van Microstoft toepas (en dat doe ik) dat dit soort zaken dan al lang aan staan...

[ Voor 3% gewijzigd door RobbieDee op 26-04-2006 11:13 ]

woensdag 26 april 2006 11:32

Acties:
  • 0 Henk 'm!

Verwijderd

Dit zijn instellingen die vermoedelijk elk programma kan aanpassen doormiddel van een aantal simpele 'registry' tweaks. Hiervoor moet je dus wel een virus/trojan of andere rommel hebben draaien en dus een geinfecteerde computer hebben.

Dit is erg simpel op te lossen door een goede virusscanner, gezond verstand en last but not least niet onder Administrator mode draaien.

woensdag 26 april 2006 11:40

Acties:
  • 0 Henk 'm!
  • BasieP
  • Registratie: Oktober 2000
  • Laatst online: 22-07-2024

BasieP

Verwijderd schreef op woensdag 26 april 2006 @ 11:32:
Dit zijn instellingen die vermoedelijk elk programma kan aanpassen doormiddel van een aantal simpele 'registry' tweaks. Hiervoor moet je dus wel een virus/trojan of andere rommel hebben draaien en dus een geinfecteerde computer hebben.

Dit is erg simpel op te lossen door een goede virusscanner, gezond verstand en last but not least niet onder Administrator mode draaien.
je zou er met alleen gezond verstand en kennis van zaken ook kunen komen. Verder kan je je zekerheid vergroten door IE aan de kant te schuiven en FF oid te nemen. Deze heeft niet van dit soort rare problemen, en is niet zo lek als IE. (nofi just facts)

Onder administrator (of acc. met admin rechten) werken doet geloof ik 90% van de thuisgebruikers (including me)

This message was sent on 100% recyclable electrons.

woensdag 26 april 2006 11:40

Acties:
  • 0 Henk 'm!
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 12-09 09:57

killercow

eth0

Dit zal wel als frame worden gezien:

Stug IE blijven gebruiken natuurlijk, surf gewoon eens met een andere browser, firefox/opera.
En zoals iemand in deze thread al zijn, gebruik knoppix om te internet bankieren als je echt zo nodig die spyware magneet (IE) wil blijven draaien.

Mocht je hier niet genoeg van geschrokken zijn, kun je natuurlijk altijd verder blijven surfen op deze besmette pc icm IE, met alle gevolgen van dien, wellicht worden je gegevens alsnog netjes naar de spyware installer gestuurd. (eventueel kun je ook nog meer pc vertragende scanner en cleaners installeren.)

openkat.nl al gezien?

woensdag 26 april 2006 11:46

Acties:
  • 0 Henk 'm!

Verwijderd

BasieP schreef op woensdag 26 april 2006 @ 11:40:
[...]

je zou er met alleen gezond verstand en kennis van zaken ook kunen komen. Verder kan je je zekerheid vergroten door IE aan de kant te schuiven en FF oid te nemen. Deze heeft niet van dit soort rare problemen, en is niet zo lek als IE. (nofi just facts)
Ik heb het niet over mogelijke infectie, maar als de pc geïnfecteerd is maakt het niet uit of de user IE, FF of Mozilla gebruikt.

Opera wordt vooralsnog niet door deze malware familie gemonitord.

woensdag 26 april 2006 14:24

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op woensdag 26 april 2006 @ 11:32:
Dit zijn instellingen die vermoedelijk elk programma kan aanpassen doormiddel van een aantal simpele 'registry' tweaks. Hiervoor moet je dus wel een virus/trojan of andere rommel hebben draaien en dus een geinfecteerde computer hebben.

Dit is erg simpel op te lossen door een goede virusscanner, gezond verstand en last but not least niet onder Administrator mode draaien.
Mijn Norton (wordt hier afgezeken) is inderdaad onderuit gegaan. Door dezelfde handige rommel die ik heb binnen gekregen. Over gezond verstand zullen we het hier maar niet hebben. En ik draai nooit (tenzij ik iets installeer) in admin mode.

woensdag 26 april 2006 14:26

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
BasieP schreef op woensdag 26 april 2006 @ 11:40:
Onder administrator (of acc. met admin rechten) werken doet geloof ik 90% van de thuisgebruikers (including me)
Nog iets zinnigs bij te dragen hier? Of alleen maar bezig het slimme kind uit te hangen?

woensdag 26 april 2006 14:30

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
killercow schreef op woensdag 26 april 2006 @ 11:40:
Dit zal wel als frame worden gezien:

Stug IE blijven gebruiken natuurlijk, surf gewoon eens met een andere browser, firefox/opera.
En zoals iemand in deze thread al zijn, gebruik knoppix om te internet bankieren als je echt zo nodig die spyware magneet (IE) wil blijven draaien.

Mocht je hier niet genoeg van geschrokken zijn, kun je natuurlijk altijd verder blijven surfen op deze besmette pc icm IE, met alle gevolgen van dien, wellicht worden je gegevens alsnog netjes naar de spyware installer gestuurd. (eventueel kun je ook nog meer pc vertragende scanner en cleaners installeren.)
Inderdaad ben ik geschrokken ja. Ik heb hier niet gepost om een potje afgezeken te worden door mensen die iets andere gebruiken dan ik. Dus graag ter zake doende bijdragen of betrouwbare adviezen.

woensdag 26 april 2006 14:40

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op woensdag 26 april 2006 @ 14:30:
[...]

Inderdaad ben ik geschrokken ja. Ik heb hier niet gepost om een potje afgezeken te worden door mensen die iets andere gebruiken dan ik. Dus graag ter zake doende bijdragen of bekhouwe.
Tja, je kan natuurlijk de oorzaak van het probleem aanpakken, of tot in de eeuwigheid aan symptoonbestrijding blijven doen. Als jij aan dat laatste de voorkeur geeft moet je dat natuurlijk zelf weten...

woensdag 26 april 2006 14:45

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op woensdag 26 april 2006 @ 11:46:
[...]

Ik heb het niet over mogelijke infectie, maar als de pc geïnfecteerd is maakt het niet uit of de user IE, FF of Mozilla gebruikt.

Opera wordt vooralsnog niet door deze malware familie gemonitord.
Ik heb na jouw (Kaspersky) scan inderdaad mijn ernstige twijfels over het nut/effectiviteit van mijn inderdaad verouderde Norton scan engine (virus files waren wel up to date). Die is kennelijk makkelijk onderuit te halen. Voordat ik jou die files stuurde gaf Norton er geen melding (meer) over. Ten tijde van de besmetting wel maar Norton kon niet voorkomen dat ik daadwerkelijk besmet raakte. En toen de besmetting eenmaal binnen was kon Norton er niets meer mee. Ik ga op zoek naar een alternatief. Ik heb inmiddels een handmatige update gedaan en nu ziet Norton het meeste wel (niet alles).

Verders heb ik met Sysinternals RootkitRevealer1.7 gezocht en niks gevonden dat duidt op aanwezigheid van. Ook Hijackthis geeft een keurig kort en volledig verklaarbaar lijstje.

Kan ik er nu van uit gaan dat ik schoon ben of zijn er nog tests die ik kan/moet doen om daar zeker van te zijn?

woensdag 26 april 2006 14:51

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op woensdag 26 april 2006 @ 14:40:
[...]


Tja, je kan natuurlijk de oorzaak van het probleem aanpakken, of tot in de eeuwigheid aan symptoonbestrijding blijven doen. Als jij aan dat laatste de voorkeur geeft moet je dat natuurlijk zelf weten...
En wat raad jij me dan concreet aan dieder51? Graag terzakedoende bijdragen weet je nog en gebruik je die dan zelf ook of alleen maar van horen zegge?

woensdag 26 april 2006 14:54

Acties:
  • 0 Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

RobbieDee schreef op woensdag 26 april 2006 @ 14:51:
En wat raad jij me dan concreet aan dieder51? Graag terzakedoende bijdragen weet je nog en gebruik je die dan zelf ook of alleen maar van horen zegge?
Reageer eens heel snel wat normaler? Je hoeft echt niet zo aanvallend te doen naar iedereen hoor?

Bovendien - mag je gewoon even je laatste bericht editten in plaats van een nieuwe reactie te plaatsen :)

woensdag 26 april 2006 15:08

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op woensdag 26 april 2006 @ 14:51:
[...]

En wat raad jij me dan concreet aan dieder51? Graag terzakedoende bijdragen weet je nog en gebruik je die dan zelf ook of alleen maar van horen zegge?
Aangezien je je huidige install niet meer kunt vertrouwen die bak formatteren, alles opnieuw installeren en updaten natuurlijk. Goede up-to-date virusscanner + firewall installeren. Overstappen op een andere browser. Geen porno en warezsites meer bezoeken :+ En natuurlijk in de toekomst braaf alle updates en patches bijhouden.

woensdag 26 april 2006 16:15

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op woensdag 26 april 2006 @ 15:08:
[...]
Aangezien je je huidige install niet meer kunt vertrouwen die bak formatteren, alles opnieuw installeren en updaten natuurlijk. Goede up-to-date virusscanner + firewall installeren. Overstappen op een andere browser. Geen porno en warezsites meer bezoeken :+ En natuurlijk in de toekomst braaf alle updates en patches bijhouden.
Daar zitten mooie adviezen bij. Balkenende zou trotst op je zijn ;)
Maar formateren etc. etc. klinkt toch wat drastisch. Ook al zal ik dat zeker doen als is aangetoond dat ik nog steeds een besmette bak heb. En een restore van een schone ghost image (maar ja wat is schoon??) zal niet een groot probleem zijn. Wel behoorlijk bewerkelijk en daarna kun je nogmaals al die updates draaien (ik ben redelijk bij hoor)...

Daarom hieronder een mooie netstat -a
Ik heb op dat moment twee Tweakers windows in IE open. Wie hier afgezien van de advertenties vuiligheid tussen ziet, of tips heeft om de boel verder dicht te timmeren. Ik hoor het graag. O ja: 38037 is van Norton.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\Documents and Settings\Robbiedee>netstat -a

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    perfect-part:epmap     perfect-part:0         LISTENING
  TCP    perfect-part:microsoft-ds  perfect-part:0         LISTENING
  TCP    perfect-part:1025      perfect-part:0         LISTENING
  TCP    perfect-part:1026      perfect-part:0         LISTENING
  TCP    perfect-part:netbios-ssn  perfect-part:0         LISTENING
  TCP    perfect-part:1161      www.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1165      www.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1169      www.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1171      www.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1172      www.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1181      adforce.adtech.de:http  TIME_WAIT
  TCP    perfect-part:1183      x86adserv002.adtech.de:http  TIME_WAIT
  TCP    perfect-part:1192      x86adserv008.adtech.de:http  TIME_WAIT
  TCP    perfect-part:1195      x86adserv018.adtech.de:http  TIME_WAIT
  TCP    perfect-part:1196      gathering.tweakers.net:http  TIME_WAIT
  TCP    perfect-part:1198      adforce.adtech.de:http  TIME_WAIT
  TCP    perfect-part:1200      adforce.adtech.de:http  TIME_WAIT
  UDP    perfect-part:microsoft-ds  *:*
  UDP    perfect-part:38037     *:*
  UDP    perfect-part:1157      *:*
  UDP    perfect-part:netbios-ns  *:*
  UDP    perfect-part:netbios-dgm  *:*
  UDP    perfect-part:isakmp    *:*

C:\Documents and Settings\Robbiedee>

woensdag 26 april 2006 16:44

Acties:
  • 0 Henk 'm!
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 12-09 09:57

killercow

eth0

Zoals bassie al zei

Je kunt je bak niet meer vertrouwen. Ookal geeft je pc netjes een netstat overzichtje, dan nog wil dat niet zeggen dat dat niet getweakte netstat exe is, of dat er (nog erger) een rootkit in je kernel zit.

Er zijn volgens mij al enkele virii uit die een rootkit installeren waardoor je kernel dus niet meer te vertrouwen is. (en omdat jij blijkbaar een nieuw virus te pakken hebt (je hebt immers alle updates redelijk gedraaid), is die kans best groot)

Ps,
Dus graag ter zake doende bijdragen of betrouwbare adviezen.
firefox/!IE gebruiken is een nuttig advies, dus waarom jij nog steeds met ie (zoals je zelf hierboven post) aan het surfen bent, is mij een raadsel. Wat is trouwens niet betrouwbaar aan dat advies? controlleer anders de pagina van secunia even:
firefox 1.5: http://secunia.com/product/4227/ of opera: http://secunia.com/product/4932/
tegen:
ie: http://secunia.com/product/11/

openkat.nl al gezien?

woensdag 26 april 2006 17:55

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
killercow schreef op woensdag 26 april 2006 @ 16:44:Er zijn volgens mij al enkele virii uit die een rootkit installeren waardoor je kernel dus niet meer te vertrouwen is. (en omdat jij blijkbaar een nieuw virus te pakken hebt (je hebt immers alle updates redelijk gedraaid), is die kans best groot)
Ik heb met Sysinternals RootkitRevealer1.7 gezocht en niks gevonden dat duidt op aanwezigheid van een rootkit.

woensdag 26 april 2006 18:10

Acties:
  • 0 Henk 'm!
  • Zpottr
  • Registratie: Mei 2000
  • Niet online

Zpottr

Henk

RobbieDee schreef op woensdag 26 april 2006 @ 17:55:
Ik heb met Sysinternals RootkitRevealer1.7 gezocht en niks gevonden dat duidt op aanwezigheid van een rootkit.
Je wilt het echt niet snappen he? In principe is niets dat op dat systeem gebeurt nog betrouwbaar. Als er eenmaal kwaaie kode op draait of gedraait heeft is beginnen van scratch (of met een image waarvan je zeker weet dat het van voor de infectie is) de enige zekere manier om er van af te raken.

Zoef

woensdag 26 april 2006 18:11

Acties:
  • 0 Henk 'm!
  • Dersan
  • Registratie: Augustus 2004
  • Laatst online: 17:35

Dersan

Gewoon formatje C doen omdat dit een vrij nieuw virus/trojan is weet niemand voor 100%hoe hij werkt.

woensdag 26 april 2006 18:19

Acties:
  • 0 Henk 'm!
  • brehloi
  • Registratie: Februari 2004
  • Laatst online: 07-09 18:10

brehloi

Die format zou ik inderdaad maar doen. Zie het zo: Onbekende, kwaadwillende code heeft vrij spel gehad in je systeem. Een deel van wat het doet heb je zelf ondervonden, maar wat er nog meer is gebeurd is onbekend. Wellicht zit het zo diep in je systeem dat scanners het niet weten te ontdekken of wellicht worden de resultaten van de scans ook door het infectie bewerkt. Format is hier echt de oplossing.

Ik schrok trouwens wel van je screenshot, al is de tekst wel erg vreemd. Toch ook de digibeten in de familie die online bankieren nog een keertje waarschuwen/over laten stappen naar Firefox.

[ Voor 20% gewijzigd door brehloi op 26-04-2006 18:21 ]

woensdag 26 april 2006 18:45

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op woensdag 26 april 2006 @ 14:45:
[...]

Ten tijde van de besmetting wel maar Norton kon niet voorkomen dat ik daadwerkelijk besmet raakte.
Hoe ben je precies geïnfecteerd geraakt? Dmv. het bezoeken van een bepaalde warez site?
Kan ik er nu van uit gaan dat ik schoon ben of zijn er nog tests die ik kan/moet doen om daar zeker van te zijn?
HJT geeft slechts een beperkte weergave van wat er op een systeem gaande is. Alleen daar op vertrouwen lijkt me niet verstandig.
Voer anders eens een full system scan uit @ http://www.kaspersky.com/virusscanner
Schakel het gebruik van de extended bases in voor het starten van de scan.
killercow schreef op woensdag 26 april 2006 @ 16:44:
Ookal geeft je pc netjes een netstat overzichtje, dan nog wil dat niet zeggen dat dat niet getweakte netstat exe is,
Het is Windows, niet Unix. :+
of dat er (nog erger) een rootkit in je kernel zit.
Een 'getweakte' netstat.exe fabriceren zal een stuk meer moeite kosten dan het gebruiken van een (kant en klare) rootkit.
Er zijn volgens mij al enkele virii uit die een rootkit installeren
Er zijn meer dan genoeg malware die rootkitfunctionaliteit hebben.
(en omdat jij blijkbaar een nieuw virus te pakken hebt (je hebt immers alle updates redelijk gedraaid), is die kans best groot)
Omdat iets een nieuwe malware is, is de kans groot dat er een rootkit tussen zit? Dat vind ik niet logisch. :)
Niettemin zit er een rootkit in het pakket.
Dersan schreef op woensdag 26 april 2006 @ 18:11:
Gewoon formatje C doen omdat dit een vrij nieuw virus/trojan is weet niemand voor 100%hoe hij werkt.
Ik weet voor 100% hoe die malware werkt. ;)
Dat an sich is natuurlijk geen reden om er een format tegenaan te gooien, het hoeft niet per se te betekenen dat een malware gevaarlijk is alleen omdat iets nieuw is.
Van de andere kant is het ook weer zo dat in sommige gevallen je juist, omdat je weet hoe hij werkt, je een format aanraadt. :)

Gezien de bundle malware is het kan TS het (misschien) beter op safe spelen ipv. een (mogelijk) risico te nemen.

TS moet in elk geval al zijn wachtwoorden veranderen, hoewel het veranderen op een nog geïnfecteerde computer niet veel nut heeft.

woensdag 26 april 2006 19:04

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op woensdag 26 april 2006 @ 18:45:
Hoe ben je precies geïnfecteerd geraakt? Dmv. het bezoeken van een bepaalde warez site?
dieder51 had aaardig door waar ik was geweest. Maar omdat er zowel vrijdag als zondag iets is gebeurd kan ik dat niet precies aangeven.
HJT geeft slechts een beperkte weergave van wat er op een systeem gaande is. Alleen daar op vertrouwen lijkt me niet verstandig.
Voer anders eens een full system scan uit @ http://www.kaspersky.com/virusscanner
Schakel het gebruik van de extended bases in voor het starten van de scan.
Ga ik vanavond doen. Ik heb al gezien dat het niet weg is.

TBC

woensdag 26 april 2006 19:08

Acties:
  • 0 Henk 'm!
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 12-09 09:57

killercow

eth0

Verwijderd schreef op woensdag 26 april 2006 @ 18:45:
[...]

Het is Windows, niet Unix. :+
En wat is het verschil?
Een 'getweakte' netstat.exe fabriceren zal een stuk meer moeite kosten dan het gebruiken van een (kant en klare) rootkit.
Welnee, een netstat.exe vraagt gewoon aan de kernel all verbindingen.
een getweakte leest de info van de gerenamde netstat en laat verbindingen naar ip/port X/Y niet zien.

Niet echt rocket science ey?
Er zijn meer dan genoeg malware die rootkitfunctionaliteit hebben.
precies.
Omdat iets een nieuwe malware is, is de kans groot dat er een rootkit tussen zit? Dat vind ik niet logisch. :)
Niettemin zit er een rootkit in het pakket.
duh, ontwikkeling van virii gaat ook gewoon door, als de mogelijkheden er zijn, zullen ze er ongetwijfeld gebruik van maken, of worden er ook nog virrii uitgebebracht die floppy's nodig hebben om zich zelf te kopieren.

Gok er maar op dat een groot deel van de nieuwe virii A uit de zelfde hoek komen, en B, trucjes als rootkits en dergelijke gebruiken. zodra de code / techniek bekend is (thanks sony) kan iedere knuppel het gebruiken.

[ Voor 3% gewijzigd door killercow op 26-04-2006 19:10 ]

openkat.nl al gezien?

woensdag 26 april 2006 19:31

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op woensdag 26 april 2006 @ 19:04:
[...]

dieder51 had aaardig door waar ik was geweest. Maar omdat er zowel vrijdag als zondag iets is gebeurd kan ik dat niet precies aangeven.
Ik ga er vanuit dat hetgene wat op zondag is gebeurd een vervolg was van vrijdag.
Het lijkt erop dat een van de Trojan-Downloaders van vrijdag op zondag (meer) malware gedownload heeft.
killercow schreef op woensdag 26 april 2006 @ 19:08:
[...]

En wat is het verschil?
Een van de fundamentele verschillen tussen Windows en UNIX waardoor UNIX zich wél gemakkelijk voor zoiets leent en Windows niet?
Welnee, een netstat.exe vraagt gewoon aan de kernel all verbindingen.
een getweakte leest de info van de gerenamde netstat en laat verbindingen naar ip/port X/Y niet zien.

Niet echt rocket science ey?
Nu je het zo zegt niet nee. In werkelijkheid gaat het er echter iets anders aan toe. :)
Er is veel op inet te lezen hierover, misschien interessant voor je. :)
of worden er ook nog virrii uitgebebracht die floppy's nodig hebben om zich zelf te kopieren.
Uiteraard.
Gok er maar op dat een groot deel van de nieuwe virii A uit de zelfde hoek komen, en B, trucjes als rootkits en dergelijke gebruiken. zodra de code / techniek bekend is (thanks sony) kan iedere knuppel het gebruiken.
Sony is niet de uitvinder van rootkit technologie, alleen de firma die ze bekend heeft gemaakt voor het algemene publiek. Er waren toen al genoeg malware die er gebruik van maakten.

woensdag 26 april 2006 19:42

Acties:
  • 0 Henk 'm!
  • Shuriken
  • Registratie: November 1999
  • Laatst online: 26-08 12:33

Shuriken

Life is all about priorities

Ik heb dit topic met enige intresse gevolgd.

Ik snap niet echt waarom je niet de bak formateert. Je ben nu al dagen bezig en met anderhalf uur heb je compleet schone installatie erop staan.

Zoals hierboven al opgemerkt is je systeem sowieso niet meer te vertrouwen ondanks wat alle virusscanners e.d. melden. Zelfs rootkit detectie werkt niet feiloos en dat geven de makers ook aan bij deze tools.

Een netstat is leuk. Maar als er al een gepatchte netstat.exe opstaat die express bepaalde verbindingen niet laat zien zegt dat zo goed als niets.

I rather have a bottle in front of me, then a frontal lobotomie

woensdag 26 april 2006 19:44

Acties:
  • 0 Henk 'm!
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 12-09 09:57

killercow

eth0

Er is werkelijk geen verschil tussen een netstat "tweaken" voor windows, als voor unix Je roept in beide gevallen gewoon de nodige os parameters aan, of de nodige driver calls. Waarom kan een unix bak wel gemakkelijk een getweakte netstat hebben, en een windows bak niet? de meeste distro's hebben het ipv4 netwerk gedeelte ook monolitisch in de kernel gebakken.

Ik programmeer al jaren, en programma technisch is dit de mooiste/gemakkelijkste oplossing buiten een rootkit om die de kernel aanpast.
Een tweede oplossing zou zijn om de driver die netstat aanspreekt te vervangen door een losse versie die jouw ip's ports ontzichtbaar houdt.

Daarnaast komt er natuurlijk nog een bult polymorphistische code omheen die de boel netjes scrambled, en eventueel kun je delen van andere system files gebruiken als daar toevallig de benodigde stukken xml/code/asci ook in zitten zodat je niet zo gemakkelijk herkend wordt (maar dat is jouw tak van sport).

Ik durf er redelijk zeker van te zijn dat er geen nieuwe virussen zijn die floppy's nodig hebben om te verspreiden.

Sony is inderdaad niet de uitvinder van de rootkit, maar zoals ik zij, nu kan idere kneus het, er zijn nu namenlijk simpele drivers om te gebruiken.
zie ook: http://en.wikipedia.org/w...blicly_available_rootkits

openkat.nl al gezien?

woensdag 26 april 2006 20:05

Acties:
  • 0 Henk 'm!

Verwijderd

killercow schreef op woensdag 26 april 2006 @ 19:44:
Er is werkelijk geen verschil tussen een netstat "tweaken" voor windows, als voor unix Je roept in beide gevallen gewoon de nodige os parameters aan, of de nodige driver calls. Waarom kan een unix bak wel gemakkelijk een getweakte netstat hebben, en een windows bak niet? de meeste distro's hebben het ipv4 netwerk gedeelte ook monolitisch in de kernel gebakken.
Waar Schouw vermoedelijk op doelt is dat unix open-source is en je dus makkelijk even netstat kunt editen in tegenstelling tot windows.

Netstat voor windows is wel wat complexer dan wat jij net aangaf en kun je niet zomaar even namaken.

[ Voor 15% gewijzigd door Verwijderd op 26-04-2006 20:08 ]

woensdag 26 april 2006 20:38

Acties:
  • 0 Henk 'm!

Verwijderd

killercow schreef op woensdag 26 april 2006 @ 19:44:
Er is werkelijk geen verschil tussen een netstat "tweaken" voor windows, als voor unix Je roept in beide gevallen gewoon de nodige os parameters aan, of de nodige driver calls.
Als je het over het tweaken van netstat.exe hebt, dan heb je het (bij mij) over het aanpassen(of vervangen) van dat betreffende programma. Dat is bij UNIX gemakkelijker dan bij Windows.
Kijk maar naar het aantal rootkits voor UNIX vs. het aantal rootkits voor Windows die zo functioneren. :)
Ik durf er redelijk zeker van te zijn dat er geen nieuwe virussen zijn die floppy's nodig hebben om te verspreiden.
Zulk soort virussen wordt nog steeds geschreven, dat je ze zeer waarschijnlijk nooit in het wild zal tegenkomen is wat anders. :)
Sony is inderdaad niet de uitvinder van de rootkit, maar zoals ik zij, nu kan idere kneus het, er zijn nu namenlijk simpele drivers om te gebruiken.
Die simpele kits waren al (goed) bekend voor het Sony gebeuren.

donderdag 27 april 2006 23:55

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Heb met AVG alles weggekregen wat door Kaspersky online scan was aangetoond.
Norton is naar devnull verwezen en AVG bewaakt hier nu de boel. Ook heb ik Zonealarm in ere hersteld. Ik waande me veilig achter Firewalls in routers en had daarom al een paar jaar geleden afscheid van ZA genomen. Het blijkt dus toch nodig.

Oh Ja. Ik meen dat de aanval van vrijdag met een nieuwe Spyware Sherrif te maken heeft (heb daar net de secure32.htm van weg gegooid). De Smit files + Roquescan (o.i.d.) die ik hier nog had liggen konden het niet detecteren. Ik las elders in dit forum dat er sinds vorige week woensdag een nieuwe in omloop is (de besmetting dus) en het niet vreemd was dat ik het niet weg kreeg.

Nog bedankt voor de tips en veel formateerplezier. Voor de liefhebbers heb ik nog een paar doosjes floppies in de aanbieding. :>

[ Voor 58% gewijzigd door RobbieDee op 28-04-2006 00:01 ]

vrijdag 28 april 2006 00:06

Acties:
  • 0 Henk 'm!
  • Bhai
  • Registratie: Mei 2005
  • Laatst online: 10-09 19:24

Bhai

Dit soort berichten maken me soms bang (ik ben niet zo dom om zomaar TAN-codes in te toetsen maarja).

Verder vind ik het heel raar dat er virusscanners als Norton (die toch redelijk bekend is) zich hier niet tegen kunnen beschermen :{

Ik voel me dan met Kaspersky ook 100% veilig (icm firewall).

Nog 1 ding: in jouw situatie zou ik ZEKER een backup terugzetten of er iig voor zorgen voor een format C: Misschien heeft deze virus wel al je wachtwoorden of zit er een keylogger achter. :|

vrijdag 28 april 2006 00:33

Acties:
  • 0 Henk 'm!

Verwijderd

TS: Heb je je wachtwoorden inmiddels al allemaal veranderd?

vrijdag 28 april 2006 01:10

Acties:
  • 0 Henk 'm!

Verwijderd

In IE7 Beta zit in phishing filter ingebouwd _/-\o_

vrijdag 28 april 2006 01:26

Acties:
  • 0 Henk 'm!
  • Zpottr
  • Registratie: Mei 2000
  • Niet online

Zpottr

Henk

Verwijderd schreef op vrijdag 28 april 2006 @ 01:10:
In IE7 Beta zit in phishing filter ingebouwd _/-\o_
Ah. En dat zou hier nuttig zijn geweest / wel intact gebleven zijn want . . . . . . . . ?

Zoef

vrijdag 28 april 2006 09:37

Acties:
  • 0 Henk 'm!
  • djfisjtik
  • Registratie: Januari 2002
  • Laatst online: 20-12-2022

djfisjtik

Via google dit topic gevonden. Ik krijg dit bericht ook als ik wil inloggen op mijn postbank. Zal van 't weekend maar weer is windows opnieuw installen 8)7 En overstappen op firefox, dat is tenminste het advies wat ik van iedereen krijg. Ik vraag me wel af via welke site ik geinfecteerd ben geraakt.

vrijdag 28 april 2006 09:44

Acties:
  • 0 Henk 'm!
  • mind_
  • Registratie: November 2003
  • Niet online

mind_

evil smile

RobbieDee schreef op maandag 24 april 2006 @ 22:16:
[afbeelding]
^^ volgens mij zie ik op de screenshot zelf al spyware.
(icoontjes rechts).

raad je trouwens aan om met een veiligere browser te surfen.
zoals firefox

com·pu·ter (de ~ (m.), ~s) 1 elektronische informatieverwerkende machine die door een reeks gecodeerde instructies wordt bestuurd

vrijdag 28 april 2006 09:52

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 18:01

DiedX

Wat ik nog wel raar vind: Die proxy server bij TS draait op poort 80. Lijkt mij ook niet helemaal koosjer?

Verder ben ik het met Schouw eens :)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 28 april 2006 10:34

Acties:
  • 0 Henk 'm!
  • ]Byte[
  • Registratie: April 2000
  • Laatst online: 13-09-2020

]Byte[

Verwijderd schreef op vrijdag 28 april 2006 @ 00:33:
TS: Heb je je wachtwoorden inmiddels al allemaal veranderd?
Doe dat dan wel vanaf een PC waarvan je zeker weet dat ie schoon is!
Anders hebben de keyloggers alsnog je wachtwoord.

vrijdag 28 april 2006 12:15

Acties:
  • 0 Henk 'm!

Verwijderd

Toevallig niet bij de Lidl gepint?
Door Redactie op vrijdag 28 april 2006 09:27
Het incident in een Lidl supermarkt waar de rekeningen van meer dan honderd klanten door een pinpaskopieerder werden geplunderd blijkt niet op zichzelf te staan. In het hele land worden rekeningen door criminele bendes geplunderd, zo meldt de Telegraaf. De pinpasjes worden door aangepaste betaalapparaatjes gekopieerd en de code via verborgen camera's gefilmd. Bij veel winkeliers is de laatste tijd ingebroken, maar er werd niets uit de winkels gestolen.

Nu blijkt dus dat 'skimmen' de reden voor de inbraak was. Ook worden de betaalapparaatjes vlak voor sluitingstijd door de dieven voor een namaakexemplaar omgeruild. Inmiddels komen uit het hele land meldingen van burgers van wie de rekening na een aankoop in een winkel geplunderd is. Het Interregionaal Fraude Team van Bureau Financieel Economische Recherche heeft de zaak in onderzoek en geeft toe dat het een grote affaire is

[ Voor 2% gewijzigd door Spider.007 op 30-04-2006 16:41 . Reden: CODE > quote ]

vrijdag 28 april 2006 12:18

Acties:
  • 0 Henk 'm!
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 12-09 20:21

FlipFluitketel

Frontpage Admin
Verwijderd schreef op vrijdag 28 april 2006 @ 12:15:
Toevallig niet bij de Lidl gepint?
[...]
Euhm.. Volgens mij was TS zijn rekening niet geplunderd..
offtopic:
Waarom gebruik je die code-tag ipv de quote? Met de quote komt het fatsoenlijk onder elkaar te staan en niet in zo'n mega-irritante scrollbalk op 2 regels.

[ Voor 2% gewijzigd door Spider.007 op 30-04-2006 16:42 . Reden: CODE > quote ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

vrijdag 28 april 2006 22:02

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
DiedX schreef op vrijdag 28 april 2006 @ 09:52:
Wat ik nog wel raar vind: Die proxy server bij TS draait op poort 80. Lijkt mij ook niet helemaal koosjer?

Verder ben ik het met Schouw eens :)
Die proxy was niet actief. Heb ik er ooit in gezet om iets te testen. En daarna gedeselecteerd. Blijft wel in het lijstje van te kiezen proxies staan. Heb ik er inmiddels uitgehaald.

Verder ben ik het helemaal met Schouw eens. En heb inmiddels gezien dat hij er op 23 maart al voor waarschuwde (Webwereld) en dat de Postbank het toen afdeed als een storm in een glas water (o.i.d.).

De Postbank had me tijdens de besmetting al geadviseerd het Postbank username en passwoord te wijzigen op een andere machine. Dat heb ik binnen een half uur gedaan. En die machine bleek later ook schoon te zijn. Alweer mazzel gehad. :9
De overige passwords waar Schouw op doelt moet ik ook wijzigen omdat hij ze gezien heeft. En nee dat is nog niet gebeurd. ... Dus als je hier vandaag of morgen vreemde post ziet dan kan het zijn dat hij :+ Het password van de postbank zat er niet bij omdat dat niet wordt opgeslagen in de miraculeuze IE bestanden die daar voor zijn.
Weet iemand waar die dingen door IE worden opgeslagen en hoe je ze kunt wissen? Bij FF kun je tenminste zien wat je hebt...

vrijdag 28 april 2006 23:33

Acties:
  • 0 Henk 'm!

Verwijderd

RobbieDee schreef op vrijdag 28 april 2006 @ 22:02:
[...]

De overige passwords waar Schouw op doelt moet ik ook wijzigen omdat hij ze gezien heeft. En nee dat is nog niet gebeurd. ...
Ik werk voor een Anti-Virus bedrijf, dus dat hoeft de reden niet te zijn.

Kennelijk is het je nog niet helemaal duidelijk geworden, dus:

<h3>
Criminelen hebben al je login codes.
</h3>

offtopic:
Waar zijn de HTML rechten gebleven als je ze nog eens nodig hebt? :+

[ Voor 1% gewijzigd door elevator op 29-04-2006 08:53 . Reden: zoiets? O-) ]

zondag 30 april 2006 15:01

Acties:
  • 0 Henk 'm!
  • SpiceWorm
  • Registratie: November 2000
  • Laatst online: 23-07 14:10

SpiceWorm

Nog een laatste toevoeging:

Dat IE/Firefox/whateverbrowseryoueveruse je wachtwoord niet opslaat betekend niet dat het veilig is.

Zodra er een keylogger op je systeem draait/ heeft gedraait weten ze alles wat je ingetyped hebt. En een goede keylogger filtert alle wachtwoorden eruit. Daarom is't internetbankieren bij de postbank niet veilig IMHO. Als laatste maatregel om je geld te berschermen: Stap over op een andere bank.

zondag 30 april 2006 15:16

Acties:
  • 0 Henk 'm!
  • Zpottr
  • Registratie: Mei 2000
  • Niet online

Zpottr

Henk

Spiceworm schreef op zondag 30 april 2006 @ 15:01:
Nog een laatste toevoeging:

Dat IE/Firefox/whateverbrowseryoueveruse je wachtwoord niet opslaat betekend niet dat het veilig is.

Zodra er een keylogger op je systeem draait/ heeft gedraait weten ze alles wat je ingetyped hebt. En een goede keylogger filtert alle wachtwoorden eruit. Daarom is't internetbankieren bij de postbank niet veilig IMHO. Als laatste maatregel om je geld te berschermen: Stap over op een andere bank.
En wat gebruiken die banken dan voor beveiliging, bovenop het login/password plus eenmalig te gebruiken TAN's (via SMS) van de Postbank?

Zoef

donderdag 11 mei 2006 00:23

Acties:
  • 0 Henk 'm!
  • SpiceWorm
  • Registratie: November 2000
  • Laatst online: 23-07 14:10

SpiceWorm

Een kaartlezer voor je pinpas, waarbij je een pincode nodig hebt. Deze pincode kunnen ze niet van je afpakken. Een gebruikersnaam/wachtwoord/tan code wel.

Zie ook mijn post hier

donderdag 11 mei 2006 09:34

Acties:
  • 0 Henk 'm!
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

Spiceworm schreef op donderdag 11 mei 2006 @ 00:23:
Een kaartlezer voor je pinpas, waarbij je een pincode nodig hebt. Deze pincode kunnen ze niet van je afpakken. Een gebruikersnaam/wachtwoord/tan code wel.

Zie ook mijn post hier
Dat gaat natuurlijk niet helemaal op. Het pass+ww+tan-code-verhaal van de postbank is helemaal niet zo insecure als iedereen doet voor komen. Helemaal als je er vanuit gaat dat in de nieuwe situatie de TAN-codes per SMS verstuurd worden. Een cardreader en bankpas kan je ook bemachtigen en zover ik weet hebben de andere banken toch echt geen lock op inlogpogingen.

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 11 mei 2006 17:44

Acties:
  • 0 Henk 'm!
  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Waarom openen al die mensen die hier meningen ventileren over IE verus FF of TAN codes versus nummergeneratorkastjes daar niet gewoon zelf een boeiend topic over. In mijn originele post melde ik een voorval en gaf ook toe dat ik zelf risico's had genomen. Het aantal bijdragen dat daadwerkelijk inging op mijn vraag over advies over het veiliger maken van IE en Java zijn op een hand te tellen (lees: werd niet op in gegaan, behalve door localhost).

Een aantal bijdragen suggererend dat ik maar een dom blondje ben verleidde mij al tot taalgebruik dat de moddereter niet tolereerde. Het lijkt me beter dat dit topic op slot gaat. Alles is tenslotte al gezegd: formatteer je HD, neem overal nieuwe passwords, gebruik geen Norton, ga bij een echte bank en gebruik FF.

Tenslotte wil ik Schouw bedanken voor het verwijzen naar Kaspersky. Daar had ik al ervaring mee een jaar of 6 terug. Jammer dat het gratis schijfje van HetNet het na een jaar niet meer deed...

[ Voor 15% gewijzigd door RobbieDee op 11-05-2006 18:00 ]

donderdag 11 mei 2006 18:56

Acties:
  • 0 Henk 'm!
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

RobbieDee schreef op donderdag 11 mei 2006 @ 17:44:
Waarom openen al die mensen die hier meningen ventileren over IE verus FF of TAN codes versus nummergeneratorkastjes daar niet gewoon zelf een boeiend topic over. In mijn originele post melde ik een voorval en gaf ook toe dat ik zelf risico's had genomen. Het aantal bijdragen dat daadwerkelijk inging op mijn vraag over advies over het veiliger maken van IE en Java zijn op een hand te tellen (lees: werd niet op in gegaan, behalve door localhost).

Een aantal bijdragen suggererend dat ik maar een dom blondje ben verleidde mij al tot taalgebruik dat de moddereter niet tolereerde. Het lijkt me beter dat dit topic op slot gaat. Alles is tenslotte al gezegd: formatteer je HD, neem overal nieuwe passwords, gebruik geen Norton, ga bij een echte bank en gebruik FF.

Tenslotte wil ik Schouw bedanken voor het verwijzen naar Kaspersky. Daar had ik al ervaring mee een jaar of 6 terug. Jammer dat het gratis schijfje van HetNet het na een jaar niet meer deed...
Als er al een reden is om dit topic te sluiten dan is het wel de megairitante manier van reageren die je hebt. Je valt mensen aan alsof ze je voor rotte vis uitmaken en dat vind ik persoonlijk not done!

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq