Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

MSIL.Rewize.A - informatie

Pagina: 1
Acties:

dinsdag 7 november 2006 00:43

Acties:
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 29-11 18:10

DataGhost

iPL dev

Topicstarter
Jaja, het is weer eens zover. Virussen komen nooit op mijn pc, de virusscanner vreet eigenlijk altijd uit zijn neus, maar dit keer was het raak. Een virus dat niet gedetecteerd werd. Toch vreemd, aangezien wat onderzoek mij leerde dat dit virus minstens al zo'n 3 maanden rondzwerft.

Wat is het :?
Een irritante trojan. Het was binnengekomen met een wat minder legaal stuk software O-) dus ik weet niet hoe het verder nog op je pc kan komen. Mijn virusscanners detecteerden het niet (McAfee Enterprise edition, op mn desktop Kaspersky Personal Pro), wat vrij jammer was.

Wat zijn de symptomen :?
Nou, geen. Tenminste, dat is de bedoeling. Ik merkte na een reboot eigenlijk niet zoveel, dwz. mijn pc weigerde verder te booten dan vlak voor het inlogscherm. In veilige modus leerde het eventlog mij dat dat door stylexp kwam. Die had natuurlijk een probleem met dat virus :)
  • Alle .exe-bestanden in C:\Program Files zijn vervangen door .exe-bestanden van precies 16 kB (16.384 bytes), met versienummer 0.0.0.0
  • Alle originele .exe-bestanden staan in C:\Program Files\Common\C_\Program Files\<resp. mappen>
  • Op C:\ zijn de volgende bestanden te vinden:
    • dll6wise.dll
      • 16.384 bytes
      • BitDefender: MSIL.Rewize.A
    • dllhost32.exe
      • 40.960 bytes
      • BitDefender: MSIL.Rewize.A
    • dotnetfx.exe
      • 23.510.720 bytes
    • Interop.Shell32.dll
      • 53.248 bytes
      • Authentium W32/Backdoor.OEI
      • F-Prot: W32/Backdoor.OEI
      • Fortinet: PossibleThreat!012246
    • op32.exe
      • 131.072 bytes
      • AVG: Generic2.DLZ
  • Van sommige snelkoppelingen zijn de iconen verdwenen
  • Bepaalde programma's weigeren te starten en/of geven een foutmelding
  • Bij het opstarten wordt de map C:\Program Files\Common geopend in explorer. Dit heb ik elke keer meegemaakt, maar het lijkt me niet de bedoeling van het virus, dat verder zo verborgen weet te blijven.
Wat doet het :?
Geen flauw idee. Ik heb met bepaalde tooltjes bekeken wat er allemaal voor nuttigs uit te halen valt, daarbij kwam ik tot de conclusie dat het hoogstwaarschijnlijk gebruikt wordt om een of andere attack (functienaam levert minder handige linkjes op) uit te voeren op ebay (search.ebay.com, GetEbayPage, veel HTTP-functies). Verder zijn er nog een paar functies die er verdacht uitzagen, zoals ScanForCommandCodes en AddEncryptedNumber. Aangezien ik al ongeveer een idee had wat het programma hoogstwaarschijnlijk ging doen heb ik het hier maar bij gehouden en ben me gaan concentreren op verwijdering van dit onding.
In elk geval wordt het op de een of andere manier voor het eerst uitgevoerd waardoor het zichzelf installeert in C:\, en in elke binary in Program Files. Het dotnetfx.exe-bestand is waarschijnlijk wel valide en van Microsoft zelf, het programma heeft het nodig om te kunnen draaien. Dit betreft een .NET-2.x-redistributable. Het programma laat zichzelf naar mijn weten niet in het register zien, aangezien het toch wordt gestart met ongeveer elk programma. Ook past het van een aantal (allemaal?) shortcuts het pad naar het icoon aan, zodat daar niks verdachts te zien is. Waarschijnlijk heb ik mijn systeem gereboot voordat het klaar was.
Als je een programma uitvoert wordt in werkelijkheid dat virus gestart, die op zijn beurt weer de originele executable start vanaf de nieuwe locatie. Dit kan met sommige programma's problemen geven, waardoor het zichzelf toch vrij snel verraadt.

Waarmee kan ik het vinden :?
Volgens Jotti's Online Malware Scan alleen maar met BitDefender. Deze detecteert het virus dus als MSIL.Rewize.A. Hier kon ik verder geen informatie over vinden. Scanners als Kaspersky en McAfee herkennen het virus (op dit moment) dus nog niet.

Hoe haal ik het weg :?
Als het goed is is dat simpel :)
  1. Schakel zoveel mogelijk programma's uit via de systray en het Processen-paneel in Taakbeheer. Het liefst is alles uit behalve explorer, die ga je nodig hebben namelijk.
  2. Schakel systeemherstel uit
  3. Verwijder de 5 bestanden hierboven uit C:\
  4. Kopieer alle bestanden uit C:\Program Files\Common\C_\Program Files\ terug in C:\Program Files. Hiermee worden alle .exe-bestanden weer overschreven met hun originele versies. Als je een melding krijgt dat een bestand niet overschreven kan worden hoort dat hoogstwaarschijnlijk nog bij een draaiend proces. Als het niet meer lukt dit te fixen moet je dat in veilige modus doen
  5. Verander je iconen van al je snelkoppelingen terug :X
  6. Doe ondertussen nog even een virusscan, liefst met BitDefender (Gratis online scan), aangezien deze het kan detecteren.
Ik heb trouwens nog steeds last van het verschijnende C:\Program Files\Common, ik moet nog eens uitzoeken hoe dat weg gaat. Iets voor 'morgen'ochtend.

Ik zal de bestanden nog mailen naar Schouw, zodat hij er nog even naar kan kijken. Deze oplossing is in ieder geval voorlopig, ik weet niet zeker of dit het precieze gedrag van het virus is en of het 100% weg is. Op dit moment ben ik nog aan het scannen.

edit: Ohja, het leek me vooral handig voor mensen die ditzelfde probleem hebben, aangezien er vrij weinig te vinden is op GoT (niks namelijk) en op Google (weinig).

Update 12 November 2006: Script voor het herstellen van icons

[ Voor 3% gewijzigd door DataGhost op 12-11-2006 15:12 ]

dinsdag 7 november 2006 00:47

Acties:
  • SanderTje!
  • Registratie: Januari 2002
  • Niet online

SanderTje!

Wauw, goeie informatie! Top :)

(Niet dat ik er last van heb nu, maar je weet maar nooit!)

i7 10700, 32GB RAM, RTX 3080

zondag 12 november 2006 15:08

Acties:
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 29-11 18:10

DataGhost

iPL dev

Topicstarter
Nou, aangezien ik geen zin had mijn linkjes handmatig te fixen heb ik net even de tijd gevonden voor een scriptje :)

Benodigdheden:
ActivePerl
• Win32 modules voor Activeperl
• Een command prompt
• Onderstaand scriptje

Of het met cygwin perl werkt weet ik niet zeker, daarom ActivePerl. Ik heb de Win32-modules in cygwin apart geinstalleerd, later zag ik pas dat cygwin niet fijn met paden omgaat en daarom heb ik het verder maar met ActivePerl geprobeerd. Omdat cygwin wel in mijn path staat weet ik dus niet zeker of ze van AP vandaan komen, of dat AP de cygwin-modules gebruikt.

Hier volgt het scriptje:

Perl: linkfix.pl
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

use Win32::Shortcut;
use File::Find;

$REGEX = 'Common\\\\Data\\\\C_\\\\Program Files\\\\';

sub linkfix {
     /\.lnk$/ or return;

     my $pad  = $File::Find::name;
     my $LINK = new Win32::Shortcut();

     $LINK->Load($pad);
     if ($LINK->{'IconLocation'} =~ m/$REGEX/i) {
          $LINK->{'IconLocation'} =~ s/$REGEX//i;
          $LINK->Save();
          print "Verwerkt: ". $pad ."\n";
     }
     $LINK->Close();
}

find(\&linkfix, "C:/");
#


Dit is vervolgens uit te voeren met:
C:\Perl\bin\perl.exe linkfix.pl

Het programma zal dan alle snelkoppelingen op C:\ doorzoeken (regel 21), en als daar de $REGEX (regel 4) in voorkomt past ie het icon-pad aan en slaat de snelkoppeling opnieuw op. Als de $REGEX niet voorkomt gebeurt er verder niks mee.
Mocht je $REGEX aan willen passen, let er dan op dat er per backslash in het pad er 4 in $REGEX _MOETEN_ staan.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq