MJ12bot/v1.0.8 botnet: Kaspersky antivirus detecteert niet - Privacy en beveiliging

zondag 30 december 2007 13:36

Acties:

Topicstarter

Er lijkt deze maand weer een nieuw botnet gebouwd te zijn, die webservers aardig onder handen neemt

Ik gebruik Kaspersky Antivirus 7.0, maar deze detecteert geen malware op mijn systeem. Echter vindt er wel continu http-verkeer (ca. 30 requests per seconde) naar zeer veel verschillende webservers plaats.

Dit gebeurt bijvoorbeeld met het volgende request:

GET /entry/21255/?lang_id=79&thread=101635 HTTP/1.1
Accept: */*
Accept-Language: en
User-Agent: MJ12bot/v1.0.8 (http://majestic12.co.uk/bot.php?+)
Host: 033928295.us1.badoo.com
Connection: close

Kaspersky is nu hard op zoek naar een oplossing. Mocht er hier toevallig iemand zijn die er mee bekend is en de oplossing voor handen heeft, dan zie ik die graag verschijnen! ^O^

Misshien heeft iemand een monitortool om te kijken welke processen deze http-requests versturen? (en deze dus mogelijk ook kan blokkeren)

Oh ja, systeem draait op Windows XP Pro SP3.

Wie zoekt, zal vinden http://www.google.com

zondag 30 december 2007 14:41

Acties:

Verwijderd

Je zou het systeem eens kunnen scannen met Prevx CSI
Gaat razendsnel. Dat programma speurt naar actieve malware, zal alle processen controleren in een online database. Tevens wordt er gecontroleerd op andere "malware gevoelige" instellingen en rootkits.

zondag 30 december 2007 14:48

Acties:

densoN

Solution: Suggested by Ken from kensadservice.com - add to .htaccess the following: RewriteCond %{HTTP_USER_AGENT} ^MJ12bot/v1.0.8 [NC,OR]

is dit geen optie?

zondag 30 december 2007 16:13

Acties:

eNaSnI

Topicstarter

densoN schreef op zondag 30 december 2007 @ 14:48:
Solution: Suggested by Ken from kensadservice.com - add to .htaccess the following: RewriteCond %{HTTP_USER_AGENT} ^MJ12bot/v1.0.8 [NC,OR]

is dit geen optie?

Dat is toch voor een webserver? Ik draai Windows XP Pro (en voor zover bekend zonder webserver) die volgens mij nu deel uitmaakt van een botnet d.m.v. een door Kaspersky nog niet onderkend virus.

Wie zoekt, zal vinden http://www.google.com

maandag 31 december 2007 12:54

Acties:

blackd

eNaSnI schreef op zondag 30 december 2007 @ 13:36:
Echter vindt er wel continu http-verkeer (ca. 30 requests per seconde) naar zeer veel verschillende webservers plaats.

Dit gebeurt bijvoorbeeld met het volgende request:

Kun je m.b.v. netstat -ano in een command prompt kijken welk PID verantwoordelijk is voor deze requests? Dit PID kan je dan mogelijk in taskmgr (of Process Explorer) opzoeken en kijken welk proces het is. Of direct via TCPView.

Deze file zou je via http://virusscan.jotti.org/ kunnen scannen.

[ Voor 7% gewijzigd door blackd op 31-12-2007 12:58 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 31 december 2007 14:50

Acties:

jota

Meer info over deze bot,hier een reactie van de auteur van deze bot,schijnt een versie in omloop te zijn die deze ellende veroorzaakt.

dinsdag 1 januari 2008 16:26

Acties:

eNaSnI

Topicstarter

4eyes schreef op maandag 31 december 2007 @ 14:50:
Meer info over deze bot,hier een reactie van de auteur van deze bot,schijnt een versie in omloop te zijn die deze ellende veroorzaakt.

Bedankt voor je bijdrage. Gelukkig is de 'eNaSnI' in dat topic dezelfde als deze

Wie zoekt, zal vinden http://www.google.com

dinsdag 1 januari 2008 16:37

Acties:

eNaSnI

Topicstarter

blackd schreef op maandag 31 december 2007 @ 12:54:
[...]

Kun je m.b.v. netstat -ano in een command prompt kijken welk PID verantwoordelijk is voor deze requests? Dit PID kan je dan mogelijk in taskmgr (of Process Explorer) opzoeken en kijken welk proces het is. Of direct via TCPView.

Deze file zou je via http://virusscan.jotti.org/ kunnen scannen.

Dat TCPVIEW is een goede tip, top. Op dit moment zie ik geen vreemde requests meer!

Hopelijk is het virus zich nu ergens anders gaan vermaken

Wie zoekt, zal vinden http://www.google.com

Pagina: 1

Reageer