Waarschijnlijk een virus, maar onvindbaar.

MADG0BLIN schreef op donderdag 17 april 2008 @ 13:22:
Er komt zometeen iemand langs die is aangeraden door onze virus leverancier. Die gaat een volledige netwerk scan doen en nog wat andere dingen.
Hij is er over een half uur. Zal dan nog een update doen.
Voor de rest hebben we geen nieuws.

Welke keylogger is het precies?

Nog nieuws?
Met betrekking tot de netwerkscan

hier hebben we de kogel door de kerk. fileserver en werkstations worden geherinstalleerd. *zucht*

Verwijderd schreef op donderdag 17 april 2008 @ 13:59:
C:\Documents and Settings\user\Local Settings\Temp

daarin komen de .exe bestanden te staan die mede voor een infectie zorgen.
En tevens worden er in het register de firewall van de clients uitgezet.

kan je die map niet schrijfbaar maar onleesbaar maken voor alle gebruikers?
(buiten je eigen account waarmee je de server doorzoekt?)

dan stop je mogelijk al het opnieuw binnenkomen van de troep.

Je hebt / jullie hebben er in ieder geval de handen mee vol.
Een rechtstreeks gevecht tussen echte beheerders en 'invaders'
(hou er in ieder geval een hub tussen met daaraan een volledig afgeschermde client die snift. en logt
zodoende dat je altijd achteraf een lijst van verbindingen hebt en overgedragen file's - anderen kunnen daarmee misschien verder om verdere infectie's te voorkomen, en jullie kunnen er ev. schade-claims mee staven) en log ook je eigen actie's en de reactie's van de troep - al is het met pen en papier - zodoende dat je gericht een "lokale tegen-aanval" kunt doen.

is het ook niet mogelijk om de clients op een soort virtuele pc te laten werken ?
dan kunnen er geen programma's geïnstalleerd worden of bij de volgende reboot zijn ze weer weg.

pm1 schreef op donderdag 17 april 2008 @ 17:19:
is het ook niet mogelijk om de clients op een soort virtuele pc te laten werken ?
dan kunnen er geen programma's geïnstalleerd worden of bij de volgende reboot zijn ze weer weg.

Maar als je Domein controller geïnfecteerd is en je wilt de pc aan het domein hangen ben je de sjaak.
Dan moet je direct op internet zitten met de pc en niet nog op een switch of wat (of zodanig afschermen (23 vlan's ?) anders gaan ze elkaar infecteren.
En dan zit je weer met de mailserver / citrix servers.

OK, ik volg dit topic ook al met grote interesse...
Ik ben nog maar 14, en verwacht niet dat ik erg veel zal kunnen helpen, maar dan hier toch al eventjes een overzicht:

Virussen gevonden, en door welke virusscanner:

Win32/Horst.gen33 Norman
Win32/Agent.NTJ trojan NOD32 ?
Win32/Sality.NAO virus NOD32 ?
Win32/SpamTool.Agent.NAR trojan NOD32 ?
Application.Component.Keyloggers NOD32 ?
Virus Lop AVG
Trojan Horse Generic9.AVKK AVG
Win32/Genetik NOD32
Vundo.F AVG
Adware.Virtumonde AVG
Proxy.ABAC AVG
Backdoor.NTrootkit.AM AVG

Wat gebeurt er allemaal:

- Er worden nieuwe virussen gedownload
- Na verwijderen van virussen komen ze terug
- Virussen zorgen ervoor dat CPU constant op 100% draait
- Virussen zorgen voor andere virussen in de Temp directory
- Virussen infecteren de andere machines in het netwerk
- De virussen besmetten andere executable's, die oorspronkelijk legitieme MS processen waren.
- Virussen krijgen random namen


Oplossingen tot nu toe:

- De Temp directory weinig rechten geven
- PC's aan internet hangen via Proxy.
- PC's niet aan internet hangen

Ik hoop dat er snel een goede oplossing komt, liefst van de Anti - Virus producenten...

Als er iets mis is met m'n lijstje zeg maar

Je lijst klopt idd aardig. De temp minder recht geven scheelt idd een hoop.
Wij hadden het zelfs in ons admin account zitten. Op dit moment de enige "voorlopige" oplossing is her-install (en ja het kan terug komen)

De virus boeren moeten snel met een oplossing komen. Hoor hier en daar namelijk steeds meer geluiden dat het aan het verspreiden is. Het gaat zo diep dat het op kernel niveau zit. De scanners herkennen het wel maar kunnen er verder niks mee.

Het heeft ons een hoop tijd gekost en de klant natuurlijk ook. Verder wat belangrijk is op dit moment geen usb sticks of wat dan ook toe laten op je netwerk. En wij checken alles offline. De proxy oplossing hebben wij niet geprobeerd aangezien we toen al bezig waren met het netwerk opbouwen.
Gelukkig zijn we nu al aardig ver. Domein draait weer en exchange loopt ook weer. vanmiddag zijn de citrix servers opnieuw geinstalleerd. En straks gaan collega's de software voor de citrix clients installeren. Voor mij is het op dit moment tijd om te gaan slapen. Het mannetje met de hamer is al een aantal uurtjes aan het hakken bij me

De backup van voor het virus moet eerst op een isolated omgeving nagekeken worden voor er een restore gemaakt wordt. Wie weet zit er een incubatie tijd op of wat dan ook.
Heb weleens met vervelende virussen te maken gehad.... maar dit slaat alles

tevens hebben we ook gelijk wat extra beveiliginging ingebouwd doormiddel van een Sonicwall en een Sonicwall email appliance

[ Voor 15% gewijzigd door Verwijderd op 17-04-2008 19:11 ]

Verwijderd schreef op donderdag 17 april 2008 @ 19:08:
Je lijst klopt idd aardig. De temp minder recht geven scheelt idd een hoop.
Wij hadden het zelfs in ons admin account zitten. op dit moment de enige "voorlopige" oplossing is her-install (en ja het kan terug komen)
De virus boeren moeten snel met een oplossing komen. Hoor hier en daar namelijk steeds meer geluiden dat het aan het verspreiden is. Het gaat zo diep dat het op kernel niveau zit. De scanners herkennen het wel maar kunnen er verder niks mee.
Het heeft ons een hoop tijd gekost en de klant natuurlijk ook. Verder wat belangrijk is op dit moment geen usb sticks of wat dan ook toe laten op je netwerk. En wij checken alles offline. De proxy oplossing hebben wij niet geprobeerd aangezien we toen al bezig waren met het netwerk opbouwen.
Gelukkig zijn we nu al aardig ver. Domein draait weer en exchange loopt ook weer. vanmiddag zijn de citrix servers opnieuw geinstalleerd. En straks gaan collega's de software voor de citrix clients installeren. Voor mij is het op dit moment tijd om te gaan slapen. Het mannetje met de hamer is al een aantal uurtjes aan het hakken bij me

Weltrusten.
Ook alle workstations opnieuw geherinstalleerd?
En de Fileserver?
Mail archieven waren die niet besmet.

LuckyY schreef op donderdag 17 april 2008 @ 19:11:
[...]


Weltrusten.
Ook alle workstations opnieuw geherinstalleerd?
En de Fileserver?
Mail archieven waren die niet besmet.

Mail was niet besmet of tenminste niet vanaf afgelopen zaterdag. De restore van maandag durven we op moment nog niet live te doen natuurlijk.
De fileserver gaf redelijk wat problemen. Maar wederom hebben we een vm terug gekregen die clean was en daarna de backup gegevens van zaterdag terug gebracht.
Slapen... ooo ja heb mijn bedje de afgelopen dagen te weinig gezien

Eerst van dinsdag om 16:30 tot 2:00 gezocht naar een oplossing gezocht en toen besloten om de boel maar down te gooien. Effe naar bed en om 6:00 verder voor een oplossing.. helaas aangezien de klant zeer belangrijk is in de maatschappij was voor ons het tijd om een beslissing te nemen om de klant zo snel mogelijk in een werkende productie omgeving te brengen.
Dus tot 24:00 uur door gegaan en alle clients een nieuwe install gegeven zodat vanmorgen de users iig weer toegang tot mail en mappings hadden.

Met ons team van 4/5 man zijn we hier goed ingeslaagd moet ik zeggen ! (en ja ze lezen ook mee )

iig jammer dat het gebeurde maar dat het redelijk goed is opgelost (niet alles in gerestored maar dat was ook niet mogelijk)

En om de minuut f5 te beuken

[ Voor 19% gewijzigd door LuckY op 18-04-2008 08:04 ]

soulrider schreef op donderdag 17 april 2008 @ 17:01:
[...] (hou er in ieder geval een hub tussen met daaraan een volledig afgeschermde client die snift. en logt zodoende dat je altijd achteraf een lijst van verbindingen hebt en overgedragen file's [....]

Een goed ingerichte netwerk sniffer heeft geen IP protocol aan staan op de poort waarmee het netwerk verkeer gemonitord wordt.
Hij is dus automatisch volledig afgeschermd, tenzij een andere netwerkkaart alsnog met een 'vuil' netwerk verbonden is.

We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Het is een heel vervelend virus wat je maar niet weg kunt krijgen.
De specialisten van Norman zijn druk doende om hiervoor een fix te maken.

Verwijderd schreef op donderdag 17 april 2008 @ 21:34:
We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Not sure how your Dutch is but there is not a real cure as of now >> the systems affected are being re-installed without any guarantee that it will not re-occur.
What helped so-far to contain the virus -partilally- is:
- De Temp directory weinig rechten geven | restrict all users rights to the Temp dir (path somwhere in this post, search in upper right of your screen use searching 'Dit topic AND' which is default setting.
- PC's aan internet hangen via Proxy.| If internet access is needed use a (authenticating?) proxy server, the virus is not desgined to handle that.
- PC's niet aan internet hangen | use no internet connection at all, obvious but in cases like this best.
Any idea where your infection started, what OS / Servers do you use?

edit: btw just translating and not affected my self, all credits and the best of luck to the guys that did not sleep much last week.

[ Voor 5% gewijzigd door franssie op 17-04-2008 22:05 ]

Verwijderd schreef op donderdag 17 april 2008 @ 21:34:
We have the same problem, three trojan/viruses:
agent.nar, agent.ntj and Sality.NAO since monday this week

eset recognize this, polish online antyvirus mks (mks.com.pl)
find it too, but not recognized by name

I can't find any solution, eset works and sign files as bad...
and nothing else...

best regards

Are u also using Citrix ?

There might be a flaw in there but im not shure.
But it could also be a user-infection.

Its hard to search if you dont know the source.
Can u list some basics things you use in your network ?
Perhaps: thinclients or something?

infected started at monday this week, we use windows xp, 2000, 98 and novell server (6.5)

source.... hmm... I supouse pendrive...

[ Voor 19% gewijzigd door Verwijderd op 17-04-2008 22:13 ]

LuckyY schreef op donderdag 17 april 2008 @ 22:08:
[...]

Are u also using Citrix ?

There might be a flaw in there but im not shure.
But it could also be a user-infection.

Its hard to search if you dont know the source.
Can u list some basics things you use in your network ?
Perhaps: thinclients or something?

and to add to that (if I may ask) , which version(s) of Citrix were you using and was is intrAnet or intERnet access provided to your customers? And with that, which version of IIS (I assume) was used?

we not use Citrix, we have network with windows xp, 2000 and 98 ( ),
and server with novell 6.5

sorry for my english !

Verwijderd schreef op donderdag 17 april 2008 @ 22:32:
we not use Citrix, we have network with windows xp, 2000 and 98 ( ),
and server with novell 6.5

sorry for my english !

Which language is youre native tongue

About you're problems without topic stealing, they are the same as topic starter

Keep in mind Server OS, and client OS en what virus scanner is beeing used. Also describe how you're internet is deliverred en protected en what country you're living in

Try to describe what happened

[ Voor 3% gewijzigd door aReaRe op 17-04-2008 23:07 ]

I am from Poland
Server: Novell 6.5
Client: Windows XP (Pro & Home), 2000 and 98 (about 30 stations)
Internet: by DSL

Since last monday our network work wery slowly.

We use eset nod32. All client are infected
agent.nar, agent.ntj and sality.nao and work
very slowly...

I have a many files in tmp folder
with strange names like "12ada12.exe" ...

Verwijderd schreef op donderdag 17 april 2008 @ 23:19:
I am from Poland
Server: Novell 6.5
Client: Windows XP (Pro & Home), 2000 and 98 (about 30 stations)
Internet: by DSL

Since last monday our network work wery slowly.

We use eset nod32. All client are infected
agent.nar, agent.ntj and sality.nao and work
very slowly...

I have a many files in tmp folder
with strange names like "12ada12.exe" ...

sounds like same so no topic stealing (topic theft was meant I guess).
we had a guess here that citrix might have been a cause but as you do not use that, that lead is dead.
Good luck but get rid of the W98 clients and re-think the W2K clients - they are not suitable for networking at all, at least not since a long time.

/edit//: [for dutch readers] ik ga ervanuit dat iedereen hier engels kan en er geen problemen mee heeft, anders zouden we een kopie draad kunnen starten maar da's niet handig ivm delen info. Ik vond het al zo raar dat het probleem zo geisoleerd leek maar dat blijkt dus niet het geval te zijn?

[ Voor 16% gewijzigd door franssie op 18-04-2008 00:15 ]

joopv schreef op donderdag 17 april 2008 @ 20:04:
[...]

Een goed ingerichte netwerk sniffer heeft geen IP protocol aan staan op de poort waarmee het netwerk verkeer gemonitord wordt.
Hij is dus automatisch volledig afgeschermd, tenzij een andere netwerkkaart alsnog met een 'vuil' netwerk verbonden is.

dat is waar, maar in de vlugte wordt er soms een client gebruikt die eerst wordt aangesloten en geboot wordt voordat men protocols gaat uitschakelen en/of de sniffertool opstart.
daarmee dat ik het expliciet vermelde
(draai hier regelmatig een sniffer op mijn eigen pc's - het enigste protocol dat daar op staat is tcp/ip al de rest gebruik ik toch niet...- heeft me al regelmatig net die ene hint bezorgt dat er iets mis was en wat)

ik ben blij dat ik er zelf geen last van heb, en anderzijds vind ik het ook wat jammer. ben wel te vinden voor zulke uitdagingen.

[ Voor 7% gewijzigd door soulrider op 18-04-2008 00:44 ]

Ik volg dit topic zoals vele anderen met grote interesse en hoop natuurlijk dat er snel een oplossing komt voor de gedupeerden. Ik weet dat het ver gezocht is, maar wie zegt dat onze buitenlandse gast niet de schrijver/één van de schrijvers van de rootkit is en jou o.a. niet die mogelijke Citrix lead verder wilt laten uitzoeken door je op het verkeerde been te zetten. Hij kan hier zo via Google terecht zijn gekomen. Nogmaals, ver gezocht maar aangezien er als ik het goed heb gelezen door de geinfecteerde machines enige datacommunicatie naar van die vage landen als Rusland was, een beetje wantrouwen in dit geval best op z'n plaats mag zijn.

[ Voor 7% gewijzigd door temp00 op 18-04-2008 01:24 ]

temp00 schreef op vrijdag 18 april 2008 @ 01:18:
Ik volg dit topic zoals vele anderen met grote interesse en hoop natuurlijk dat er snel een oplossing komt voor de gedupeerden. Ik weet dat het ver gezocht is, maar wie zegt dat onze buitenlandse gast niet de schrijver/één van de schrijvers van de rootkit is en jou o.a. niet die mogelijke Citrix lead verder wilt laten uitzoeken door je op het verkeerde been te zetten. Hij kan hier zo via Google terecht zijn gekomen. Nogmaals, ver gezocht maar aangezien er als ik het goed heb gelezen door de geinfecteerde machines enige datacommunicatie naar van die vage landen als Rusland was, een beetje wantrouwen in dit geval best op z'n plaats mag zijn.

Eerlijk is eerlijk, de gedachte kwam ook bij mij op, maar aan de andere kant is het logisch dat juist ook in Oost-Europa (dichter bij Rusland) schade is.

[ Voor 5% gewijzigd door mae-t.net op 18-04-2008 02:50 ]

mae-t.net schreef op vrijdag 18 april 2008 @ 02:34:
[...]


Eerlijk is eerlijk, de gedachte kwam ook bij mij op, maar aan de andere kant is het logisch dat juist ook in Oost-Europa (dichter bij Rusland) schade is.

Het is allemaal vergezocht maar het kan ook zo via een stick zijn binnengekomen.

Goed stel het zit op een drager... waardoor wordt het dan geactiveerd om zich te gaan nestelen in het systeem? Door het mounting-proces van Windows.

Eigenlijk zou je het virus ergens in een veilige omgeving hier op moeten testen en kijken hoe het zich gedraagt. Eventueel binnen een virtueel machine met pauze functie.

Een klasgenoot had mij een tijd terug kaarten voor TOMTOM op een usb stick gegeven.
Zodra ik hem in mijn laptop stak kreeg in een F-secure melding dat er een trojan dropper op zat.
Wat als iemand van thuis nou een Word document of een .exe heeft meegenomen in het bedrijf.
Virusscanner pikt het niet op.
Nestelt zich in de pc.
Zodra die aanlogt op het domein wordt de DC besmet.
Zodra andere pc’s zich aanloggen op het domain worden hun besmet omdat de DC besmet is.
Zou in theorie zomaar kunnen.

In theorie wel, maar een corporate omgeving is idealiter (en in de praktijk) een stuk beter beveiligd als je thuissystemen.
Overigens valt of staat de beveiliging met zowel de courantheid van de virusscanner (en definities) en met de mogelijkheden die de virusscanner biedt om nieuwe bedreigingen als zodanig te identificeren. Maar dat natuurlijk geheel terzijde.

TS: is er al nieuws van de virusscannerboer(en) omtrent nieuwe definities en/of verwijdermethodieken van de rommel?

Swaptor schreef op vrijdag 18 april 2008 @ 10:21:
In theorie wel, maar een corporate omgeving is idealiter (en in de praktijk) een stuk beter beveiligd als je thuissystemen.
Overigens valt of staat de beveiliging met zowel de courantheid van de virusscanner (en definities) en met de mogelijkheden die de virusscanner biedt om nieuwe bedreigingen als zodanig te identificeren. Maar dat natuurlijk geheel terzijde.

TS: is er al nieuws van de virusscannerboer(en) omtrent nieuwe definities en/of verwijdermethodieken van de rommel?

Maar zoals het in dit topic staat heeft de beveiliging niks opgepakt van de virussen en hun hebben de samples naar de ontwikkelaars gestuurd.

Dus dan zou zoiets best makkelijk kunnen.
Het is immers ontdenkt omdat de Ts een hoge load had.

ik volg dit topic ook al een tijdje in spanning, ben zelf een stagelopende 16 jarige. wij hebben hier ook een server met windows 2003 staan, en die hou ik ook goed in de gaten. mcafee staat erop, up to date nu (de systeembeheerder had m niet op automatisch updaten ingesteld, omg.) en ik draai voor de zekerheid even een scan.

misschien hebben jullie iets aan deze antirootkit tool van Avira:

http://free-av.com/en/tools/4/avira_antirootkit_tool.html

voor de rest, succes heren.

Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes/virus fixes/_Cleaner_.exe

Norman Supportmedewerker

[ Voor 12% gewijzigd door Verwijderd op 18-04-2008 12:21 ]

Verwijderd schreef op vrijdag 18 april 2008 @ 12:07:
Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes...orman_Malware_Cleaner.exe

Norman Supportmedewerker

Hier even op inhakend, wij hebben ergens vorig jaar een vergelijkbare infectie gehad, die toen door Norman werd herkend als Pinfi.A. Is dit een vergelijkbaar beestje?

Verwijderd schreef op vrijdag 18 april 2008 @ 12:07:
Ik heb hier een Malware Cleaner laten maken die (als het goed is) de infecties moet verwijderen en uit het register kan halen. Je kan hem downloaden via de volgende link

ftp://ftp.norman.nl/Fixes...orman_Malware_Cleaner.exe

Norman Supportmedewerker

Wij hebben deze tool idd gekregen van jullie.
Maar helaas gaat ook hiermee niet het complete virus weg.

Verwijderd schreef op vrijdag 18 april 2008 @ 12:14:
[...]


Wij hebben deze tool idd gekregen van jullie.
Maar helaas gaat ook hiermee niet het complete virus weg.

Deze malware cleaner die ik net op de ftp heb geplaats is aangepast aan dit type virus (ik heb hem ook in de tussentijd hernoemd omdat alles wat met de naam Norman begint word afgekapt).
Ik weet zelf namelijk nog niet zeker of deze cleaner de complete infectie verwijderd, maar wel in ieder geval de virussen die in deze topic zijn genoemd.

Mochten een van jullie bestanden hebben gevonden die eventueel met de infectie te maken hebben laat met dit dan even weten, want ik kan namelijk on the fly de malware cleaner aanpassen zodat deze ook de andere bestanden verwijderd. Ik heb dan alleen de mogelijke geinfecteerd bestanden nodig.

Verwijderd schreef op vrijdag 18 april 2008 @ 12:44:
[...]

Deze malware cleaner die ik net op de ftp heb geplaats is aangepast aan dit type virus (ik heb hem ook in de tussentijd hernoemd omdat alles wat met de naam Norman begint word afgekapt).
Ik weet zelf namelijk nog niet zeker of deze cleaner de complete infectie verwijderd, maar wel in ieder geval de virussen die in deze topic zijn genoemd.

Mochten een van jullie bestanden hebben gevonden die eventueel met de infectie te maken hebben laat met dit dan even weten, want ik kan namelijk on the fly de malware cleaner aanpassen zodat deze ook de andere bestanden verwijderd. Ik heb dan alleen de mogelijke geinfecteerd bestanden nodig.

Ok we zullen de tool eens gaan testen

ik hou het topic nauwlettend in de gaten, laat iets weten wanneer mcafee de infectie heeft gevonden, ik denk dat ik de netwerkdiesnt van m'n school maar eens ga waarschuwen, het zeiet er een zeer hardnekkig beestje uit

pm1 schreef op zaterdag 19 april 2008 @ 11:48:
ik hou het topic nauwlettend in de gaten, laat iets weten wanneer mcafee de infectie heeft gevonden, ik denk dat ik de netwerkdiesnt van m'n school maar eens ga waarschuwen, het zeiet er een zeer hardnekkig beestje uit

Ook Mcafee vind hem. Maar kan er tot op heden dus ook nog niks mee.

MADG0BLIN schreef op zaterdag 19 april 2008 @ 12:38:
[...]


Jullie hadden toch ook de hele omgeving opnieuw geinstalleerd?
Is hij later niet teruggekomen? Of een idee waar vandaan?

En hebben jullie nog extra maatregelen getroffen ter voorkoming?

Wij zijn ongeveer weer halverwege de herinrichting.

Ja de complete omgeving is opnieuw opgebouwd.
Tot op heden is het virus nog niet terug gekomen.
Als extra hebben we 2 sonicwall's erbij gezet. 1 extra firewall en 1 email security
Tevens ook geen vpn verkeer op moment

En de bron zullen we waarschijnlijk nooit weten
Tevens geen gebruik van cd/dvd door users en usb sticks zijn op moment ook verboden

[ Voor 5% gewijzigd door Verwijderd op 19-04-2008 12:49 ]

nvm


ik ga in ieder geval vandaag nog een mailtje sturen naar onze netwerkdienst

[ Voor 89% gewijzigd door pm1 op 19-04-2008 18:29 ]

MADG0BLIN schreef op zaterdag 19 april 2008 @ 20:21:
[...]


Wel grappig om te lezen.
Wij hebben ook gekozen voor nog een extra laag security. Wij zetten een Watchguard er tussen en cd's en usb sticks mogen ook niet meer gebruikt worden.
Daarnaast wordt ook het internet gebruik strenger gereguleerd.

Is jullie omgeving nu al compleet geherinstalleerd?
Nog Nieuwe gevallen van uitbraak ontdekt ?
En hoe doen jullie die security toepassen?
Halen jullie de Kabels eruit van de cd-rom drives?

Modbreak:

We gaan hier niet om live samples vragen.

[ Voor 98% gewijzigd door pasta op 20-04-2008 15:21 ]

Modbreak:

En dat geldt ook voor jou

[ Voor 95% gewijzigd door pasta op 20-04-2008 15:21 ]

Waar het om gaat is wat sommige AVendors Sality noemen.
Dat is een polymorphic file infector die nog wat extra componenten in zich meedraagt.(Spambot)

Detectie zou bij AVs met een wat geavanceerdere emulator geen problemen moeten opleveren.
Disinfectie... tja, dat is meer werk.

MADG0BLIN schreef op zondag 20 april 2008 @ 08:37:
[...]


Wel vreemd dan. We hebben hem door een heel aantal scanners heen gehaald. Geen enkel die Sality herkende.

Voor de mensen die hem nog willen hebben wordt lastig. De virusscanner verwijdert ze continu namelijk.

Blijkbaar toch wel één, dan, want anders was die naam nooit opgedoken in dit forum

En als de VS hem continu verwijdert, komt hij dus ook continu terug, wat wil zeggen dat je perfect een image kunt maken

En dan is dit ook overbodig geworden.

[ Voor 91% gewijzigd door pasta op 20-04-2008 15:22 ]

De vs haalt 2 .exe bestanden weg. Maar ik het het idee dat het dan al te laat is.
Het plaatst zich in verschillende reg key's en maakt diverse .exe aan in de user/temp
Tevens worden er files aangepast in de system32 dir. Want als ik met Prevx ging scannen was het de ene keer 10 infecties en de andere keer 6. (mogelijkheid is er natuurlijk dat er nog andere malware aanwezig was)

Prevx CSI scant niet het hele systeem. Met Prevx 2.0 kun je wel het hele systeem scannen.
Denk dat deze malware zich nog ergens verstopt waar Prevx CSI niet controleert?

MADG0BLIN schreef op zondag 20 april 2008 @ 08:37:
[...]


Wel vreemd dan. We hebben hem door een heel aantal scanners heen gehaald. Geen enkel die Sality herkende.

Ik werk voor een anti-virus vendor en heb zodoende toegang tot (gemiste) samples van Jotti en VirusTotal.

Verwijderd schreef op zondag 20 april 2008 @ 11:30:
De vs haalt 2 .exe bestanden weg. Maar ik het het idee dat het dan al te laat is.

Yes. Die twee bestanden worden gecreeerd door een bestand dat geinfecteerd is met Sality.

Verwijderd schreef op zondag 20 april 2008 @ 16:39:
[...]

Ik werk voor een anti-virus vendor en heb zodoende toegang tot (gemiste) samples van Jotti en VirusTotal.

[...]

Yes. Die twee bestanden worden gecreeerd door een bestand dat geinfecteerd is met Sality.

Ok duidelijk. Is er op dit moment al enig zicht op een complete oplossing ?

Is er nog nieuws op het gebied van oplossingen voor dit vervelend hardnekkige virus.

Komt het zover dat we alles opnieuw moeten gaan installeren

Heeft er iemand nieuws

Nog steeds geen woord van Symantec, ondanks een pislink mailtje van onze AV coordinator, maar het virusje wordt nu wel herkend en verwijderd door Symantec.

Verwijderd schreef op maandag 21 april 2008 @ 10:21:
Nog steeds geen woord van Symantec, ondanks een pislink mailtje van onze AV coordinator, maar het virusje wordt nu wel herkend en verwijderd door Symantec.

Volledig verwijderd ?
Herkennen en die 2 bestandjes verwijderen is natuurlijk niet voldoende

Hoe noemt Symantec het virus? Ik kan maar weinig over het virus vinden, wellicht omdat andere virusscanners het anders dan sality.nao noemen.... Overigens heb ik op een netwerk van 80 pc's, 4 pc's waarvan alle systeembestanden geinfecteerd zijn. de overigen waren met een systeemherstel(!) te fixen. Zelfs de virusscanners deden het weer hierna.

Het leek wel of met name pc's zonder een aantal security update's van microsoft veel vatbaarder waren, kan iemand bevestigen of bepaalde updates lokale besmetting verijdelen? Sommige pc's hadden wel het virus actief, en dus ook de 2 files in de temp-map en actief in de taskmanager, maar verder weinig of geen bestanden besmet. (alleen exe's op shares op het netwerk werden actief besmet)
Andere PC's hadden bijna alle exe-bestanden besmet, en ik vroeg me af wat het verschil kon zijn tussen de pc's. Jeweetwel, waarom de een wel, en de ander niet.
Bizar genoeg, zijn de shares op de servers wel besmet, maar het besturingssysteem op de servers niet. Geen files in temp, geen rare bestanden in taskmanager. Wat ik helemaal niet begrijp, is dat een server NADAT nod32 geupdate was, en dus het virus herkende, opnieuw besmet is door een besmette pc die door een gebruiker weer aangezet is. Hoe dit om de virusscanner heen gekomen is , is mij echt een raadsel.

Modbreak:

We hebben het forum om gegevens uit te wisselen, elk ander contact dat je wilt hebben zoek je maar via andere wegen dan dit topic.

[ Voor 95% gewijzigd door pasta op 21-04-2008 15:10 ]

Gelukkig. nu hopen dat het definitief kan worden uitgeroeid.

exterminate the bug

hopelijk blijft het probleem nu definitief opgelost

Verwijderd schreef op zondag 20 april 2008 @ 20:55:
[...]


Ok duidelijk. Is er op dit moment al enig zicht op een complete oplossing ?

Zoals het er nu naar uitziet hebben we morgen of overmorgen disinfectie beschikbaar.

MADG0BLIN schreef op maandag 21 april 2008 @ 19:55:
Jammer genoeg net te laat. Hier is bijna alles weer klaar.
Nu nog ff bij slapen..

En hoe ga je dit voorkomen in de toekomst

• Autorun disablen op removable devices? (kan met een GPO)
• Automatische anti virusscan van removable devices en verwijder elke virus?
• Iedere vorm van USB / CD verbieden? Maar hoe te controleren ? Kan ook met een GPO maar wie controleert de audit logs
• Email nog strenger afknijpen / scannen zodat elk bestand doorgelicht word/gescreend word.

Gewoon een leerzame les/tips voor andere beheerders?

En welterusten, je zal het wel nodig hebben

plaats iets wanneer de cleaner tool er is dan kunnen we eens kijken hoe lang het duurt eer een virus is: ontdekt, opgespoord, gemeld aan virusscannerproducenten, en een removal tool er is
lijkt me een mooi voorbeeld van de responstijd van de huidige producenten

Eindelijk dan. Voor ons komt het te laat maar voor de rest die hier last van gaat krijgen zou het mooi zijn als er een oplossing is. Scheelt een hoop werk

MADG0BLIN schreef op maandag 21 april 2008 @ 21:33:
[...]


We hebben een aantal extra maatregelen genomen.

Autorun stond al uit.
Removable devices zoals sticks zijn momenteel verboden. Als ze echt nodig zijn gaat het via ons.

Hoe wil je dit controleren

CD/DVD's ook niet meer. Als die er niet in zit kan je hem ook niet gebruiken.

Je hebt de cd/dvd speler fysiek uitgeschakeld?

Sites die niet nodig zijn worden geblokkeerd.

Deny op alle websites
Muzv GoT

Hello,

Sorry to use english but i'm not aware of Dutch
We are a french company and we ran into the same problem with the same virus.
It seems that Kaspersky and NOD32 can now fix it.
We're sharing information via this forum. If you want to contact one of our members, please do so out of this topic.
Thanks
Best regards

Alain TRISTAN
Chrono Flex - France

[ Voor 17% gewijzigd door pasta op 22-04-2008 15:21 ]

Even nog een update:
Nadat ik dacht dat alles opgeschoont was, tijdens het afinstalleren van een werkplek, bleek dat ik een share over het hoofd had gezien, en was een installer van een applicatie nog besmet.
Ik heb dus een besmetting live meegemaakt, en kan jullie het volgende melden:
- Ondanks dat de virusscanner het virus herkend, en ook bestanden kan opschonen, nadat de installer aangeklikt is, laad zich het virus in het geheugen van de pc, en probeert allerlei bestanden op de pc te besmetten. De besmettingen worden opgemerkt, en ik kan ze ook weer opschonen met de on-access scanner van NOD32.

- Wat NOD echter niet ziet, is wat er in het geheugen geladen is. Met taakbeheer zie ik ook geen verdacht proces. Alleen windows standaard processen. Dus: of het is dan al in een besturingssysteem-bestand geinjecteerd (maar waarom zegt NOD dan niet "bestand huppeldepup is geinfecteerd met...") of er zit nog iets in het geheugen, maar je ziet het niet.(rootkit?)
In ieder geval is het al raar dat je toch besmet wordt, en dat de toegang tot een besmet bestand niet geblokkeerd wordt. Nog niet bekende exploid misschien?
- Na de besmetting loop je continue achter de feiten aan: allerlei bestanden worden besmet, nod schoont ze vervolgens weer op. Er word een random.sys bestand in system32\drivers geplaatst, nod ruimt dit weer op. Nod blokkeert blijkbaar wel het creeeren van bestanden in de temp, want hier zie ik niets meer verschijnen.

Blijft de vraag, wat is dat onbekende, niet zichtbare, en door NOD niet gevonden proces?

- Het probleem is op te lossen door een systeemherstel naar een punt voor de besmetting. De pc werkt dan gelijk weer goed! Geen meldingen meer!
Op een server heb je geen systeemherstel, en dus een probleem... waarschijnlijk reinstall, of uitzoeken of en welke rootkit op het systeem zit. Als je die kunt uitschakelen, is het daarna een kwestie van full scan met opschonen.
Hopelijk hebben jullie er wat aan...

ok virus ontdekt op 16 april 2008 om 16:00 u
antivirus tool was er op 22 april om 9:00 u

zodus dat komt er op neer dat het 37 uur eer er een antivirus is

Verwijderd schreef op dinsdag 22 april 2008 @ 15:05:
- Het probleem is op te lossen door een systeemherstel naar een punt voor de besmetting. De pc werkt dan gelijk weer goed! Geen meldingen meer!
Op een server heb je geen systeemherstel, en dus een probleem... waarschijnlijk reinstall, of uitzoeken of en welke rootkit op het systeem zit. Als je die kunt uitschakelen, is het daarna een kwestie van full scan met opschonen.
Hopelijk hebben jullie er wat aan...

Misschien moet de vraag andersom stellen, wat wordt er precies terug gezet bij een system restore.. die er voor zorgt dat het virus daarna niet meer aanwezig is.

pm1 schreef op dinsdag 22 april 2008 @ 15:07:
ok virus ontdekt op 16 april 2008 om 16:00 u
antivirus tool was er op 22 april om 9:00 u

zodus dat komt er op neer dat het 37 uur eer er een antivirus is

89 uur sprak de betweter

owja effe editten typfoutje srr

Falcon schreef op dinsdag 22 april 2008 @ 15:12:
[...]


Misschien moet de vraag andersom stellen, wat wordt er precies terug gezet bij een system restore.. die er voor zorgt dat het virus daarna niet meer aanwezig is.

Je registry ?
Dus het hele virus proces word opgestart vanuit de registry ? Na een system restore is deze opstart weg. De bestanden (rootkit ?) is zijn nog wel op je HD aanwezig.

Force schreef op dinsdag 22 april 2008 @ 21:05:
[...]


Je registry ?
Dus het hele virus proces word opgestart vanuit de registry ? Na een system restore is deze opstart weg. De bestanden (rootkit ?) is zijn nog wel op je HD aanwezig.

Nee, niet alleen je registry, nog een heleboel andere bestanden her en der over je pc verspreid... iig. teveel voor een systeembeheerder om uit te zoeken welke van deze het virus zou kunnen bevatten. Zeker gezien het feit dat deze wel eens andere code zou kunnen bevatten (dropper iod) dan het eigenlijke virus. En dus misschien nog niet eens herkend wordt door een eventuele virusscanner.
Och, ik zou best een aantal procedures (compare enz.) kunnen verzinnen om de schuldige op te sporen, maar dat kost veel tijd, en ondertussen moeten mijn klanten weer kunnen werken.... zou ik het toch doen, is de vraag, wat kan ik er dan mee? Zo'n procedure is voor elk virus weer anders. Dus maar hopen dat iemand wiens werk dit is, er wel tijd voor heeft, en het in een virusscanner update verpakt. Best wel sneaky, zo'n soort "onbekende" op de achtergrond die ongezien aan de touwtjes trekt....

Verwijderd schreef op dinsdag 22 april 2008 @ 11:09:
[mbr]We're sharing information via this forum. If you want to contact one of our members, please do so out of this topic. :)[/]

Okay, sorry to ask, but we were tired and very upset by this virus problem.
We fixed the "Sality" virus with the free 30 days trial version of kaspersky fully updated.
Now we repair the windows installations on every workstation and every server
We expect the company to restart activity in 48hours or less.

Thank you for giving us hope and tracks

Thanks
Best regards

Alain TRISTAN
Chrono Flex - France

@TS MADG0BLIN:

Is bij jullie alles nu weer ok? Je laatste bericht is al weer 2 dagen geleden. Ik heb dit topic met zeer veel interesse gevolgd (zoals velen) en ben errug nieuwsgierig naar de uiteindelijke afloop.

[ Voor 3% gewijzigd door AvK op 23-04-2008 22:42 ]

ja daar ben ik ook benieuwd naar

Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

Freeware? Linkje?

Verwijderd schreef op donderdag 24 april 2008 @ 18:35:
Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

En daarom raad ik mijn klanten Norman aan, er werken mensen die je in het Nederlands kan toespreken, die verstand hebben van zaken, die bereikbaar zijn via een nederlands telefoonnummer ... top.

Verwijderd schreef op donderdag 24 april 2008 @ 18:35:
Gelukkig, Pfffffff
Norman heeft een tootje ontwikkeld waarmee dit vervelende virusje voorgoed de nek wordt omgedraait.
Niet tijdelijk maar echt, ook na een herstart is het virus voorgoed verdwenen. Alle (bijna alle) programma's worden ook weer in ere hersteld en draaien dan ook weer als 'n zonnetje.
Het heeft de specialisten van norman een week gekost, maar het resultaat is geweldig.
Niet alles opnieuw installeren instellen, backups terugzetten enz. Ook dat zou bij ons verschillende dagen kosten. Wij hebben bewust gekozen voor het wachten op een oplossing, en hebben daar nu absoluut geen spijt van.

En waar zouden we dat kunnen downloaden ?

Hallo! Norman zag het virus niet eens tot vrijdag vorige week! En wachten op een oplossing? Zijn jullie gek of wat? Moet ik tegen meer dan 100 mensen zeggen, och we hebben een virus, maar er is nog geen snelle fix, ga maar naar huis tot er een oplossing is? Dit riekt naar "reclame", en dat hoop ik toch echt niet... Norman is naar mijn mening een matige virusscanner. (Maar zeker geen slechte.)
Maar misschien moet ik mening in de hold zetten, tot ik het tooltje gezien heb, en weet wat het doet.
Kun je misschien meer info geven?

Edit: hmm ik zie in de startpost dat norman het al herkende als horst gen33 oid. Vreemd genoeg, heb ik een besmette file door een pc met norman laten scannen, en die zag niets, en zelfs afgelopen vrijdag bij een test via virustotal zag hij het nog niet. Toch weer een andere variant bij mij? NOD zag hem als sality.nao, en de rest van de symptomen, kwamen 100% overeen met de topicstarter... strange!

edit2: Ah ik zie het al, horst.gen33 was een foutieve detectie, is echt een ander virus: andere scanners noemen dit virut!gen oid. Dit virus werd door bijna elke scanner gezien.Hoe heet Sality.nao nu volgens Norman?

[ Voor 67% gewijzigd door Verwijderd op 24-04-2008 23:30 ]

het wachten op een oplossing of niet, is afh. van hoe noodzakelijk de besmette servers/computers zijn.

dus daar kan je je niet echt over uit spreken.

Men kan net zogoed doordraaien op een niet-besmette backup server/pc, om in afwachting van een oplossing anders dan 'format and reinstall' het besmette systeem aan de kant te zetten en in 't oog te houden. (volledig apart netwerk, loggende systemen erbij, ... om er in de toekomst vrij snel op in te kunnen spelen om schade te beperken, ...)

Vandaag heeft Symantec voor het eerst'alle files in het door madgoblin aan mij gestuurde ZIP filetje ontdekt... tot nu toe waren er een paar over. Ik weet niet hoe goed Norman precies is (geen goeie ervaringen mee...) maar Symantec is ook niet super.

soulrider schreef op vrijdag 25 april 2008 @ 09:24:
het wachten op een oplossing of niet, is afh. van hoe noodzakelijk de besmette servers/computers zijn.

dus daar kan je je niet echt over uit spreken.

Men kan net zogoed doordraaien op een niet-besmette backup server/pc, om in afwachting van een oplossing anders dan 'format and reinstall' het besmette systeem aan de kant te zetten en in 't oog te houden. (volledig apart netwerk, loggende systemen erbij, ... om er in de toekomst vrij snel op in te kunnen spelen om schade te beperken, ...)

Ben ik wel met je eens, maar het leek mij of ze met besmette pc's gewoon doorwerkten, en dat kan naar mijn mening echt niet. Overigens kan ik mij niet voorstellen dat op een netwerk met meer dan 10 computers er voldoende reservepc's beschikbaar zijn...

Verwijderd schreef op vrijdag 25 april 2008 @ 11:05:
[...]


Ben ik wel met je eens, maar het leek mij of ze met besmette pc's gewoon doorwerkten, en dat kan naar mijn mening echt niet. Overigens kan ik mij niet voorstellen dat op een netwerk met meer dan 10 computers er voldoende reservepc's beschikbaar zijn...

en daar ben ik het dan ook eens mee...

met besmette systemen doorwerken kan - rekening houdend met (online) veiligheid - echt niet.
Maar ja, niet overal kan men snel alles offline zwieren/ formatteren/vervangen/...
en moet men wat roeien met de riemen die men heeft (leest de beslissingen die de baas neemt)

firewall zo goed mogelijk dicht gooien is dan wel een andere manier van 'probleem beperkt houden tot een echte oplossing bekend is'

Verwijderd schreef op donderdag 24 april 2008 @ 23:06:
Hallo! Norman zag het virus niet eens tot vrijdag vorige week! En wachten op een oplossing? Zijn jullie gek of wat? Moet ik tegen meer dan 100 mensen zeggen, och we hebben een virus, maar er is nog geen snelle fix, ga maar naar huis tot er een oplossing is? Dit riekt naar "reclame", en dat hoop ik toch echt niet... Norman is naar mijn mening een matige virusscanner. (Maar zeker geen slechte.)
Maar misschien moet ik mening in de hold zetten, tot ik het tooltje gezien heb, en weet wat het doet.
Kun je misschien meer info geven?

Edit: hmm ik zie in de startpost dat norman het al herkende als horst gen33 oid. Vreemd genoeg, heb ik een besmette file door een pc met norman laten scannen, en die zag niets, en zelfs afgelopen vrijdag bij een test via virustotal zag hij het nog niet. Toch weer een andere variant bij mij? NOD zag hem als sality.nao, en de rest van de symptomen, kwamen 100% overeen met de topicstarter... strange!

edit2: Ah ik zie het al, horst.gen33 was een foutieve detectie, is echt een ander virus: andere scanners noemen dit virut!gen oid. Dit virus werd door bijna elke scanner gezien.Hoe heet Sality.nao nu volgens Norman?

Volgens de scanner van Norman hadden wij vorige week woensdag het virus w32/horst.gen33.
Ik geef er niks om hoe hij dat ding noemt, maar het kwaad was al geschied. Wij hebben gekozen voor het wachten op een oplossing, en ZIJ hebben die. Ik weet ook wel dat er andere scanners zijn die misschien zelfs beter scannen dan Norman dat doet.
De technici van Norman hebben in elk geval (hoe slechyt dan ook) WEL een tooltje waar je het probleem mee kunt oplossen. En dat is toch wat telt bij mij!!!!!!!
PS ik weet niet of het mag maar hier staat hij: ftp://ftp.norman.nl/Fixes/virus%20fixes
Het programma heet malware_cleaner.
Het virus herken hem als verwijderaar dus moet je hem een andere naam geven Bv _MC_.
Alle besmette processen in het geheugen moet je effe via taakbeheer stopleggen en dan opnieuw scannen. Bij ons hebben we toch al een 20 tal PC gered van een restore

Verwijderd schreef op vrijdag 25 april 2008 @ 14:04:
[...]


Volgens de scanner van Norman hadden wij vorige week woensdag het virus w32/horst.gen33.
Ik geef er niks om hoe hij dat ding noemt, maar het kwaad was al geschied. Wij hebben gekozen voor het wachten op een oplossing, en ZIJ hebben die. Ik weet ook wel dat er andere scanners zijn die misschien zelfs beter scannen dan Norman dat doet.
De technici van Norman hebben in elk geval (hoe slechyt dan ook) WEL een tooltje waar je het probleem mee kunt oplossen. En dat is toch wat telt bij mij!!!!!!!
PS ik weet niet of het mag maar hier staat hij: ftp://ftp.norman.nl/Fixes/virus%20fixes
Het programma heet malware_cleaner.
Het virus herken hem als verwijderaar dus moet je hem een andere naam geven Bv _MC_.
Alle besmette processen in het geheugen moet je effe via taakbeheer stopleggen en dan opnieuw scannen. Bij ons hebben we toch al een 20 tal PC gered van een restore

Heb je met deze versie alles volledig compleet kunnen verwijderen ?
Weet je zeker dat er niks meer overblijft ?
Heb je de geinfecteerde pc's gechecked op de poorten waar die naar buiten wil ?

Aangezien wij het dus echt kregen als "zero-day" en idd werd herkend door de virusscan van norman maar die kon er deed er verder niks mee. Of tenminste de vs plaatste het in quarantaine maar desondanks werd de boel wel verder besmet