Besmette executable, hoe het virus er uit krijgen? - Privacy en beveiliging

maandag 24 november 2008 21:37

Acties:

Topicstarter

Ha B&Vers, ik heb hier een executable die best wel belangrijk is en ik heb er nog maar 1 kopie van.
Deze is echter besmet. Ik weet dat het een vage oude trojan is die informatie jat en naar een adres mailt. Ik heb zelf even wat gestuurt naar dat adres (gevonden met wireshark) maar zowel het domein als het adres bestaan niet meer.

Heeft iemand een idee hoe ik deze trojan er uit haal?
Zelf heb ik op m'n laptop McAffee corporate edition maar die staat ingesteld dat 'ie alleen maar verwijderd en niet cleaned. Daarnaast vind 'ie m nog niet ook

(Virustotal geeft 31 van de 37 scanners een hit ofzo).

code:

Antivirus   Versie  Laatst geüpdatet    Resultaat
AhnLab-V3   -   -   Win-Trojan/Agent.3044864
AntiVir -   -   TR/Spy.Agent.cda.2
Authentium  -   -   W32/Pws.BCEB
Avast   -   -   Win32:Agent-AAZN
AVG -   -   PSW.Agent.STI
BitDefender -   -   Trojan.Generic.240729
CAT-QuickHeal   -   -   TrojanSpy.Agent.cda
ClamAV  -   -   Trojan.Spy-31663
DrWeb   -   -   Trojan.Siggen.400
eSafe   -   -   Win32.Agent.cda
eTrust-Vet  -   -   Win32/Sipay.S
Ewido   -   -   Logger.Agent.cda
F-Prot  -   -   W32/Pws.BCEB
F-Secure    -   -   Trojan-Spy.Win32.Agent.cda
Fortinet    -   -   Spy/Agent
GData   -   -   Trojan.Generic.240729
Ikarus  -   -   Trojan-Spy.Win32.Agent.cda
K7AntiVirus -   -   Trojan-Spy.Win32.Agent.cda
Kaspersky   -   -   Trojan-Spy.Win32.Agent.cda
McAfee  -   -   -
McAfee+Artemis  -   -   Generic!Artemis
Microsoft   -   -   -
NOD32   -   -   probably a variant of Win32/Spy.Agent
Norman  -   -   W32/Agent.FJMC
Panda   -   -   Trj/Downloader.MDW
PCTools -   -   Trojan-Spy.Agent!sd6
Prevx1  -   -   -
Rising  -   -   -
SecureWeb-Gateway   -   -   Trojan.Spy.Agent.cda.2
Sophos  -   -   Mal/Generic-A
Sunbelt -   -   Trojan-Spy.Win32.Agent.cda
Symantec    -   -   Infostealer
TheHacker   -   -   Trojan/Spy.Agent.cda
TrendMicro  -   -   -
VBA32   -   -   Trojan-Spy.Win32.Agent.cda
ViRobot -   -   Trojan.Win32.Agent.4404736
VirusBuster -   -   -

maandag 24 november 2008 21:47

Acties:

Verwijderd

Noxious schreef op maandag 24 november 2008 @ 21:37:
Heeft iemand een idee hoe ik deze trojan er uit haal?

Het lijkt er niet op dat de AVs er een disinfectieroutine voor hebben, dus dan ben je afhankelijk van iemand ervaren in het desinfecteren van bestanden.

Je zou de executable eens naar virus@kaspersky.nl kunnen sturen en dan kijk ik eens hoe lastig het gaat worden.

Anderzijds zou je hetzelfde aan de mensen van McAfee kunnen vragen.

[ Voor 7% gewijzigd door Verwijderd op 24-11-2008 21:47 ]

maandag 24 november 2008 22:30

Acties:

Noxious

Topicstarter

Bedankt

ik heb even gemailt naar Kaspersky

.
Misschien hebben sommige AV's die trouwens wel, maar deze AV is vanuit corporate IT ingesteld op remove-only.

maandag 24 november 2008 22:35

Acties:

BCC

Zoiets is ook niet altijd te repareren. Het kan zo maar dat de het virus grote stukken van de applicatie onherstelbaar beschadigd heeft. Heb je echt geen backup

?

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

maandag 24 november 2008 22:52

Acties:

Noxious

Topicstarter

Nee, deze file komt van een oude server die eens besmet is geraakt. Nog van voor de tijd dat ik backups maakte

Hopelijk kan het gefixed worden anders is het heel erg helaasch

dinsdag 25 november 2008 11:04

Acties:

Verwijderd

Goed en slecht nieuws. Het goede nieuws is dat je bestand clean is. Het slechte nieuws is dat 30/31 van de 37 scanners fout zitten.
Nouja, gezien de minieme verschillen tussen dit bestand en getrojanizede versies is het niet zo gek. Het gaat slechts om een paar gepatchte bytes.

dinsdag 25 november 2008 11:13

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Wat een service voor iemand die klant van de concurrent is

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 25 november 2008 12:40

Acties:

Noxious

Topicstarter

Verwijderd schreef op dinsdag 25 november 2008 @ 11:04:
Goed en slecht nieuws. Het goede nieuws is dat je bestand clean is. Het slechte nieuws is dat 30/31 van de 37 scanners fout zitten.
Nouja, gezien de minieme verschillen tussen dit bestand en getrojanizede versies is het niet zo gek. Het gaat slechts om een paar gepatchte bytes.

Thanks

@hierboven: mijn werkgever is klant bij de concurent

dus mijn privé-mening is uiteraard nog helemaal te beïnvloeden

Wat kan ik er het beste aan doen om de false positieves van andere scanners tegen te gaan?
De file zelf zodanig aanpassen dat deze niet meer als een virus wordt gezien door 'm op een of andere manier te bewerken met een resource editor ofzo?

Ik kan moeilijk al die bedrijven gaan contacten over een enkele file? (of zie ik dat verkeerd

of sharen jullie je database met sommige er van?)

Ik hoor het wel, alvast heel erg bedankt

top!

dinsdag 25 november 2008 13:15

Acties:

Verwijderd

Noxious schreef op dinsdag 25 november 2008 @ 12:40:
[...]

Wat kan ik er het beste aan doen om de false positieves van andere scanners tegen te gaan?

Niet zo heel veel. Handigste is om gewoon een exclusion to maken in je huidige AV product.

De file zelf zodanig aanpassen dat deze niet meer als een virus wordt gezien door 'm op een of andere manier te bewerken met een resource editor ofzo?

Dat werkt misschien voor een paar AVs.

Ik kan moeilijk al die bedrijven gaan contacten over een enkele file?

Nou...

(of zie ik dat verkeerd of sharen jullie je database met sommige er van?)

We delen voornamelijk malware samples, false positives worden niet zoveel gedeeld.

Anyway, ik gooi het even op een mailinglijst waar grote meerderheid van de AVs van VirusTotal vertegenwoordigd is en dan is het aan de bedrijven om het wel/niet op te lossen.

[ Voor 6% gewijzigd door Verwijderd op 25-11-2008 13:27 ]

dinsdag 25 november 2008 13:26

Acties:

Noxious

Topicstarter

Thanks again

Het probleem is namelijk dat deze file niet alleen bij mij gaat draaien maar als het goed is ook bij een hoop andere mensen

.

Ik zal 'm even door resource hacker heen gooien met een ander icoontje zodat in ieder geval de hash niet meer hetzelfde is en 'm opnieuw naar VirusTotal jagen, het resultaat laat ik nog wel weten (vraag me af of dat echt effectief is).

dinsdag 25 november 2008 13:29

Acties:

Verwijderd

Noxious schreef op dinsdag 25 november 2008 @ 13:26:
Het probleem is namelijk dat deze file niet alleen bij mij gaat draaien maar als het goed is ook bij een hoop andere mensen .

Is dit trouwens een originele of 'aangepaste' versie van het bestand?

Ik zal 'm even door resource hacker heen gooien met een ander icoontje zodat in ieder geval de hash niet meer hetzelfde is

Alleen zeer, zeer zwakke scanners baseren hun verdict op een complete file hash.

dinsdag 25 november 2008 13:32

Acties:

Verwijderd

Verwijderd schreef op dinsdag 25 november 2008 @ 11:04:
Het slechte nieuws is dat 30/31 van de 37 scanners fout zitten.

Tuulk. Een gemiddelde scanner moet toch ook een beetje actiever lijken dan dat het is door zelfs cookies als trojans te beschouwen?

Dat gebeurd wel vaker ja, normale files gemarkeerd worden als False positives enzo.

dinsdag 25 november 2008 13:50

Acties:

Noxious

Topicstarter

Verwijderd schreef op dinsdag 25 november 2008 @ 13:29:
[...]

Is dit trouwens een originele of 'aangepaste' versie van het bestand?

Voor zover ik weet is 'ie gepatcht door een of ander tooltje vanaf 1 versie eerder. Hij is dus niet 100% origineel alhoewel het versienummer ook mee veranderd is dus da's discutabel. Hij's iig niet opnieuw gecompileerd.

[...]

Alleen zeer, zeer zwakke scanners baseren hun verdict op een complete file hash.

Hmm, dan wordt dat vast geen resultaat maar ik zal het iig testen

dinsdag 25 november 2008 13:57

Acties:

Thralas

Noxious schreef op maandag 24 november 2008 @ 21:37:Ik heb zelf even wat gestuurt naar dat adres (gevonden met wireshark) maar zowel het domein als het adres bestaan niet meer.

Verwijderd schreef op dinsdag 25 november 2008 @ 11:04:
Goed en slecht nieuws. Het goede nieuws is dat je bestand clean is. Het slechte nieuws is dat 30/31 van de 37 scanners fout zitten.

Dan ben ik toch benieuwd, je stelt met Wireshark vast dat het bestand nog geinfecteerd is, dus dan is hij toch zeker weten niet clean?

dinsdag 25 november 2008 14:02

Acties:

Noxious

Topicstarter

Thralas schreef op dinsdag 25 november 2008 @ 13:57:
[...]

[...]

Dan ben ik toch benieuwd, je stelt met Wireshark vast dat het bestand nog geinfecteerd is, dus dan is hij toch zeker weten niet clean?

Mja ik zag 'm verbinden naar een server iig en de rest van de info (dat het een mailende trojan zou zijn) heb ik geplukt uit wat oude info die nog @ mijn server stond (toen is een vriend van me er al eens mee bezig geweest).
Blijkbaar was die info niet juist en de server waar 'ie naartoe connecte zou ook iets kunnen zijn als een check voor een update (die niet meer werkt, aangezien de originele ontwikkelaar van deze file niet meer bestaat en dit de meest recente versie is) alhoewel die informatie eruit 'gepatcht' zou moeten zijn met die patch dus.

dinsdag 25 november 2008 14:13

Acties:

Verwijderd

Noxious schreef op dinsdag 25 november 2008 @ 13:50:
[...]

Voor zover ik weet is 'ie gepatcht

Dat dacht ik al. Tja, een aantal AVendors zal de false positive daarom waarschijnlijk niet gaan fixen.
De originele file is namelijk gepacked. De meeste van deze trojans alsmede de niet-kwaadaardige gepatchte file zijn een unpacked kopie met wat bytes veranderd.

Hmm, dan wordt dat vast geen resultaat maar ik zal het iig testen

Ik zou niet verbaasd zijn dat je daarmee op termijn de problemen erger maakt.

Er gaat nu een aantal AVs de false positive fixen. Doordat jij nu een nieuwe file creeert, is het goed mogelijk dat de fix niet meer werkt. Ik zal de fix in elk geval niet gaan updaten.

dinsdag 25 november 2008 14:18

Acties:

Noxious

Topicstarter

VirusTotal doet nu in ieder geval een testje op een aangepaste versie, mocht dat niet al te veel resultaat geven dan ga ik gewoon diezelfde versie gebruiken als dat ik je had toegestuurt

Klaar: 21/37 dus hij wordt door een flink aantal scanners niet meer als virus gezien, ik denk dat ik deze versie maar niet ga gebruiken want het is me net te veel

. De meeste zien 'm overigens als 'suspicious'.

Bedankt!

dinsdag 25 november 2008 14:20

Acties:

Thralas

Verwijderd schreef op dinsdag 25 november 2008 @ 14:13:
[...]

Dat dacht ik al. Tja, een aantal AVendors zal de false positive daarom waarschijnlijk niet gaan fixen.
De originele file is namelijk gepacked. De meeste van deze trojans alsmede de niet-kwaadaardige gepatchte file zijn een unpacked kopie met wat bytes veranderd.

[...]

Huh, met de originele file bedoel je een niet-gepatchte (geüpdate) versie van het programma die packed was? En vervolgens heeft de updater van het programma deze vervangen door een niet-gepackte versie? Dan is het dus een compleet andere file tov. het 'origineel' neem ik aan?

dinsdag 25 november 2008 15:14

Acties:

Verwijderd

Thralas schreef op dinsdag 25 november 2008 @ 14:20:
[...]

Huh, met de originele file bedoel je een niet-gepatchte (geüpdate) versie van het programma die packed was?

Met orgineel bedoel ik orignele files van de echte maker.

En vervolgens heeft de updater van het programma deze vervangen door een niet-gepackte versie?

Nee, niet een updater maar een derde partij.

Dan is het dus een compleet andere file tov. het 'origineel' neem ik aan?

Ligt eraan hoe je het bekijkt. Van een directe binaire analyse - yes. Maar er is een redelijk aantal AVs die de betreffende packers kan unpacken en dan lijken de files veel op elkaar.

dinsdag 25 november 2008 21:40

Acties:

LuckY

zakelijk gebruikte wij al kaspersky , maar nu thuis ook maar over dit is de service