Toon posts:

Universiteit adviseert reinstall (stormworm)

Pagina: 1
Acties:

  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
Een goede vriendin van werkt aan de uni van Minneapolis, en kreeg vandaag onderstaande email. Men adviseert haar de gehele laptop opnieuw te installeren. We hebben de volgende maatregelen genomen:

AVG scan in zowel normal als safemode
Malware Anti B
Trend Housecall (online)
Hitman Pro

Geen van deze scanners kan iets vinden. Tevens heb ik alle bestanden welke ik haar gestuurd heb door zowel ClamAV en BitDefender voor linux getrokken, deze files markeren ook als onbesmet.

Ben ik nu gek, of is dit systeem als 'clean' aan te merken? Wanneer men de blokkade opheft en er wordt weer een probleem geconstateerd dan volgt er een boete heb ik begrepen. Iemand die me kan adviseren wat te doen!?

De mail:
Subject: Re: Fwd: NETWORK ACCESS ISOLATED FOR xxxx [UMN Abuse #240964]

>>Dear xxxx
>>
>> This is bad news. The virus you have is one that does a good job
>> hiding, and most AV software can't find it. That also means that it is
>> very hard to clean it out. The best solution is as they mention -
>> reinstall Windows on your PC. This is a bit of work, since you not
>> only have to reinstall Windows, but you have to reinstall all of your
>> software too.
>>
>> xxxx
>>
>> On 11/5/10 11:09 AM, xxxx@umn.edu wrote:
>>> I got this message today. I have a antivirus (AVG) on my computer which
>>> doesn't find anything.
>>> Do you have ideas of how to fix it?
>>>
>>> Thank you,
>>> xxxx
>>>
>>>
>>>
>>> ---------- Forwarded message ----------
>>> To: xxxx@umn.edu
>>> Subject: NETWORK ACCESS ISOLATED FOR xxxx
>>> [UMN Abuse #240964]
>>> Date: Thu, 4 Nov 2010 17:39:48 -0500 (CDT)
>>> From: xxxx@umn.edu
>>>
>>>
>>>
> Because of behavior consistent with a known problem (eg. virus infection,)
>>> the computer using the address 10.20.106.44 via Wireless
>>> authenticated to xxxx
>>>
>>> will be taken off the network ASAP.
>>>
>>> ACCESS to Wireless will be inactivated
>>> until cleanup is confirmed.
>>>
>>> This problem MAY be : stormworm.
>>>
>>>
>>> The computer in question is infected with
>>> malware known as "Storm Worm". A technical writeup
>>> about an older version of this threat can be seen at
>>> http://www.secureworks.co...ew.html?threat=storm-worm
>>> or
> http://www.symantec.com/s...docid=2007-011917-1403-99
>
>>>
>>>
>>> Computers infected with this should have their
>>> hard disk formatted and have the Operating System
>>> reinstalled and patched before coming back onto the
>>> network.
>>> This infection is known to have installed "keyloggers" --
>>> software that captures your keystrokes and sends them to a remote user
>>> who can use this private information without your
>>> knowledge. It is used commonly to acquire username and passwords for
>>> private accounts.
>>>
>>> Therefore all passwords on the rebuilt system (and any that have been
>>> used THROUGH this machine) should be changed. If this system has been
>>> used to access personal accounts (for example, banking or credit card),
>>> you should change those passwords.
>>>
>>> The Storm Worm not only comes bundled with other malicious software, it
>>> also is designed to download
>>> and install even more malicious software, without
>>> the knowledge and/or consent of the computer user.
>>> Therefore, even if AntiVirus software detects and
>>> removes something, typically more malicious software
>>> is left behind, still running.
>>>
>>> The Storm Worm is updated frequently. Even up-to-date
>>> AntiVirus software often doesn't detect the latest
>>> versions. Once the AntiVirus companies start
>>> detecting a particular version, it is typically
>>> instructed to update itself to a variant that is
>>> not detected by AntiVirus.
>>>
>>> Because of the above activities, scanning for viruses
>>> with an AntiVirus product is typically not an effective
>>> remedy for a Storm Worm infection.
>>>
>>> IF THIS COMPUTER STORES PRIVATE DATA - DO NOT REBUILD. CONTACT
>>> OIT Security - abuse@umn.edu - IMMEDIATELY.
>>>
>>> For further information on cleaning up an infected machine,
>>> and news related to current threats, please visit:
>>>
>>> http://www.oit.umn.edu/safe-computing/
>>>
>>>
>>> This computer's was logged into using your X500 ID sijts001.
>>> For assistance in resolving this problem, please call 1-HELP
>>> (612) 301-4357.
>>>
>>> WEB PAGE: http://www.oit.umn.edu/safe-computing
>>>
>>>
>>>
>>> PLEASE NOTE: Contact your local technical support before continuing work
>>> on the computer or attempting any cleanup of this system.
>>> IMPORTANT: OIT Security and Assurance (abuse@umn.edu) needs to be
>>> contacted if this computer contains any legally private/protected
>>> University data information, such as social security numbers, credit
>>> card numbers, private health data, student IDs, grades, etc.
>>>
>>> For more examples of private data, visit
>>> http://www.ahc.umn.edu/privacy/what/ and
>>> http://www.policy.umn.edu/Policies/it/Use/SECUREDATA.html
>>>
>>>
>>> ---------------------------------------------------
>>> OIT Security and Assurance
>>> -------------------------------------------------
>>>
>>

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • natasdiamon
  • Registratie: mei 2008
  • Laatst online: 28-04 11:01
Een reinstall zorgt in 90 procent van de gevallen dat je een veel fijner werkende pc hebt dan met een install van een paar maanden of ouder. :)

Ik reinstal op mijn laptop redelijk vaak. :)

  • Dysmael
  • Registratie: januari 2002
  • Laatst online: 01-08-2019
Genoeg virussen die ogenschijnlijk onvindbaar zijn, helemaal wanneer je vanuit Windows zelf scant (dat je vanuit veilige modus scant maakt hoeft geen verschil te maken)
Scan sowieso eens offline. D.w.z. door bijvoorbeeld AVG RescueCD te gebruiken om van te booten en mee te scannen. Zelfs als die niets vind kan je geinfecteerd zijn. Geen enkele virusscanner is feilloos. Persoonlijk zou ik voor de zekerste en makkelijkste weg gaan, en dat is herinstalleren.

  • ralpje
  • Registratie: november 2003
  • Laatst online: 22:40

ralpje

Deugpopje

'behaviour consistend with a virus infection'.
Met andere woorden, men ziet traffic die er niet hoort, zoals bijvoorbeeld spam. Kun je opvragen wat ze zien, zodat je kunt checken of dat nog steeds zo is?

365Dude - Strava


  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
natasdiamon schreef op vrijdag 05 november 2010 @ 21:48:
Een reinstall zorgt in 90 procent van de gevallen dat je een veel fijner werkende pc hebt dan met een install van een paar maanden of ouder. :)

Ik reinstal op mijn laptop redelijk vaak. :)
Probleem is dat ik de installatie verricht heb, en ze nu in de VS zit. Ik heb helaas geen clone gemaakt om alles te restoren. Een reinstall is eigenlijk een enorm dure optie en tijdrovende optie nu aangezien ze niets op CD/DVD daar heeft en de laptop met spoed nodig heeft. Kosten lopen al op tot 300 $ om dit te doen, en dan gaat het nog de nodige tijd kosten, dit terwijl het systeem er op het eerste gezicht 'clean' uitziet!?

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • Brilsmurfffje
  • Registratie: december 2007
  • Niet online

Brilsmurfffje

Parttime Prutser

terug vallen op een restore point ?

  • Yippie
  • Registratie: september 2002
  • Laatst online: 21-09-2018
Dat een bepaalde AV scanner hem niet vindt zegt nog niks, maar wat heb je zelf verder gedaan ?
Beste wat je kan doen, is proberen informatie in te winnen, hoe kom je er mogelijk aan, wat is het, wat doet het etc.

Zie hier bijv. de info die bij Symantec bekend is, je kan checken of de symptomen zoals omschreven ook aanwezig zijn op de betreffende computer.
To make sure that the worm is run during the next system startup, the worm adds the value

666 c:\winnt\system32\storm\start.bat

to the following registry keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run

This worm has two payloads:
A denial-of-service attack is initiated against http:/ /www.microsoft.com.
An email bombing session is started that sends email messages containing an obscene message to gates@microsoft.com.
Doe dit met minstens 2 verschillende AV fabrikanten.
Als je wat vindt, zou ik zeker gezien de gevolgen de adviezen opvolgen, je krijgt het niet voor niks en het is het werk van de mensen om het netwerk te monitoren en veilig te houden.

offtopic:
zo goed lijkt die mij niet verstopt zo op het 1ste gezicht, had er ook nog nooit van gehoord, maar op Google wel veel hits

[Voor 5% gewijzigd door Yippie op 05-11-2010 21:57]


  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
ralpje schreef op vrijdag 05 november 2010 @ 21:51:
'behaviour consistend with a virus infection'.
Met andere woorden, men ziet traffic die er niet hoort, zoals bijvoorbeeld spam. Kun je opvragen wat ze zien, zodat je kunt checken of dat nog steeds zo is?
Ja daar zat ik ook al aan te denken, ga ik direct vragen!

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
Ik zal eens informeren, maar ik ben bang dat deze optie uit staat omdat ik hier zelf zeer slechte ervaringen mee heb (net zoals indexering zorgt dit soms voor een irritant traag systeem).

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
Yippie schreef op vrijdag 05 november 2010 @ 21:56:
Dat een bepaalde AV scanner hem niet vindt zegt nog niks, maar wat heb je zelf verder gedaan ?
Beste wat je kan doen, is proberen informatie in te winnen, hoe kom je er mogelijk aan, wat is het, wat doet het etc.

Zie hier bijv. de info die bij Symantec bekend is, je kan checken of de symptomen zoals omschreven ook aanwezig zijn op de betreffende computer.

[...]


Doe dit met minstens 2 verschillende AV fabrikanten.
Als je wat vindt, zou ik zeker gezien de gevolgen de adviezen opvolgen, je krijgt het niet voor niks en het is het werk van de mensen om het netwerk te monitoren en veilig te houden.

offtopic:
zo goed lijkt die mij niet verstopt zo op het 1ste gezicht, had er ook nog nooit van gehoord, maar op Google wel veel hits
Register ziet er op het eerste gezicht goed uit, ik heb net even meegekeken.

Thanks iedereen voor de reply's, we gaan er even mee aan de slag!

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • paradoXical
  • Registratie: oktober 2000
  • Laatst online: 22-07 07:32
Even een update.

Ik heb gisteren nog de kasperky en bitdefender rescue disks laten downloaden en runnen. Even afwachten wat de resultaten zijn. In het register ook niets kunnen vinden. Nu nog even afwachten wat het log van de netwerkbeheerder zegt, deze is opgevraagd.

Ik kan me werkelijk niet voorstellen dat er een infectie bestaat. Als dat echt zo is dan wil dat zeggen dat dit het failliet is van Windows als betrouwbaar OS (in mijn ogen dan). Het kan toch niet zo zijn dat er een infectie bestaat zonder dat er iets van verschijnselen merkbaar zijn? Verder doet ze echt geen gekke dingen met haar computer, als ze al iets download dan doe ik dat voor haar, en ik controleer altijd mijn files (ook al werk ik in linux).

Ik ben benieuwd naar de resultaten straks ;)

She was beautiful. God I loved her. I just didn't know how to show it, that's all. I killed her, Red. I didn't pull the trigger, but I pushed her away. And that's why she died, because of me.


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

paradoXical schreef op zaterdag 06 november 2010 @ 11:15:
Ik kan me werkelijk niet voorstellen dat er een infectie bestaat. Als dat echt zo is dan wil dat zeggen dat dit het failliet is van Windows als betrouwbaar OS (in mijn ogen dan). Het kan toch niet zo zijn dat er een infectie bestaat zonder dat er iets van verschijnselen merkbaar zijn?
Dan bedoel je het failliet van zo'n beetje elk relevant OS: Wikipedia: Rootkit ;)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee