Toon posts:

Botnet/datacrawler gevonden.

Pagina: 1
Acties:

  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ik heb laatst iets gedownload dat besmet wat met een "soort" virus

het zijn scriptkiddys geweest en ook nog eens nederlandse.
ik heb de .exe en wil ze proberen te decompile aangezien het autoit is. (vorals nog niet gelukt)

wel weet ik welke webserver de "aansturing" verzorgt.

http://www.proxx.nl/hacker/3.png
hij gebruikt nirsoft freeware tools om wachtwoorden te achterhalen en die vervolgens terug naar de server te sturen. gelukkig zat er voor mij geen gevoelige data bij. en het geen wat ie misschien heeft daar heb ik de codes van veranderd.

nu wil ik graag advies. wat kan ik het beste doen.

owja en weet iemand nog goede tools voor backwards engineering voor exe files. (autoit compiled files)
ik heb bewust zo min mogelijk info online gezet omdat ik nog geen slapende koeien wakker wil maken!

moet ik zijn hosting provider aanspreken op zijn legubere acties of moet ik zelf proberen zijn database te flooden met random data? (tot hij natuurlijk mijn ip blockt) of wat zouden jullie doen?

btw met hosting provider boedoel ik ook echt een webhosting en niet een internet provider. vandaar dat ik vrij zeker weet dat dit niet een zombie pc is.

[Voor 24% gewijzigd door Proxx op 17-06-2011 00:10]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • ndeleeuw
  • Registratie: Februari 2002
  • Laatst online: 31-05 15:33
Zo aan het icoontje te zien is het een tool voor minecraft.
Het lijkt erop dat ie minecraft probeert te downloaden.
of teminste een file die een naam heeft die op minecraft lijkt te duiden.
Hoe zeker ben je ervan dat het een illegaal iets is ??
waarom denk je dat ?

hierbij een autoit decompiler:
http://blog.nerdbucket.co...mpiler-for-v3-2-6/article

[Voor 15% gewijzigd door ndeleeuw op 17-06-2011 08:32]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ik heb het misschien niet helemaal duidelijk verwoordt. maar als ik een van deze 4 uitvoer download hij een mc.exe waar een webbrowser pass view en mail passview in zit. die slaan mijn wachtwoorden op in een file. en vervolgens worden ze terug naar de server gestuurd.
tevens word javaupdater.exe in C:\windows\inf\ gezet en krijg hij een startup entry
java_cachemc.exe en java-updater.exe komen in %temp% en usbmon ergens in roaming\microsoft map.

alleen al de locaties van de files is al dubieus. en dan ook nog eens 2 passviewers. die elke keer gedownload worden. ;)

[Voor 9% gewijzigd door Proxx op 17-06-2011 09:31]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • noes
  • Registratie: Augustus 2006
  • Niet online

noes

gek op benzine.

Zijn het nerderlandse scriptkiddies? Probeer zoveel mogelijk te achterhalen en doe aangifte ;)

2020 R1250RS, K26/R1200RT, E61/550i


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ik heb zijn webserver en hosting provider al. maar zou dit voldoende zijn om aangifte te doen?

denk dat er zeker honderden misschien wel duizenden die zo de val in gegaan zijn.
de meeste virus scanners reageren ook niet op dit script.

volgens mij wireshark capture. resolved hij specifiek dat ene domein en niet random elke keer een ander.

[Voor 61% gewijzigd door Proxx op 17-06-2011 09:38]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • ndeleeuw
  • Registratie: Februari 2002
  • Laatst online: 31-05 15:33
Probeer zelf zoveel mogelijk info the verzamelen over hoe je het tegen bent gekomen waarom je denkt dat het crap is en hoe je achter de gegevens bent gekomen.
Dit is nuttige info voor de politie in het verdere process ga NIET proberen de gast zelf terug te hacken enz dat maakt het voor de politite niet makkelijker :P

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
zou contact op nemen met zijn hosting provider niet voldoende moeten zijn.
ben alleen bang dat hij dadelijk door gaat op een andere provider.

maar meteen de politie inschakelen vind ik eigenlijk ook wat drastisch
bovendien het downloaden waar ik het mee binnen gekregen heb.
is ook niet echt helemaal juist :P

ik ga zijn hosting aanspreken op zijn gedrag.
op de hoop dat ze daar net zo goed de pest in dit soort mensen hebben en ze er daar goed werk van maken.

[Voor 37% gewijzigd door Proxx op 17-06-2011 10:10]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • killercow
  • Registratie: Maart 2000
  • Laatst online: 05-06 15:49
Proxx schreef op vrijdag 17 juni 2011 @ 10:03:
zou contact op nemen met zijn hosting provider niet voldoende moeten zijn.
ben alleen bang dat hij dadelijk door gaat op een andere provider.

maar meteen de politie inschakelen vind ik eigenlijk ook wat drastisch
Hoezo? Als er een daadwerkelijke verdenking bestaat is het aan de Politie om uit te zoeken of het inderdaad om een illegale handeling gaat en dat de poppetjes voorgeleid moeten worden. Een rechter bepaald dan wel of het een kwajongens streek of georganiseerde misdaad is voor wat betreft de strafmaat.

Ook zin in een outdoor geek-fest? eth0.nl


  • ndeleeuw
  • Registratie: Februari 2002
  • Laatst online: 31-05 15:33
Dat is inderdaad mijn gedachte ook het is mogelijk dat hier sprake is van computervredebreuk en dat is strafbaar in Nederland men mag niet inbreken in andermans systemen wat men dus hier wel doet met deze tools.
Het is volgens mij sinds kort verboden om dit soort tools te maken dan wel te distribueren.
En de politie dan wel de rechter mag uitmaken wat er aan het handje is.

Extra info: Wikipedia: Computervredebreuk en http://www.security.nl/ar...ols_zijn_verboden%3F.html

[Voor 21% gewijzigd door ndeleeuw op 17-06-2011 10:56]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ja er was gisteren of eergisteren een nieuws post over op tweakers ja.
volgens mij is die regel er nog niet door.

computervredebreuk zou inderdaad een goeie zijn. ik ken iemand die bij de politie werkt misschien moet ik daar eventjes informeren.

ik ben op het moment een XPmode aan het installeren op mijn pc. zodat nog eens goed kan bekijken wat er allemaal precies uitgespookt wordt op de pc.

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Cloud
  • Registratie: November 2001
  • Laatst online: 05-06 15:03

Cloud

FP ProMod

Ex-moderatie mobster

Het is lief van je dat je de hostingprovider aan gaat spreken hierover, maar ik zou ook gewoon de politie inschakelen. Dit zijn geen kwajongensstreken meer te noemen en dat hoort gewoon bestraft te worden. En al is het dat wel, dan komt de politie daar wel achter.

Het enige wat de hostingprovider kan doen is de boel opzeggen en dan verhuist hij naar een andere provider waar hij precies hetzelfde flikt. Wees blij dat juist jij het ontdekt hebt, moet je nagaan hoeveel onwetenden ook slachtoffer kunnen zijn van hetzelfde. :)

Die richtlijn is overigens nog niet geldig dacht ik, en stelt puur dat de EU landen dat in hun wetgeving op moeten gaan nemen. Op dit moment heb je daar nog niets aan nee.

[Voor 14% gewijzigd door Cloud op 17-06-2011 10:35]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
kan strak wel even bellen naar 0800-8844 ofzoiets.
of is er een online meldpunt waar ik wat kan melden ?

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Cloud
  • Registratie: November 2001
  • Laatst online: 05-06 15:03

Cloud

FP ProMod

Ex-moderatie mobster

Online meldpunt voor dit soort dingen weet ik eigenlijk niet, maar ik denk dat 0800-TUIG je vast wel kan vertellen waar je moet zijn. Of misschien doorverbinden of zo :)

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
voor geinsterreseerden heb ik een Wink flash filmpje gemaakt.
http://www.proxx.nl/hacker/test2.htm
hier zie je wat de bestanden doen
volgens het artikel wat iemand hier eerder poste zou dit toch onder computervredebreuk vallen.
de software is specifiek ontworpen om mijn gegevens terug naar de "dader" te sturen.

de network capture zet ik niet online omdat er misschien andere data tussen zit die niet openbaar hoeft te zijn.

wat maakt mij het ook uit. download hier
gebruik wireshark om het uit te lezen.

[Voor 71% gewijzigd door Proxx op 17-06-2011 13:13]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
Politie zegt niks te kunnen doen omdat ik zelf het bestand binnen gehaald heb en daardoor "toestemming" geven heb. en een ander korps zij dat ik mijn antivirus moest updaten :? waarschijnlijk weet hij zelf nog maar net waar de aan en uit knop te vinden is.

WTF

ik heb inderdaad iets gedownload waar dit in verborgen was. en dat heb ik uitgevoerd. maar ik heb zeker geen toestemming gegeven om mijn wachtwoorden op te vragen en terug te sturen.

tijdens het opstarten wordt elke keer de via javaupdate.exe een bestand mc.exe gedownload die het zelfde nog eens doet (wachtwoorden opvragen en doorsturen) heb ik ook geen toestemming voor gegeven.

tis eigenlijk wel een beetje wat ik had verwacht. politie heeft wel andere dingen te doen als digitalescript kiddy's aan te spreken.

[Voor 20% gewijzigd door Proxx op 17-06-2011 18:22]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
www.bytop.nl is het domein van de beheer server

www.bytop.nl/net zal het vermoedelijke login voor de admin zijn
www.bytop.nl/net/version.txt dat is de huidige versie van het botnet/script of weet ik wat.
www.bytop.nl/net/command....=814337198&s=idle&v=1.1.7 daar zal de aansturing vandaan komen.

spoiler:
www.byt*p.nl/net/mc.exe
is het bestand wat tijdens het opstarten gedownload wordt door het bestand. javaupdater.exe in de map C:\windows\inf\

WAARSCHUWING: download mc.exe niet tenzij je zeker weet waar je mee bezig bent. het is iniedergeval je eigen risico om het te downloaden je weet op voorhand dat je gegeven gestolen worden !

[Voor 22% gewijzigd door Proxx op 17-06-2011 14:40]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • BCC
  • Registratie: Juli 2000
  • Nu online
Proxx schreef op vrijdag 17 juni 2011 @ 13:37:
Politie zegt niks te kunnen doen omdat ik zelf het bestand binnen gehaald heb en daardoor "toestemming" geven heb. en een ander corps zij dat ik mijn antivirus moest updaten :? waarschijnlijk weet hij zelf nog maar net waar de aan en uit knop te vinden is.
Het is natuurlijk ook wel een beetje naïef om te denken dat een gemiddeld persoon weet waar jij het hier over hebt. Laat staan dat zij eenvoudig kunnen inschatten of je verstand van zaken hebt.

  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

dat moet dat gemiddeld persoon zelf ook doorhebben dunkt me en doorzetten naar een bovengemiddeld persoon. zoniet is het een ondergemiddeld persoon

Iperf


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
dat begrijp ik heel goed. ik heb op een helpdesk gewerkt en had ook wel eens iemand aan de lijn die meer kon als ik ingeschat had. en dan komt het toch een beetje knudde over idd.

@fish

ik werdt van de stad door geschakeld naar een boeren dorp. daar konden ze me vertellen dat ik mijn antivirus moet update

[Voor 27% gewijzigd door Proxx op 17-06-2011 14:02]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • pepio
  • Registratie: Februari 2009
  • Laatst online: 19:16
Het domein is in ieder geval van ene Feiken, G met het email adres knip Daar zou de politie toch wel wat mee moeten kunnen mag ik hopen...

*laten we dat maar even niet doen.

[Voor 20% gewijzigd door iisschots op 21-06-2011 00:12]


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ik had het al van iemand door gekregen. maar toch ik zou in Eindhoven een keer binnen kunnen lopen die zijn tot later open als in die boeren dorpen.

[Voor 50% gewijzigd door Proxx op 17-06-2011 14:05]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Ctgras
  • Registratie: November 2009
  • Niet online

  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 02-01 00:39
ik ben een mail aan het opstellen voor de digitale recherche.

edit:
binne 14dagen zou ik reactie moeten krijgen. ben benieuwd
dit keer heb ik mijn aanpak aan gepast. ik heb meteen artikel 139d lid 2 Strafrecht: er bij genoemd.
en vermeld dat ik data heb die duidelijk maakt dat er moedwillig geprobeerd wordt om
gevoellige gegevens te stelen.

[Voor 70% gewijzigd door Proxx op 17-06-2011 14:47]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Proxx schreef op vrijdag 17 juni 2011 @ 14:00:
dat begrijp ik heel goed. ik heb op een helpdesk gewerkt en had ook wel eens iemand aan de lijn die meer kon als ik ingeschat had. en dan komt het toch een beetje knudde over idd.

@fish

ik werdt van de stad door geschakeld naar een boeren dorp. daar konden ze me vertellen dat ik mijn antivirus moet update
Net zoiets als dat je huis wordt leeggehaald door inbrekers terwijl je aan komt rijden.
bel je de politie, ja dan moet je maar de sloten vervangen. jij laat ze toch binnen

pruts0rs

Iperf


  • thisegzz
  • Registratie: Juni 2007
  • Laatst online: 31-05 19:51

thisegzz

(-(-_(-_-)_-)-)

Ik heb die bytop.nl ff nagetrokken, en de nameserver blijkt met PingBuster.net gelinkt te zijn. Daar via Live support een medewerker op de hoogte gesteld, en dit was hun antwoord:
Thank you for reporting this. I will contact my supervisor and he will take appropiate action.
Dus als het goed is, is die website binnenkort offline 8)

Edit: om 0:03 een mailtje ontvangen:
Hi there,

The password stealer has been succesfully removed. I contacted the owner immediately and it appeared his webhosting account has been hacked / keylogged. Either way, all files are deleted.

If you have any enquiries, feel free to contact me.
Thanks for reporting this matter to us.

Kind regards,
PingBuster.net support team
www.pingbuster.net

[Voor 37% gewijzigd door thisegzz op 21-06-2011 00:07]

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee