Botnet/datacrawler gevonden. - Privacy en beveiliging

donderdag 16 juni 2011 22:13

Acties:

0 Henk 'm!

Topicstarter

ik heb laatst iets gedownload dat besmet wat met een "soort" virus

het zijn scriptkiddys geweest en ook nog eens nederlandse.
ik heb de .exe en wil ze proberen te decompile aangezien het autoit is. (vorals nog niet gelukt)
Afbeeldingslocatie: http://www.proxx.nl/hacker/1.png

Afbeeldingslocatie: http://www.proxx.nl/hacker/1.png

wel weet ik welke webserver de "aansturing" verzorgt.
Afbeeldingslocatie: http://www.proxx.nl/hacker/2.png

Afbeeldingslocatie: http://www.proxx.nl/hacker/3.png

hij gebruikt nirsoft freeware tools om wachtwoorden te achterhalen en die vervolgens terug naar de server te sturen. gelukkig zat er voor mij geen gevoelige data bij. en het geen wat ie misschien heeft daar heb ik de codes van veranderd.

nu wil ik graag advies. wat kan ik het beste doen.

owja en weet iemand nog goede tools voor backwards engineering voor exe files. (autoit compiled files)
ik heb bewust zo min mogelijk info online gezet omdat ik nog geen slapende koeien wakker wil maken!

moet ik zijn hosting provider aanspreken op zijn legubere acties of moet ik zelf proberen zijn database te flooden met random data? (tot hij natuurlijk mijn ip blockt) of wat zouden jullie doen?

btw met hosting provider boedoel ik ook echt een webhosting en niet een internet provider. vandaar dat ik vrij zeker weet dat dit niet een zombie pc is.

[ Voor 24% gewijzigd door Proxx op 17-06-2011 00:10 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 08:28

Acties:

0 Henk 'm!

lordgandalf

Zo aan het icoontje te zien is het een tool voor minecraft.
Het lijkt erop dat ie minecraft probeert te downloaden.
of teminste een file die een naam heeft die op minecraft lijkt te duiden.
Hoe zeker ben je ervan dat het een illegaal iets is ??
waarom denk je dat ?

hierbij een autoit decompiler:
http://blog.nerdbucket.co...mpiler-for-v3-2-6/article

[ Voor 15% gewijzigd door lordgandalf op 17-06-2011 08:32 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 17 juni 2011 09:28

Acties:

0 Henk 'm!

Proxx

Topicstarter

ik heb het misschien niet helemaal duidelijk verwoordt. maar als ik een van deze 4 uitvoer download hij een mc.exe waar een webbrowser pass view en mail passview in zit. die slaan mijn wachtwoorden op in een file. en vervolgens worden ze terug naar de server gestuurd.
tevens word javaupdater.exe in C:\windows\inf\ gezet en krijg hij een startup entry
java_cachemc.exe en java-updater.exe komen in %temp% en usbmon ergens in roaming\microsoft map.

alleen al de locaties van de files is al dubieus. en dan ook nog eens 2 passviewers. die elke keer gedownload worden.

[ Voor 9% gewijzigd door Proxx op 17-06-2011 09:31 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 09:32

Acties:

0 Henk 'm!

noes

gek op benzine.

Zijn het nerderlandse scriptkiddies? Probeer zoveel mogelijk te achterhalen en doe aangifte

K54/R1250RS | K48/K1600GT | E61/550i

vrijdag 17 juni 2011 09:32

Acties:

0 Henk 'm!

Proxx

Topicstarter

ik heb zijn webserver en hosting provider al. maar zou dit voldoende zijn om aangifte te doen?

denk dat er zeker honderden misschien wel duizenden die zo de val in gegaan zijn.
de meeste virus scanners reageren ook niet op dit script.

volgens mij wireshark capture. resolved hij specifiek dat ene domein en niet random elke keer een ander.

[ Voor 61% gewijzigd door Proxx op 17-06-2011 09:38 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 09:41

Acties:

0 Henk 'm!

lordgandalf

Probeer zelf zoveel mogelijk info the verzamelen over hoe je het tegen bent gekomen waarom je denkt dat het crap is en hoe je achter de gegevens bent gekomen.
Dit is nuttige info voor de politie in het verdere process ga NIET proberen de gast zelf terug te hacken enz dat maakt het voor de politite niet makkelijker

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 17 juni 2011 10:03

Acties:

0 Henk 'm!

Proxx

Topicstarter

zou contact op nemen met zijn hosting provider niet voldoende moeten zijn.
ben alleen bang dat hij dadelijk door gaat op een andere provider.

maar meteen de politie inschakelen vind ik eigenlijk ook wat drastisch
bovendien het downloaden waar ik het mee binnen gekregen heb.
is ook niet echt helemaal juist

ik ga zijn hosting aanspreken op zijn gedrag.
op de hoop dat ze daar net zo goed de pest in dit soort mensen hebben en ze er daar goed werk van maken.

[ Voor 37% gewijzigd door Proxx op 17-06-2011 10:10 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 10:08

Acties:

0 Henk 'm!

killercow

eth0

Proxx schreef op vrijdag 17 juni 2011 @ 10:03:
zou contact op nemen met zijn hosting provider niet voldoende moeten zijn.
ben alleen bang dat hij dadelijk door gaat op een andere provider.

maar meteen de politie inschakelen vind ik eigenlijk ook wat drastisch

Hoezo? Als er een daadwerkelijke verdenking bestaat is het aan de Politie om uit te zoeken of het inderdaad om een illegale handeling gaat en dat de poppetjes voorgeleid moeten worden. Een rechter bepaald dan wel of het een kwajongens streek of georganiseerde misdaad is voor wat betreft de strafmaat.

openkat.nl al gezien?

vrijdag 17 juni 2011 10:29

Acties:

0 Henk 'm!

lordgandalf

Dat is inderdaad mijn gedachte ook het is mogelijk dat hier sprake is van computervredebreuk en dat is strafbaar in Nederland men mag niet inbreken in andermans systemen wat men dus hier wel doet met deze tools.
Het is volgens mij sinds kort verboden om dit soort tools te maken dan wel te distribueren.
En de politie dan wel de rechter mag uitmaken wat er aan het handje is.

Extra info: Wikipedia: Computervredebreuk en http://www.security.nl/ar...ols_zijn_verboden%3F.html

[ Voor 21% gewijzigd door lordgandalf op 17-06-2011 10:56 ]

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

vrijdag 17 juni 2011 10:34

Acties:

0 Henk 'm!

Proxx

Topicstarter

ja er was gisteren of eergisteren een nieuws post over op tweakers ja.
volgens mij is die regel er nog niet door.

computervredebreuk zou inderdaad een goeie zijn. ik ken iemand die bij de politie werkt misschien moet ik daar eventjes informeren.

ik ben op het moment een XPmode aan het installeren op mijn pc. zodat nog eens goed kan bekijken wat er allemaal precies uitgespookt wordt op de pc.

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 10:34

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Het is lief van je dat je de hostingprovider aan gaat spreken hierover, maar ik zou ook gewoon de politie inschakelen. Dit zijn geen kwajongensstreken meer te noemen en dat hoort gewoon bestraft te worden. En al is het dat wel, dan komt de politie daar wel achter.

Het enige wat de hostingprovider kan doen is de boel opzeggen en dan verhuist hij naar een andere provider waar hij precies hetzelfde flikt. Wees blij dat juist jij het ontdekt hebt, moet je nagaan hoeveel onwetenden ook slachtoffer kunnen zijn van hetzelfde.

Die richtlijn is overigens nog niet geldig dacht ik, en stelt puur dat de EU landen dat in hun wetgeving op moeten gaan nemen. Op dit moment heb je daar nog niets aan nee.

[ Voor 14% gewijzigd door Cloud op 17-06-2011 10:35 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 17 juni 2011 10:56

Acties:

0 Henk 'm!

Proxx

Topicstarter

kan strak wel even bellen naar 0800-8844 ofzoiets.
of is er een online meldpunt waar ik wat kan melden ?

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 10:57

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Online meldpunt voor dit soort dingen weet ik eigenlijk niet, maar ik denk dat 0800-TUIG je vast wel kan vertellen waar je moet zijn. Of misschien doorverbinden of zo

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 17 juni 2011 12:43

Acties:

0 Henk 'm!

Proxx

Topicstarter

voor geinsterreseerden heb ik een Wink flash filmpje gemaakt.
http://www.proxx.nl/hacker/test2.htm
hier zie je wat de bestanden doen
volgens het artikel wat iemand hier eerder poste zou dit toch onder computervredebreuk vallen.
de software is specifiek ontworpen om mijn gegevens terug naar de "dader" te sturen.

de network capture zet ik niet online omdat er misschien andere data tussen zit die niet openbaar hoeft te zijn.

wat maakt mij het ook uit. download hier
gebruik wireshark om het uit te lezen.

[ Voor 71% gewijzigd door Proxx op 17-06-2011 13:13 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 13:37

Acties:

0 Henk 'm!

Proxx

Topicstarter

Politie zegt niks te kunnen doen omdat ik zelf het bestand binnen gehaald heb en daardoor "toestemming" geven heb. en een ander korps zij dat ik mijn antivirus moest updaten

waarschijnlijk weet hij zelf nog maar net waar de aan en uit knop te vinden is.

WTF

ik heb inderdaad iets gedownload waar dit in verborgen was. en dat heb ik uitgevoerd. maar ik heb zeker geen toestemming gegeven om mijn wachtwoorden op te vragen en terug te sturen.

tijdens het opstarten wordt elke keer de via javaupdate.exe een bestand mc.exe gedownload die het zelfde nog eens doet (wachtwoorden opvragen en doorsturen) heb ik ook geen toestemming voor gegeven.

tis eigenlijk wel een beetje wat ik had verwacht. politie heeft wel andere dingen te doen als digitalescript kiddy's aan te spreken.

[ Voor 20% gewijzigd door Proxx op 17-06-2011 18:22 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 13:44

Acties:

0 Henk 'm!

Proxx

Topicstarter

www.bytop.nl is het domein van de beheer server

www.bytop.nl/net zal het vermoedelijke login voor de admin zijn
www.bytop.nl/net/version.txt dat is de huidige versie van het botnet/script of weet ik wat.
www.bytop.nl/net/command....=814337198&s=idle&v=1.1.7 daar zal de aansturing vandaan komen.

spoiler:

www.byt*p.nl/net/mc.exe

is het bestand wat tijdens het opstarten gedownload wordt door het bestand. javaupdater.exe in de map C:\windows\inf\

WAARSCHUWING: download mc.exe niet tenzij je zeker weet waar je mee bezig bent. het is iniedergeval je eigen risico om het te downloaden je weet op voorhand dat je gegeven gestolen worden !

[ Voor 22% gewijzigd door Proxx op 17-06-2011 14:40 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 13:56

Acties:

0 Henk 'm!

BCC

Proxx schreef op vrijdag 17 juni 2011 @ 13:37:
Politie zegt niks te kunnen doen omdat ik zelf het bestand binnen gehaald heb en daardoor "toestemming" geven heb. en een ander corps zij dat ik mijn antivirus moest updaten waarschijnlijk weet hij zelf nog maar net waar de aan en uit knop te vinden is.

Het is natuurlijk ook wel een beetje naïef om te denken dat een gemiddeld persoon weet waar jij het hier over hebt. Laat staan dat zij eenvoudig kunnen inschatten of je verstand van zaken hebt.

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

vrijdag 17 juni 2011 14:00

Acties:

0 Henk 'm!

Fish

How much is the fish

dat moet dat gemiddeld persoon zelf ook doorhebben dunkt me en doorzetten naar een bovengemiddeld persoon. zoniet is het een ondergemiddeld persoon

Iperf

vrijdag 17 juni 2011 14:00

Acties:

0 Henk 'm!

Proxx

Topicstarter

dat begrijp ik heel goed. ik heb op een helpdesk gewerkt en had ook wel eens iemand aan de lijn die meer kon als ik ingeschat had. en dan komt het toch een beetje knudde over idd.

@fish

ik werdt van de stad door geschakeld naar een boeren dorp. daar konden ze me vertellen dat ik mijn antivirus moet update

[ Voor 27% gewijzigd door Proxx op 17-06-2011 14:02 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 14:03

Acties:

0 Henk 'm!

pepio

Het domein is in ieder geval van ene Feiken, G met het email adres knip Daar zou de politie toch wel wat mee moeten kunnen mag ik hopen...

*laten we dat maar even niet doen.

[ Voor 20% gewijzigd door iisschots op 21-06-2011 00:12 ]

vrijdag 17 juni 2011 14:04

Acties:

0 Henk 'm!

Proxx

Topicstarter

ik had het al van iemand door gekregen. maar toch ik zou in Eindhoven een keer binnen kunnen lopen die zijn tot later open als in die boeren dorpen.

[ Voor 50% gewijzigd door Proxx op 17-06-2011 14:05 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 14:05

Acties:

0 Henk 'm!

Anoniem: 324818

Heb je al de digitale recherche geprobeerd?

Bijv:
http://www.politie.nl/Gelderland-Zuid/OverDitKorps/Divisie_COZ/digitale_recherche.asp

vrijdag 17 juni 2011 14:12

Acties:

0 Henk 'm!

Proxx

Topicstarter

ik ben een mail aan het opstellen voor de digitale recherche.

edit:
binne 14dagen zou ik reactie moeten krijgen. ben benieuwd
dit keer heb ik mijn aanpak aan gepast. ik heb meteen artikel 139d lid 2 Strafrecht: er bij genoemd.
en vermeld dat ik data heb die duidelijk maakt dat er moedwillig geprobeerd wordt om
gevoellige gegevens te stelen.

[ Voor 70% gewijzigd door Proxx op 17-06-2011 14:47 ]

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)

vrijdag 17 juni 2011 14:51

Acties:

0 Henk 'm!

Fish

How much is the fish

Proxx schreef op vrijdag 17 juni 2011 @ 14:00:
dat begrijp ik heel goed. ik heb op een helpdesk gewerkt en had ook wel eens iemand aan de lijn die meer kon als ik ingeschat had. en dan komt het toch een beetje knudde over idd.

@fish

ik werdt van de stad door geschakeld naar een boeren dorp. daar konden ze me vertellen dat ik mijn antivirus moet update

Net zoiets als dat je huis wordt leeggehaald door inbrekers terwijl je aan komt rijden.
bel je de politie, ja dan moet je maar de sloten vervangen. jij laat ze toch binnen

pruts0rs

Iperf

maandag 20 juni 2011 23:55

Acties:

0 Henk 'm!

thisegzz

(-(-_(-_-)_-)-)

Ik heb die bytop.nl ff nagetrokken, en de nameserver blijkt met PingBuster.net gelinkt te zijn. Daar via Live support een medewerker op de hoogte gesteld, en dit was hun antwoord:

Thank you for reporting this. I will contact my supervisor and he will take appropiate action.

Dus als het goed is, is die website binnenkort offline

Edit: om 0:03 een mailtje ontvangen:

Hi there,

The password stealer has been succesfully removed. I contacted the owner immediately and it appeared his webhosting account has been hacked / keylogged. Either way, all files are deleted.

If you have any enquiries, feel free to contact me.
Thanks for reporting this matter to us.

Kind regards,
PingBuster.net support team
www.pingbuster.net

[ Voor 37% gewijzigd door thisegzz op 21-06-2011 00:07 ]

Pagina: 1

Reageer