[Informatie] Virusje op ronde - Privacy en beveiliging

donderdag 26 januari 2012 14:05

Acties:

BEATI PAVPERES SPIRITV

Topicstarter

Vandaag bij ons gedetecteerd: een virus dat alle menu-items, mappen en bestanden onzichtbaar maakt, rechterklik en task manager disabled, het virtueel geheugen opvreet en tientallen delayed write errors genereerd.

Zelfs na het virus er - waarschijnlijk - afgekregen te hebben is een reinstall de enige beste oplossing omdat de schade aan het OS niet in te schatten is.

Interessant is dat de meeste antivirussen wel de trojans detecteren die het virus met zich meebreng maar niet de oorzaak zelf: een bestand genaamd iExplore.exe.

De analyse op virustotal vind je hier:

https://www.virustotal.co...a96b80e8d1a4207/analysis/.

Geïnteresseerden kunnen me PMen om een encrypted zipje met een sample te krijgen.

donderdag 26 januari 2012 14:16

Acties:

Verwijderd

Kan je ook al wat meer vertellen hoe het binnenkomt?
Email met een bepaald onderwerp?
Link naar een website, bestand gekoppeld?
Zijn er uitgaande verbindingen?

iets?

[ Voor 4% gewijzigd door Verwijderd op 26-01-2012 14:30 ]

donderdag 26 januari 2012 14:48

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Verwijderd schreef op donderdag 26 januari 2012 @ 14:16:
Kan je ook al wat meer vertellen hoe het binnenkomt?
Email met een bepaald onderwerp?
Link naar een website, bestand gekoppeld?
Zijn er uitgaande verbindingen?

iets?

Gek genoeg blijkt rkill - op zich een legitieme app - er in vervat te zitten en uitgevoerd te worden. Vandaar ook de verwarring met de checksum denk ik op de pagina van virustotal.

Hoe het binnengekomen is: geen idee. Het komt van een laptop, dus vermoedelijk via het netwerk van de user thuis en niet via het bedrijfsnetwerk.

De bestanden die binnengehengeld worden zijn een DNS-changer en een keylogger.

Ik heb de machine maar kort in mijn handen gehad en niet aan het netwerk aangesloten, dus ik heb niet zoveel informatie. Maar net de tijd gehad om het hoofdbestand te isoleren.

donderdag 26 januari 2012 14:58

Acties:

-Skyhawk-

Wij hebben ook een aantal klanten gehad die deze besmetting hadden. We kregen een aantal maanden geleden (+-4) de eerste binnen en afgelopen week kwamen er 3 a 4 bij.

Hoe het binnen gekomen is is niet duidelijk geworden.

donderdag 26 januari 2012 15:02

Acties:

Verwijderd

Van de rkill site:
On a final note, when you download and run RKill, certain anti-virus programs may state that the program is a security risk. This is because some of the tools used by RKill can be used for good or bad, though the programs themselves are perfectly harmless, and most anti-virus programs just lump them into the bad category. I assure you we are using them only for good purposes

A scan from virustotal.com as of 12/02/10 shows the following AV vendors flagging RKill as:
ClamAV 0.96.4.0 2010.12.02 PUA.Packed.PECompact-1
eSafe 7.0.17.0 2010.12.02 Suspicious File
F-Prot 4.6.2.117 2010.12.01 File is damaged
Sophos 4.60.0 2010.12.02 NirCmd
Please be assured that there are no Trojans or infections within RKill.

Kan dus ook de virusscanner zijn die iets te enthousiast is?

donderdag 26 januari 2012 15:07

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

De hash die er bij hoort heeft volgende bekende bestandsnamen:

iExplore.exe
rkill.com
WiNlOgOn.exe
rkill.exe
eXplorer.exe-wMMDGa
eXplorer.exe-wMMDGa
rkill.com
rkill.scr
28c253a0212b221e96f6a17499b91651
28c253a0212b221e96f6a17499b91651(1).malware
28c253a0212b221e96f6a17499b91651.malware
4592de27b3d46bd32bf6779420fe441e990a45a4.bin
C:\Users\stacie\iExplore.exe
D:\sav\BestiaMadre\queues\webroot\tmp_zip2\4592de27b3d46bd32bf6779420fe441e990a45a4.bin
WiNlOgOn.exe
eXplorer.exe
file-3274731_exe
iExplore.ex$
iExplore.exe
iexplorer.exe
rkill (1).com
rkill.com
rkill.exe
rkill.scr
smona132609642084787025713

Het is mijn inziens eerder zo dat de virale app gerenamed wordt naar rkill en dat dit, gecombineerd met de false positives op de echte rkill, voor verwarring zorgt. De applicatie die ik heb en waarvan je de analyse in mijn startpost ziet is 100% viraal en zeker niet rkill.

donderdag 26 januari 2012 15:09

Acties:

Bastiaan

Bas·ti·aan (de, m)

We hebben hier een notebook van een gebruiker gehad. Deze heeft ze thuis gebruikt en daar dan ook met dit virus te maken gekregen. De oorzaak is ons niet bekend, maar we hebben vóór de herinstallatie wel een image gemaakt van de situatie op dat moment. Mocht het nodig zijn: we kunnen de situatie dus nog opnieuw reproduceren.

donderdag 26 januari 2012 15:10

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Nog een screenshotje van de rotzooi die binnengehaald werd:

Afbeeldingslocatie: http://tweakers.net/ext/f/LKraZSzT6XJAavXn3zO5cRzJ/full.png

donderdag 26 januari 2012 20:12

Acties:

Verwijderd

YellowOnline schreef op donderdag 26 januari 2012 @ 14:05:
De analyse op virustotal vind je hier:

https://www.virustotal.co...a96b80e8d1a4207/analysis/.

Dit is een malware removal toolset/utility welke voornamelijk gericht is op Fake AV...

donderdag 26 januari 2012 20:19

Acties:

-The_Mask-

YellowOnline schreef op donderdag 26 januari 2012 @ 14:05:
Vandaag bij ons gedetecteerd: een virus dat alle menu-items, mappen en bestanden onzichtbaar maakt,

Verwijderd schreef op donderdag 26 januari 2012 @ 20:12:
[...]

Dit is een malware removal toolset/utility welke voornamelijk gericht is op Fake AV...

Komt mij ook bekend voor als Fake AV, maar dan in de vorm van een fake HD controle programma, maar was in veel meer vormen bekend volgens het www.

[ Voor 5% gewijzigd door -The_Mask- op 26-01-2012 20:19 ]

Bitfenix Whisper 450W review
[PSU] Voeding advies en info
AMD Nieuwsdiscussie
AMD Radeon Info en Nieuwsdiscussietopic

donderdag 26 januari 2012 20:51

Acties:

Verwijderd

Ehm, ik heb de file gedownload van VirusTotal en gereverse-engineered.
Dit is de tool: http://download.cnet.com/RKill/3000-8022_4-75221743.html