Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

[Informatie] Virusje op ronde

Pagina: 1
Acties:

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Vandaag bij ons gedetecteerd: een virus dat alle menu-items, mappen en bestanden onzichtbaar maakt, rechterklik en task manager disabled, het virtueel geheugen opvreet en tientallen delayed write errors genereerd.

Zelfs na het virus er - waarschijnlijk - afgekregen te hebben is een reinstall de enige beste oplossing omdat de schade aan het OS niet in te schatten is.

Interessant is dat de meeste antivirussen wel de trojans detecteren die het virus met zich meebreng maar niet de oorzaak zelf: een bestand genaamd iExplore.exe.

De analyse op virustotal vind je hier:

https://www.virustotal.co...a96b80e8d1a4207/analysis/.

Geïnteresseerden kunnen me PMen om een encrypted zipje met een sample te krijgen.

Verwijderd

Kan je ook al wat meer vertellen hoe het binnenkomt?
Email met een bepaald onderwerp?
Link naar een website, bestand gekoppeld?
Zijn er uitgaande verbindingen?

iets? :)

[ Voor 4% gewijzigd door Verwijderd op 26-01-2012 14:30 ]


  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Verwijderd schreef op donderdag 26 januari 2012 @ 14:16:
Kan je ook al wat meer vertellen hoe het binnenkomt?
Email met een bepaald onderwerp?
Link naar een website, bestand gekoppeld?
Zijn er uitgaande verbindingen?

iets? :)
Gek genoeg blijkt rkill - op zich een legitieme app - er in vervat te zitten en uitgevoerd te worden. Vandaar ook de verwarring met de checksum denk ik op de pagina van virustotal.

Hoe het binnengekomen is: geen idee. Het komt van een laptop, dus vermoedelijk via het netwerk van de user thuis en niet via het bedrijfsnetwerk.

De bestanden die binnengehengeld worden zijn een DNS-changer en een keylogger.

Ik heb de machine maar kort in mijn handen gehad en niet aan het netwerk aangesloten, dus ik heb niet zoveel informatie. Maar net de tijd gehad om het hoofdbestand te isoleren.

  • -Skyhawk-
  • Registratie: Augustus 2001
  • Niet online
Wij hebben ook een aantal klanten gehad die deze besmetting hadden. We kregen een aantal maanden geleden (+-4) de eerste binnen en afgelopen week kwamen er 3 a 4 bij.

Hoe het binnen gekomen is is niet duidelijk geworden.

Verwijderd

Van de rkill site:
On a final note, when you download and run RKill, certain anti-virus programs may state that the program is a security risk. This is because some of the tools used by RKill can be used for good or bad, though the programs themselves are perfectly harmless, and most anti-virus programs just lump them into the bad category. I assure you we are using them only for good purposes

A scan from virustotal.com as of 12/02/10 shows the following AV vendors flagging RKill as:
ClamAV 0.96.4.0 2010.12.02 PUA.Packed.PECompact-1
eSafe 7.0.17.0 2010.12.02 Suspicious File
F-Prot 4.6.2.117 2010.12.01 File is damaged
Sophos 4.60.0 2010.12.02 NirCmd
Please be assured that there are no Trojans or infections within RKill.

Kan dus ook de virusscanner zijn die iets te enthousiast is?

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
De hash die er bij hoort heeft volgende bekende bestandsnamen:
  1. iExplore.exe
  2. rkill.com
  3. WiNlOgOn.exe
  4. rkill.exe
  5. eXplorer.exe-wMMDGa
  6. eXplorer.exe-wMMDGa
  7. rkill.com
  8. rkill.scr
  9. 28c253a0212b221e96f6a17499b91651
  10. 28c253a0212b221e96f6a17499b91651(1).malware
  11. 28c253a0212b221e96f6a17499b91651.malware
  12. 4592de27b3d46bd32bf6779420fe441e990a45a4.bin
  13. C:\Users\stacie\iExplore.exe
  14. D:\sav\BestiaMadre\queues\webroot\tmp_zip2\4592de27b3d46bd32bf6779420fe441e990a45a4.bin
  15. WiNlOgOn.exe
  16. eXplorer.exe
  17. file-3274731_exe
  18. iExplore.ex$
  19. iExplore.exe
  20. iexplorer.exe
  21. rkill (1).com
  22. rkill.com
  23. rkill.exe
  24. rkill.scr
  25. smona132609642084787025713
Het is mijn inziens eerder zo dat de virale app gerenamed wordt naar rkill en dat dit, gecombineerd met de false positives op de echte rkill, voor verwarring zorgt. De applicatie die ik heb en waarvan je de analyse in mijn startpost ziet is 100% viraal en zeker niet rkill.

  • Bastiaan
  • Registratie: November 2002
  • Laatst online: 28-11 08:32

Bastiaan

Bas·ti·aan (de, m)

We hebben hier een notebook van een gebruiker gehad. Deze heeft ze thuis gebruikt en daar dan ook met dit virus te maken gekregen. De oorzaak is ons niet bekend, maar we hebben vóór de herinstallatie wel een image gemaakt van de situatie op dat moment. Mocht het nodig zijn: we kunnen de situatie dus nog opnieuw reproduceren.

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Nog een screenshotje van de rotzooi die binnengehaald werd:

Afbeeldingslocatie: http://tweakers.net/ext/f/LKraZSzT6XJAavXn3zO5cRzJ/full.png

Verwijderd

Dit is een malware removal toolset/utility welke voornamelijk gericht is op Fake AV...

  • -The_Mask-
  • Registratie: November 2007
  • Niet online
YellowOnline schreef op donderdag 26 januari 2012 @ 14:05:
Vandaag bij ons gedetecteerd: een virus dat alle menu-items, mappen en bestanden onzichtbaar maakt,
Verwijderd schreef op donderdag 26 januari 2012 @ 20:12:
[...]

Dit is een malware removal toolset/utility welke voornamelijk gericht is op Fake AV...
Komt mij ook bekend voor als Fake AV, maar dan in de vorm van een fake HD controle programma, maar was in veel meer vormen bekend volgens het www. :)

[ Voor 5% gewijzigd door -The_Mask- op 26-01-2012 20:19 ]

Bitfenix Whisper 450W review
[PSU] Voeding advies en info
AMD Nieuwsdiscussie
AMD Radeon Info en Nieuwsdiscussietopic


Verwijderd

Ehm, ik heb de file gedownload van VirusTotal en gereverse-engineered.
Dit is de tool: http://download.cnet.com/RKill/3000-8022_4-75221743.html
Pagina: 1