CVE-2012-0507.AGH en .XJ - Privacy en beveiliging

vrijdag 2 november 2012 00:08

Acties:

Topicstarter

Sorry ik bak er weer niks van dacht dat ik op preview drukte dus hierbij het volledige verhaal:

Ik vond twee varianten van CVE-2012-0507 op mijn PC, weet niet veel van virussen maar wat ik er over kan vinden is dat het een java exploit is. Zou iemand mij kunnen helpen bepalen wat zo'n exploit precies download, dat werd volgens mij niet door MSE gevonden? In dit artikel staat 'Win32/Zbot', maar ik neem aan dat of MSE of Malwarebytes dit wel gevonden zou moeten hebben toch?

Mvg,

Frank

Het volledige artikel:

quote: http://www.microsoft.com/...%3AJava%2FCVE-2012-0507.A
Technical Information (Analysis)

Exploit:Java/CVE-2012-0507.A is the detection for a malicious Java applet stored within a Java archive (.JAR) that attempts to exploit a vulnerability in the Java Runtime Environment (JRE) up to and including versions 7 update 2, versions 6 update 30 and versions 5 update 33. The vulnerability is described in CVE-2012-0507.

The vulnerability exploits a flaw in the deserialization of "AtomicReferenceArray" objects, which allows remote attackers to call system level Java functions via the ClassLoader of a constructor that is being deserialized without proper sandboxing.
Installation

The attacker may host a malicious script on a website. If a user visits the site, the script loads the Java applet.

The malicious Java package may contain the following malicious Java class files:

Test.class - Exploit:Java/CVE-2012-0507.A
Help.class - Exploit:Java/CVE-2012-0507.B

Payload

Downloads other malware

The file "Test.class" triggers the vulnerability. It then calls the function "doWork()" inside the file "Help.class" to act as class loader.

The loader class creates another class file at runtime and loads it with elevated privileges. This class, which is detected as TrojanDownloader:Java/Rexec.G, downloads malware from a certain server and executes it as "%Temp%\mor.exe". The downloaded file is a variant of Win32/Zbot.

In the wild, we have observed this malware downloading files from the server "freshnewstoday.org".

Analysis by Rex Plantado

[ Voor 13% gewijzigd door Skizo op 02-11-2012 00:13 ]

vrijdag 2 november 2012 00:15

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dank, maar er komt wel vaker malware uit, ook voor JRE.

Niet standaard Java etc draaien is altijd al een goed idee geweest. * F_J_K heeft sowieso std geen JVM-achtige plugins draaien en aait NoScript.

Edit: ah, nu is het meer dan een melding

Er is geen virusscanner die alles vindt. En er zijn weinig scanners die bijna alles vinden (geldt ook zeker voor de gratis scanners).

Er staat idd dat 'a variant of Win32/Zbot' wordt gedownload. Ten eerste: 'a variant', dus niet perse gevonden. Ten tweede: de aanname dat het wel wordt gevonden kan je wel vergeten aangezien blijkbaar CVE-2012-0507.* zelf wel werd gemist.

Misschien goed om een andere scanner te laten lopen, en zelf met de hand te kijken (welke processen draaien er, welke zijn verdacht, wat zegt hijackthis, etc).

[ Voor 60% gewijzigd door F_J_K op 02-11-2012 00:20 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 2 november 2012 10:09

Acties:

Verwijderd

Zbot is een variant van binaries die gemaakt worden om jou computer toe te voegen aan een botnet waarmee ze websites kunnen aanvallen, gegevens kunnen stelen, of jou computer voorzien van nog meer malware.

Voer een scan uit terwijl je je computer in veilige modus opstart, doe dit bijvoorbeeld met de laatste versie van MBAM (Malwarebytes).

Na die scan kun je je computer scannen op rootkits, met bijvoorbeeld de offline scanner van Kaspersky ( de DVD variant ). Mocht je dan nog steeds niks gevonden hebben dan is een herinstallatie aan te raden, en de volgende keer alle software up-to-date te houden.

vrijdag 2 november 2012 18:22

Acties:

Verwijderd

@TS
Java niet installeren is het beste. Er zijn zo vaak gaten in deze software en Oracle is dusdanig laks met het dichten dat niet installeren gewoon het beste is. Twee recente artikelen hierover: http://webwereld.nl/nieuw...a-lek-bij-patchronde.html en http://webwereld.nl/nieuw...an-kritiek-java-gat-.html

Bij een grootschalige beveiligingsupdate heeft Oracle gisteren een kritiek gat in Java niet gedicht. Pas in februari 2013 staat een patch gepland.

(...)

Het is niet voor het eerst dat Oracle een Java-lek bewust open laat staan. Deze zomer bleek een ander kritiek gat ook al maandenlang open te staan, ondanks het feit dat Oracle op de hoogte was.

Verder lijkt het me zoals al gezegd wijs om de Kaspersky Rescue disk je systeem te laten scannen. Je kunt deze vanaf CD of USB booten.

zaterdag 3 november 2012 00:06

Acties:

photofreak

Als CVE-2012-0507 op je systeem wordt gedetecteerd hoeft dat nog niet persé te betekenen dat je pc besmet is, is je Java gewoon up-to-date dan is het alleen een detectie vanuit je cache van je browser en dan heeft deze exploit niet uit de Java sandbox kunnen komen om je systeem te besmetten.

Echter draai je Java 7.2 / 6.30 / 5.33 of eerder dan is de kans wel erg aanwezig dat je pc wel besmet is.

Overigens is een exploit niet direct te linken aan Zbot (Zeus) ook al komt die combinatie wel redelijk vaak voor.

zaterdag 3 november 2012 13:05

Acties:

Verwijderd

Skizo, dat zou handig zijn. Dan kan ik de HJT log analyseren

Misschien dat de Zbot er nog op staat.

zaterdag 3 november 2012 20:32

Acties:

Skizo

Topicstarter

Hierbij de logfile van Hijackthis, zie zelf weinig bijzonders, alvast bedankt voor de effort.
Edit: Ik kwam net op gorillavid terecht en hier stond een google advisory, nu zou het zo kunnen zijn dat hier vaak gebruik van wordt gemaakt op deze pc (law & order).. zou deze computer het hier opgelopen kunnen hebben?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:28:28, on 3-11-2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe
C:\Program Files (x86)\Sony\ReaderDesktop\appHelper\ReaderAppHelper.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDMedia.exe
C:\Users\Skizo\Documents\LCDSirReal\LCDSirReal.exe
C:\Program Files (x86)\DisplayFusion\DisplayFusionAppHook.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Skizo\Downloads\HijackThis(1).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HTC Sync Loader] "C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe" -startup
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Reader Application Helper] C:\Program Files (x86)\Sony\ReaderDesktop\appHelper\ReaderAppHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [DisplayFusion] "C:\Program Files (x86)\DisplayFusion\DisplayFusion.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/select/asusTek_sys_ctrl3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sony SCSI Helper Service - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\Fsk\SonySCSIHelperService.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10917 bytes

[ Voor 1% gewijzigd door Skizo op 03-11-2012 21:25 . Reden: Extra vraag gorillavid en google advisory ]

zondag 4 november 2012 22:32

Acties:

photofreak

@ Skizo,

Zou je een scan willen draaien met HitmanPro om op malware te zoeken: http://www.surfright.nl/nl/home/ en zou je ook willen kijken welke versie van Java je draait, Start >> Configuratiescherm >> Een programma verwijderen, daar kan je zien welke versie van Java 7 je hebt draaien.

donderdag 8 november 2012 02:16

Acties:

Skizo

Topicstarter

Java 7 update 9 (7.0.90)

HitmanPro (lijkt allemaal punkbuster)

Suspicious files ____________________________________________________________

C:\Users\Skizo\AppData\Local\PunkBuster\APB\pb\dll\wc002271.dll
Size . . . . . . . : 954.666 bytes
Age . . . . . . . : 329.1 days (2011-12-14 22:55:39)
Entropy . . . . . : 7.6
SHA-256 . . . . . : AD495109DC0B390CB8EB4B68E6395B5B28260CC310A29E966BEDEF1B6BDCAA70
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\APB\pb\pbcl.dll
Size . . . . . . . : 954.666 bytes
Age . . . . . . . : 322.0 days (2011-12-22 00:42:33)
Entropy . . . . . : 7.6
SHA-256 . . . . . : AD495109DC0B390CB8EB4B68E6395B5B28260CC310A29E966BEDEF1B6BDCAA70
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\APB\pb\pbclold.dll
Size . . . . . . . : 954.666 bytes
Age . . . . . . . : 331.1 days (2011-12-12 23:57:17)
Entropy . . . . . : 7.6
SHA-256 . . . . . : AD495109DC0B390CB8EB4B68E6395B5B28260CC310A29E966BEDEF1B6BDCAA70
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\APB\pb\PnkBstrK.sys
Size . . . . . . . : 140.232 bytes
Age . . . . . . . : 331.1 days (2011-12-12 23:57:43)
Entropy . . . . . : 7.7
SHA-256 . . . . . : EA0BCD7655045EEB6D0BC52047ED25AD3F6F6CCD3CDE3A5F2609063AFCB0D7CD
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.

C:\Users\Skizo\AppData\Local\PunkBuster\BF3\pb\dll\wc002292.dll
Size . . . . . . . : 956.681 bytes
Age . . . . . . . : 80.5 days (2012-08-19 14:28:09)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 7218A15A9890CE82EB25F7AB5AC7AA60B4E3055C5574B70A6CABA4274D6DE493
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\BF3\pb\dll\wc002317.dll
Size . . . . . . . : 949.613 bytes
Age . . . . . . . : 46.6 days (2012-09-22 10:43:48)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 15059F09B1D62DEA6B5D22EF9E0D062411C167378D870AE339AAB50B0BDC7FC0
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\BF3\pb\pbcl.dll
Size . . . . . . . : 949.613 bytes
Age . . . . . . . : 38.1 days (2012-09-30 22:55:36)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 15059F09B1D62DEA6B5D22EF9E0D062411C167378D870AE339AAB50B0BDC7FC0
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\BF3\pb\pbclold.dll
Size . . . . . . . : 949.613 bytes
Age . . . . . . . : 80.5 days (2012-08-19 14:23:55)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 15059F09B1D62DEA6B5D22EF9E0D062411C167378D870AE339AAB50B0BDC7FC0
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.

C:\Users\Skizo\AppData\Local\PunkBuster\BF3\pb\PnkBstrK.sys
Size . . . . . . . : 139.328 bytes
Age . . . . . . . : 80.5 days (2012-08-19 14:24:18)
Entropy . . . . . : 7.8
SHA-256 . . . . . : F6552C37C04FD92554BD715F9E98B41E3D711C8AC37C757FBCFDDD69738FBE5E
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.

Cookies _____________________________________________________________________

C:\Users\Skizo\AppData\Roaming\Mozilla\Firefox\Profiles\w2rojn0h.default\cookies.sqlite:eaeacom.112.2o7.net

woensdag 14 november 2012 22:06

Acties:

Skizo

Topicstarter

Deze keer tijdens het scannen helaas CVE-2012-0507.AZL gevonden (MSE), malwarebytes detect hem niet.
Is het zinvol om de (container)file te noemen?

zaterdag 24 november 2012 19:22

Acties:

Skizo

Topicstarter

niemand?

zondag 25 november 2012 14:43

Acties:

photofreak

CVE-2012-0507.AZL is gewoon een variant op CVE-2012-0507: http://cvedetails.com/cve....php?t=1&cve_id=2012-0507.

Bij iedere website die je bezoekt wordt een kopie van deze pagina opgeslagen op je harde schijf om de pagina later sneller te kunnen laden, dit betekent ook dat exploits die op gehackte websites staan lokaal worden opgeslagen.
Is je Java up-to-date dan maakt dit echter niks uit.

Het klopt dat MalwareBytes (MBAM) hem niet detecteert, aangezien MBAM zover ik weet geen exploits detecteert, maar alleen andere soorten malware.

zaterdag 1 december 2012 20:27

Acties:

Boudewijn

omdat het kan

<purist>
Maar jongens, een CVE is geen exploit maar een kwetsbaarheid

. Het staat immers voor common vulnerabilities and exposures. De vulnerability kan weer worden gebruikt om een exploit te laten werken ja... maar dat is iets anders.
</purist>

zondag 2 december 2012 22:26

Acties:

Skizo

Topicstarter

ok dank