Ben DDOS client! - Netwerken

zondag 22 juni 2003 02:16

Acties:

0 Henk 'm!

Topicstarter

Had 2 weken terug het volgende: ging achter mijn pc zitten die al aan stond, en merkte dat Internet zeer traag was. Een ping van 3000ms etc naar de Chello gateway. Ik dacht dat het aan Chello lag, en wachtte dus ff tot het voorbij ging, maar het ging niet voorbij. Daarna merkte ik dat er behoorlijk veel netwerk activiteiten waren op de modem. Ik startte Netlimiter en zag dat het process SCVHost.exe met een upload van rond de 50kbyte/s zat te uploaden naar een buitenlands IPadres. Chello heeft max 16kbyte/s, dus het moet UDP of ergens in de OSI netwerk laag geweest zijn.
Na reboot was het probleem verdwenen. Ik deed voor de zekerheid een volledige virusscan met AVG, maar alles was volgens AVG clean. Ik dacht dat het een crash/bug van scvhost.exe geweest moest zijn, en liet het dus liggen.

Maar net weer. Ging achter mijn PC zitten en weer zon extreem hoge upload! Dit keer was het ipadres 209.221.61.243. Dacht dat het misschien met Emule te maken had, maar ging ff verder onderzoeken. Kaspersky AntiVirus Personal Pro 4.0.9.0 erbij gehaald, maar die zag net als AVG ook niks. Daarna een search met google op SVCHOST.EXE, ik wist dat dit een belangrijk intern process/service was, maar zag op Google dus dat het ook als backdoor etc wordt gebruikt. Toen maar ff in mijn startup gekeken, en zag dat SVCHOST.EXE in mijn register startup zat, wat vrij vreemd is voor een intern process. Daarna de file opgezocht C:\Windows\system32\drivers\svchost.exe, deze had itt de meeste andere files ook nog eens een hidden/verborgen fileattribuut. Daarna ff met een hexeditor bekeken en zag "IRC undernet.org# listsoffury XSubhuman Solutio". Zegt me al genoeg, ik heb een BACKDOOR op mijn PC die gebruikt wordt op te DDOSen!!!

De backdoor meldt zich waarschijnlijk aan op dat IRC kanaal, en wanneer de hackers er zin in hebben, laten ze mijn PC (en waarschijnlijk een hele boel anderen) DDOSen naar een bepaald IPadres. (Ondanks dat ik achter een router zit.)

Ik ga nu ff wat virusscanner, firewalls, security scanners testen, want AVG en Kaspersky zien niks!

zondag 22 juni 2003 02:20

Acties:

0 Henk 'm!

alt-92

ye olde farte

Cyb schreef op 22 juni 2003 @ 02:16:
Ik ga nu ff wat virusscanner, firewalls, security scanners testen, want AVG en Kaspersky zien niks!

Test /dev/brain ook even, want dit is een backdoor die niet vanzelf op je sys komt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 02:22

Acties:

0 Henk 'm!

Verwijderd

BackSlash32 schreef op 22 June 2003 @ 02:20:
[...]

Test /dev/brain ook even, want dit is een backdoor die niet vanzelf op je sys komt.

Is dat niet iets van linux?

zondag 22 juni 2003 02:24

Acties:

0 Henk 'm!

alt-92

ye olde farte

Joh

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 02:24

Acties:

0 Henk 'm!

Verwijderd

BackSlash32 schreef op 22 June 2003 @ 02:24:
Joh

TS heeft het wel over windows

edit:
Laat maar, het is al laat

[ Voor 17% gewijzigd door Verwijderd op 22-06-2003 02:27 ]

zondag 22 juni 2003 02:25

Acties:

0 Henk 'm!

BigB

Verwijderd schreef op 22 June 2003 @ 02:24:
[...]

TS heeft het wel over windows

Hij maakte een soortje grapje/woorspeling

zondag 22 juni 2003 02:29

Acties:

0 Henk 'm!

grolle

Ja Sh*t happens, Heb je nog alles goed voor elkaar zijn ze je op de 1 of andere mannier toch nog weer te slim af geweest

Don't drink and surf

_{In een dronken bui ook al eens door minder voorzichtig te zijn een virus binnen gehaald}

zondag 22 juni 2003 02:34

Acties:

0 Henk 'm!

Verwijderd

ik zal het grapje wel ff naar dos porten:

Kijk even in je config.sys of de volgende regel is opgenomen:

device=brain

zondag 22 juni 2003 02:39

Acties:

0 Henk 'm!

GrittyKitty

Happy-Happy Joy-Joy

klink als trojan. Misschien zelf een backdoor trojan.

download eens een trojan scanner (cleaner/anti trojan/etc) & laat hem updaten & scannen.
Beniuwd wat je krijg....

Cigarette + Coffee = Breakfast of champion

zondag 22 juni 2003 03:42

Acties:

0 Henk 'm!

Cyb

Topicstarter

Het is idd, zoals ik al heb beschreven een trojan irc backdoor.

Heb de volgende virusscanner getest met de nieuwste updates, en geen van allen herkent het:
-AVG 6.0 Anti-Virus System
-Norton AntiVirus 2003 Professional
-McAffe Antivirus 7
-Kaspersky AntiVirus Personal Pro 4

Dus waarschijnlijk een nieuwe variant backdoor irc trojan.
Symatec gaat het verder uitzoeken.

Ben igg waarschijnlijk niet de enigste die het heeft. Kan gemakkelijk zijn dat jullie het ook hebben, maar dat je op dat tijdstip dat de hackers je nodig had om te DDOSen, je offline was.
Nadat ik het had verwijdert, had dat IPadres ook hoge pingtijden en packetloses, dus er waren waarschijnlijk nog andere client die zaten te DDOSen.

zondag 22 juni 2003 03:47

Acties:

0 Henk 'm!

blackd

Cyb schreef op 22 June 2003 @ 03:42:
Kan gemakkelijk zijn dat jullie het ook hebben

Neuh, ik beveilig mijn systeem.
Zoek eens wat recente topics over beveiligingstips op en lees die eens door. Heb je hier voortaan geen last meer van.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 03:52

Acties:

0 Henk 'm!

Cyb

Topicstarter

blackd schreef op 22 June 2003 @ 03:47:
[...]

Neuh, ik beveilig mijn systeem.
Zoek eens wat recente topics over beveiligingstips op en lees die eens door. Heb je hier voortaan geen last meer van.

Virusscanners zien het iig niet, want het is te nieuw daarvoor.
Firewalls zou kunnen, maar die zien vaak SVCHOST als een veilig intern process.

zondag 22 juni 2003 03:55

Acties:

0 Henk 'm!

blackd

Cyb schreef op 22 June 2003 @ 03:52:
Virusscanners zien het iig niet, want het is te nieuw daarvoor.
Firewalls zou kunnen, maar die zien vaak SVCHOST als een veilig intern process.

En denk nog eens 1 stapje terug. Hoe komt een executable op de computer terecht? Dat moet dan volgens mij een user actie of security vulnerability geweest zijn.

Indien het een user actie is geweest, had een betere rechtenstructuur wellicht geholpen, of heropvoeding van de user. Wat heeft een user immers te zoeken in c:\windows\system32?

Indien het een security vulnerability is (en daarmee bedoel ik eigenlijk een aanval van buitenaf) dan staan er bepaalde poorten open naar buiten. Deze zijn normaliter afgesloten door een firewall.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 04:03

Acties:

0 Henk 'm!

Cyb

Topicstarter

blackd schreef op 22 juni 2003 @ 03:55:
[...]

En denk nog eens 1 stapje terug. Hoe komt een executable op de computer terecht? Dat moet dan volgens mij een user actie of security vulnerability geweest zijn.

Indien het een user actie is geweest, had een betere rechtenstructuur wellicht geholpen, of heropvoeding van de user. Wat heeft een user immers te zoeken in c:\windows\system32?

Indien het een security vulnerability is (en daarmee bedoel ik eigenlijk een aanval van buitenaf) dan staan er bepaalde poorten open naar buiten. Deze zijn normaliter afgesloten door een firewall.

Hoe het op mijn PC terrecht is gekomen? Dat is moeilijk na te gaan. Elk programma kan gemakkelijk een executable ergens neer droppen, aangezien het niet als virus herkend wordt.
Geen useractie, want ik ben de enigste achter deze pc.
En de aanval is niet van buitenaf, maar van binnenuit. De connectie gaat naar buiten, er zijn dus geen listen porten. Maar een IRC connectie naar een normale IRC server, door een voor een firewall vaak gezien als normaal process. Alleen dat dat process IRC doet is opvallend en dat zou idd ingesteld kunnen worden in een personal firewall.

zondag 22 juni 2003 04:06

Acties:

0 Henk 'm!

alt-92

ye olde farte

Cyb schreef op 22 June 2003 @ 04:03:
Elk programma kan gemakkelijk een executable ergens neer droppen, aangezien het niet als virus herkend wordt.
Geen useractie, want ik ben de enigste achter deze pc.

dat ga je niet serieus menen

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 10:02

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

BackSlash32 schreef op 22 juni 2003 @ 04:06:
[...]

dat ga je niet serieus menen

Inderdaad: Enige > Eniger > Enigste? Hoe kan een user ooit eniger of enigste achter een pc zijn?

Maar even voor Cyb; uiteraard kan niet zomaar elk programma een executable op je pc gooien; dan zou het nut van een virusscanner ietwat klein zijn. Update je je definities wel regelmatig?

En voor de rest van de grapjassen; wees blij dat Cyb deze trojan heeft gevonden en op wil ruimen. Er zijn meer dan genoeg mensen die niets doorhebben van zo'n ding; en daarmee het internet helemaal leegDDOSsen. Dus help hem gewoon in plaats van die 'grapjes'

<-- Dit is geen grapje

edit:

[ Voor 31% gewijzigd door Spider.007 op 22-06-2003 10:10 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zondag 22 juni 2003 10:07

Acties:

0 Henk 'm!

Eegee

Elk programma kan gemakkelijk een executable ergens neer droppen, aangezien het niet als virus herkend wordt. Geen useractie, want ik ben de enigste achter deze pc.

Hmm... wat klopt hier niet... Je gebruikt volgens je sig WinXP Pro SP1. Ik neem dan aan dat je niet als administrator inlogt en dus niet zomaar inderdaad alle executables overal toegang laat geven.....?

edit:

[ Voor 26% gewijzigd door Eegee op 22-06-2003 10:15 ]

zondag 22 juni 2003 10:44

Acties:

0 Henk 'm!

zetje01

Eegee: meen je bovenstaande bewering serieus?
Dan ben je volgens mij niet van deze wereld...

zondag 22 juni 2003 11:03

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Cyb schreef op 22 June 2003 @ 02:16:
Daarna ff met een hexeditor bekeken en zag "IRC undernet.org# listsoffury XSubhuman Solutio". Zegt me al genoeg, ik heb een BACKDOOR op mijn PC die gebruikt wordt op te DDOSen!!!

Vergeet dan ook niet even Undernet te waarschuwen (http://www.undernet.org/user-com/documents/aup.html) zodat ze het channel kunnen verwijderen.

zondag 22 juni 2003 11:07

Acties:

0 Henk 'm!

Eegee

zetje01 schreef op 22 juni 2003 @ 10:44:
Eegee: meen je bovenstaande bewering serieus?
Dan ben je volgens mij niet van deze wereld...

Ik denk dat je me verkeerd begrijpt... Of juist heel goed ei'k

Mijn opmerking was retorisch bedoeld ja. Ik denk dat Cyb waarschijnlijk als administrator was ingelogd of iig met administrator rechten, waardoor die trojan z'n werk kon doen. Onder een gewoon gebruikersaccount zou het niet gewerkt hebben, want dan klopt je beveiliging niet als dat wel zou werken.

Wat blackd zegt in z'n eerste 2 alinea's, benadruk ik dus. Zo duidelijk

[ Voor 14% gewijzigd door Eegee op 22-06-2003 11:13 ]

zondag 22 juni 2003 11:07

Acties:

0 Henk 'm!

Eegee

dubbel

[ Voor 98% gewijzigd door Eegee op 22-06-2003 11:07 ]

zondag 22 juni 2003 12:04

Acties:

0 Henk 'm!

blackd

_{GoT deed 't gisteravond niet meer, dus post ik 't nu maar}

Cyb schreef op 22 June 2003 @ 04:03:
Elk programma kan gemakkelijk een executable ergens neer droppen,
aangezien het niet als virus herkend wordt.

Nee. Ik noem juist rechtenstructuur om dit soort ongein te voorkomen. NTFS
ring a bell? Normale users geen write rechten in system32? Dan had
je dit (en vele andere virussen / trojans, want hier gaan een heleboel
virussen zitten) kunnen voorkomen.

Geen useractie, want ik ben de enigste achter deze pc.

Vind je het erg dat ik dat een kromme redenering vind?

En de aanval is niet van buitenaf, maar van binnenuit. De connectie
gaat naar buiten, er zijn dus geen listen porten. Maar een IRC connectie
naar een normale IRC server, door een voor een firewall vaak gezien als
normaal process. Alleen dat dat process IRC doet is opvallend en dat zou
idd ingesteld kunnen worden in een personal firewall.

Ja, de connectie van de trojan gaat naar buiten. Maar hoe komt de trojan
erop? Misschien door een TFTP server die actief is op jouw computer?
Misschien via een ander stuk software waar een bug in zit zodat er een
uploadmogelijkheid is? Of misschien gewoon gepacked in een ander stuk
software wat je via mail / P2P / download binnen gekregen hebt. En dan
komen we weer terug op user actie. Vandaar dat ik dat een kromme
redenering vond.

Maargoed, dat je deze trojan hebt is allemaal heel evil, zorg dat je er snel af komt en leer er van, dat dit soort dingen niet meer hoeft voor te komen.

Spider.007 schreef op 22 juni 2003 @ 10:02:
Maar even voor Cyb; uiteraard kan niet zomaar elk programma een executable op je pc gooien; dan zou het nut van een virusscanner ietwat klein zijn. Update je je definities wel regelmatig?

Zoals door de TS al aangegeven is deze trojan niet herkend door antivirussoftware. Een mooi voorbeeld om te zien dat een virusscanner een achterafoplossing is, en er in veel gevallen meer beveiliging nodig is dat alleen een virusscanner.

Dus, voor de volgende keer:
Hoe zien jouw beveilingsmaatregelen eruit?
Wat is nou de perfecte firewall voor home users?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 13:08

Acties:

0 Henk 'm!

Cyb

Topicstarter

Nee. Ik noem juist rechtenstructuur om dit soort ongein te voorkomen. NTFS
ring a bell? Normale users geen write rechten in system32? Dan had
je dit (en vele andere virussen / trojans, want hier gaan een heleboel
virussen zitten) kunnen voorkomen.

Ok, daar heb je gelijk in. Dan had het virus het misschien desnodes tussen in my documents ofzo geflikkerd.

Of misschien gewoon gepacked in een ander stuk
software wat je via mail / P2P / download binnen gekregen hebt. En dan
komen we weer terug op user actie. Vandaar dat ik dat een kromme
redenering vond.

Waarschijnlijk iets wat bij een download verborgen/gepacked zat. Als je dat een useractie vindt, dan kan je elke software programma wat je download zien als een bedreiging, totdat je het zelf helemaal gaat debuggen. Dat laatste ben ik niet van plan.

Dus, voor de volgende keer:
Hoe zien jouw beveilingsmaatregelen eruit?
Wat is nou de perfecte firewall voor home users?

Ik ben hier niet gekomen om 99.999% mijn PC te gaan beveiligen, wil ook een beetje gemak en snelheid, dus begin niet meteen met topics te gooien.

zondag 22 juni 2003 13:10

Acties:

0 Henk 'm!

blackd

Cyb schreef op 22 June 2003 @ 13:08:
dus begin niet meteen met topics te gooien.

Goed, ik zal nog eens tips geven.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 14:12

Acties:

0 Henk 'm!

Cyb

Topicstarter

Avert Labs, Virus Research:

Analysis ID: ******

File Name Findings Detection
Type Extra
--------------------|------------------------------|------------------------
----|------------|-----
svchost.exe |heuristic detection |new malware.b
|Virus |no

heuristic detection [svchost.exe]

The file received may contain a potential virus or trojan threat
identified
heuristically. This potential threat was identified with our most powerful
set of
heuristic DAT drivers. Heuristic drivers can make false-positive
identifications, as
such, this issue is being escalated to AVERT for a thorough review. In the
meantime,
it is recommended that you update your DAT and engine files and scan your
computer
again. You will be contacted through e-mail with the results of our
analysis.

zondag 22 juni 2003 14:25

Acties:

0 Henk 'm!

Jimbolino

troep.com

er zijn ook nog steeds backdoors die niet door virusscanners gevonden worden
en mensen die firewalls instaleren en er geen verstand van hebben

deze 2 programmas zijn dus geen oplossing voor dit soort problemen

het probleem ligt bij jezelf omdat je zelf een file hebt geopent die niet koosjer was

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 22 juni 2003 14:46

Acties:

0 Henk 'm!

Cyb

Topicstarter

Jimbolino schreef op 22 juni 2003 @ 14:25:
het probleem ligt bij jezelf omdat je zelf een file hebt geopent die niet koosjer was

pffff..... je weet van geen enkel programma 100% wat het doet, tenzij je het zelf geschreven of gedebugged hebt. Ik ga niet elke programma wat ik open, helemaal debuggen!

Ben hier gewoon gekomen om mijn verhaal te vertellen. Niet om hier constant afgebekt te worden!

Sluit het topic maar.

zondag 22 juni 2003 14:52

Acties:

0 Henk 'm!

ThaHandy

Discovery Channel

ik hab dat ook gehad,
ging mijn pctje ff 7 uren lang @ 11mb/s pompen tot de router, du meter gaf 700GB upload aan

maaruuh die irc trojan zal wel niet enige zijn
kijk een in je system(32)/spool /dllcache en op datum gesorteerd
ik had een ddos client service irc server en demonFTP verborgen installed

grote kans dat et ook bij jou is?

zondag 22 juni 2003 15:23

Acties:

0 Henk 'm!

Cyb

Topicstarter

700 GB, wow das wel heel extreem

Heb verder geen verdachte files meer gevonden, alleen C:\WINDOWS\system32\drivers\PSEXEC.EXE. Welke gisteren laat gemaakt is.
http://www.sysinternals.com/ntw2k/freeware/psexec.shtml
Een proggie waarmee remote processen mee geexecute kunnen worden. In SVChost.exe is ook de string "PSEXEC" te vinden.
Omdat de file datum anders is, lijkt het alsof het apart via irc is verzonden. Hopen dat ie geen password keyloggers heeft gebruikt

Welke filenames waren die irc service en demonftp bij jouw?

Heb ook de bron gevonden, maar weet nog niet precies hoe het is gedaan.
Ik had via Kazaa of DC++ Sonic Solutions Scenarist v2.6 gedownload. Ik trof net de volgende files aan:
-c:\windows\temp$01.exe, 55kb, welke precies dezelfde datum en inhoud heeft als het irc trojan.
-c:\windows\temp#01.exe, 13mb, welke precies dezelfde datum heeft als het irc trojan en uitgepakt precies dezelfde inhoud heeft als Scenarist, alleen heb ik die file nooit daar neer gezet.

[ Voor 32% gewijzigd door Cyb op 22-06-2003 15:30 ]

zondag 22 juni 2003 15:28

Acties:

0 Henk 'm!

alt-92

ye olde farte

Cyb schreef op 22 juni 2003 @ 14:46:
pffff..... je weet van geen enkel programma 100% wat het doet, tenzij je het zelf geschreven of gedebugged hebt.

Klopt, daar heb je helemaal gelijk in.
Dat verwacht en vraagt ook niemand hier van je als je goed leest

Ik ga niet elke programma wat ik open, helemaal debuggen!

Daarom is het wel zo handig om in ieder geval wel te weten wat je opent (herkomst, betrouwbaarheid enzo)

Misschien heb jij wel wat aan MSNGSCB dan

Ben hier gewoon gekomen om mijn verhaal te vertellen. Niet om hier constant afgebekt te worden!

duude, take a chill-pill

Je bent je verhaal toch kwijt nu?

[edit]

Heb ook de bron gevonden, maar weet nog niet precies hoe het is gedaan.
Ik had via Kazaa of DC++ Sonic Solutions Scenarist v2.6 gedownload.

heb je toch echt zelf dus een minder fris filetje binnen gehaald.

[ Voor 33% gewijzigd door alt-92 op 22-06-2003 15:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 17:15

Acties:

0 Henk 'm!

Verwijderd

GrittyKitty schreef op 22 June 2003 @ 02:39:
klink als trojan. Misschien zelf een backdoor trojan.

download eens een trojan scanner (cleaner/anti trojan/etc) & laat hem updaten & scannen.
Beniuwd wat je krijg....

Trojan ziet je virus scanner zeker niet altijd! is gewoon moeilijk te herkennen.

Verder vind ik het maar raar dat je uoload 50 kb is i.p.v 16 wat maximaal mogelijk zou zijn met jou abbo.
(installeer anders winddos opnieuw

)

[ Voor 7% gewijzigd door Verwijderd op 22-06-2003 17:17 ]

zondag 22 juni 2003 17:27

Acties:

0 Henk 'm!

Cyb

Topicstarter

Verwijderd schreef op 22 June 2003 @ 17:15:
[...]

Trojan ziet je virus scanner zeker niet altijd! is gewoon moeilijk te herkennen.

Verder vind ik het maar raar dat je uoload 50 kb is i.p.v 16 wat maximaal mogelijk zou zijn met jou abbo.
(installeer anders winddos opnieuw )

Het was geen TCP, maar UDP of ergens op IP niveau. Daar zit geen flow control op, vandaar die hoge snelheid die gemeten wordt op mijn PC. THahandy had zelfs 11mb/s. Het zal waarschijnlijk niet met die snelheid het doel bereiken, dat is afhankelijk van o.a. Chello.

BackSlash32 schreef op 22 juni 2003 @ 15:28:
[...]

heb je toch echt zelf dus een minder fris filetje binnen gehaald.

Tja, veel mensen, gebruiken nou eenmaal Kazaa etc daarvoor

zondag 22 juni 2003 18:18

Acties:

0 Henk 'm!

Jimbolino

troep.com

Cyb schreef op 22 June 2003 @ 15:23:
Heb ook de bron gevonden, maar weet nog niet precies hoe het is gedaan.
Ik had via Kazaa of DC++ Sonic Solutions Scenarist v2.6 gedownload. Ik trof net de volgende files aan:
-c:\windows\temp$01.exe, 55kb, welke precies dezelfde datum en inhoud heeft als het irc trojan.
-c:\windows\temp#01.exe, 13mb, welke precies dezelfde datum heeft als het irc trojan en uitgepakt precies dezelfde inhoud heeft als Scenarist, alleen heb ik die file nooit daar neer gezet.

klinkt als een standaard dropper, vreemd want de meeste droppers worden wel herkend door een virusscanner

oja, dit soort ddos botjes maken idd gebruik van udp of icmp (maar daar was je zelf ook al achter)

het leukste vind ik altijd om een packetsniffer te instaleren, en dan te kijken wat voor verkeer er allemaal word gegenereerd door zon "irc backdoor"

je ziet precies welke server, welk channel (met pass) en welke commands ie krijgt...
op die manier kun jij ook dat channel joinen en even een woordje met de eigenaar houden....

[ Voor 25% gewijzigd door Jimbolino op 22-06-2003 18:21 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 22 juni 2003 18:23

Acties:

0 Henk 'm!

Verwijderd

http://www.trojanscan.com/trojanscan/trojanscan.htm

zondag 22 juni 2003 18:23

Acties:

0 Henk 'm!

alt-92

ye olde farte

Cyb schreef op 22 June 2003 @ 17:27:
Het was geen TCP, maar UDP
[...]
Het zal waarschijnlijk niet met die snelheid het doel bereiken, dat is afhankelijk van o.a. Chello.

UDP is connectionless dus loopt lekker keihard te broadcasten.
dat het uiteindelijk door een 16KB up trechter heengaat naar buiten is idd punt 2.

Tja, veel mensen, gebruiken nou eenmaal Kazaa etc daarvoor

Billen, brand, blaren enzo

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 18:28

Acties:

0 Henk 'm!

ThaHandy

Discovery Channel

dit waren mijn files
ik heb toen alles in een zipfile geflikkerd:
Afbeeldingslocatie: http://members.home.nl/thahandy/t2/got/file1.jpg

Afbeeldingslocatie: http://members.home.nl/thahandy/t2/got/file2.jpg

Afbeeldingslocatie: http://members.home.nl/thahandy/t2/got/file3.jpg

Afbeeldingslocatie: http://members.home.nl/thahandy/t2/got/file4.jpg

[ Voor 6% gewijzigd door ThaHandy op 07-09-2015 00:46 ]

zondag 22 juni 2003 18:58

Acties:

0 Henk 'm!

Cyb

Topicstarter

Verwijderd schreef op 22 June 2003 @ 18:23:
http://www.trojanscan.com/trojanscan/trojanscan.htm

Deze ziet hem ook niet.

code:

Checking File D:\0\SVCHOST.EXE
Starting scan at 18:33:45:125...
Scan Memory
Memory not infected
Scan folder: 'D:\0', recursive
Finished scan at 18:33:52:109
Total number of files is 1, number of infected files is 0
Average files per second is 0, average file size is 56320

Jimbolino schreef op 22 June 2003 @ 18:18:
[...]
het leukste vind ik altijd om een packetsniffer te instaleren, en dan te kijken wat voor verkeer er allemaal word gegenereerd door zon "irc backdoor"

je ziet precies welke server, welk channel (met pass) en welke commands ie krijgt...
op die manier kun jij ook dat channel joinen en even een woordje met de eigenaar houden....

Al mijn sniffers waren op dat moment over de test datum

Had nog wel geprobeerd om het te achterhalen dmv die string uit die file, maar kwam op een leeg irc kanaal aan. Straks maar eens proberen met wat andere sniffers

Heb ik btw wel eens eerder gedaan, toen had ik ook een backdoor op mijn pc. Dmv hexeditor had ik een icq nr achterhaalt van degene waarna een online status werd verzonden. Het was een zogenaamde "Scorpion" (ICQ UIN 46014961). Hij wist van niks zei ie, maar zei wel dat ie adware etc programmeert/maakt.

ThaHandy, bij jouw zijn een stuk meer files gebruikt. Ik heb iig ook die psexec.exe, de rest moest die kerel misschien nog naar mij uploaden.

zondag 22 juni 2003 19:04

Acties:

0 Henk 'm!

GambitRS

w00t

blackd schreef op 22 juni 2003 @ 03:55:
[...]

Indien het een user actie is geweest, had een betere rechtenstructuur wellicht geholpen, of heropvoeding van de user. Wat heeft een user immers te zoeken in c:\windows\system32?

Als je een bestand leuk van internet haalt, bijvoorbeeld een jpgtje dat in een email staat, kan daar een script in staan dat een trojan etc. op je HDD kan plaatsen. Het maakt niet uit waar het virus/trojan/whatever scriptding staat, het kan altijd iets in c:\windows\x plaatsen. Beetje nadenken is ook nooit mis. Virussen worden heus niet met de hand door gebruikers naar de goede windows mappen gesleept ofzo.

MechWarrior || Monsters Game

zondag 22 juni 2003 19:05

Acties:

0 Henk 'm!

blackd

GambitRS schreef op 22 juni 2003 @ 19:04:
het kan altijd iets in c:\windows\x plaatsen.

Niet waar.
NTFS rechten kunnen dit voorkomen.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 19:06

Acties:

0 Henk 'm!

eborn

Als je toch bezig bent kun je meteen ook nog even een versie van AdAware over je systeem gooien

Weet je zeker dat je ook geen andere spionnen hebt draaien.

zondag 22 juni 2003 19:10

Acties:

0 Henk 'm!

eborn

blackd schreef op 22 juni 2003 @ 19:05:
Niet waar.
NTFS rechten kunnen dit voorkomen.

Tuurlijk, alles is wel te voorkomen. Maar die doet dit nou echt? Ervaren gebruiker misschien, maar mensen die al lang blij zijn dat ze met Windows kunnen werken zullen echt geen extra beveiligingen gaan instellen. En laat dat nou ook net het publiek zijn wat over het algemeen last heeft van dit soort programma's

Ik bedoel, ik weet het niet eens zeker, maar ik ben volgens mij ook altijd ingelogd op een account die administrator rechten heeft op deze machine. Is dat sowieso niet standaard? Als je Windows XP bij de installatie extra users laat aanmaken zijn dat toch allemaal standaard administrators?

En hoeveel procent van de Linux beheerders logt nou niet standaard in onder root? Ik doe het zelf ook 9 van de 10 keer. En tuurlijk, het is hardstikke gevaarlijk als je problemen krijgt, maar het is nou eenmaal sneller dan steeds tussen accounts wisselen. En de meeste mensen zijn nou eenmaal lui.

zondag 22 juni 2003 19:14

Acties:

0 Henk 'm!

Verwijderd

Misschien kan een programma als Pestpatrol iets voor je doen?

Maar, als het inderdaad zoiets is als ThaHandy had én Pestpatrol of een dergelijk programma kan het niet verwijderen, lijkt me een format geen slechte oplossing.

zondag 22 juni 2003 19:16

Acties:

0 Henk 'm!

Verwijderd

ik heb een noob vraagje, een vriend van mij heeft een gelijkaardig probleem... maar hoe kun je zien naar welk ip adres deze upload gaat?

zondag 22 juni 2003 19:23

Acties:

0 Henk 'm!

blackd

eborn schreef op 22 juni 2003 @ 19:10:
[...]
Tuurlijk, alles is wel te voorkomen. Maar die doet dit nou echt? Ervaren gebruiker misschien, maar mensen die al lang blij zijn dat ze met Windows kunnen werken zullen echt geen extra beveiligingen gaan instellen. En laat dat nou ook net het publiek zijn wat over het algemeen last heeft van dit soort programma's

Dat beveiligen moeten zij ook niet doen. Dat moet voor hun gedaan worden. En iedereen kan vatbaar zijn voor dit soort programma's. In het dagelijks leven kom ik vaak zat klanten tegen die ook kazaa hebben geinstalleerd, daar komt die meuk ook vandaan.

Ik bedoel, ik weet het niet eens zeker, maar ik ben volgens mij ook altijd ingelogd op een account die administrator rechten heeft op deze machine.

Dat vind ik dus een slechte zaak. Aan de andere kant biedt Windows nauwelijks de mogelijkheid om snel te switchen tussen een user of administrator account.

Is dat sowieso niet standaard? Als je Windows XP bij de installatie extra users laat aanmaken zijn dat toch allemaal standaard administrators?

En dat maakt het een goede zaak? Ik denk van niet.

En hoeveel procent van de Linux beheerders logt nou niet standaard in onder root?

Ik weet het niet, vertel het me maar.

Ik doe het zelf ook 9 van de 10 keer. En tuurlijk, het is hardstikke gevaarlijk als je problemen krijgt, maar het is nou eenmaal sneller dan steeds tussen accounts wisselen.

Dat is dan jouw verantwoordelijkheid. Het is wat mij betreft heel simpel: kan je ermee omgaan om als root / administrator te werken, ga je gang. Maar ga dan niet mekkeren dat je systeem vern**kt is. Er is gewoon wat tegen te doen namelijk.

En de meeste mensen zijn nou eenmaal lui.

En dat is dus het grootste probleem. Luiheid.

Verwijderd schreef op 22 juni 2003 @ 19:16:
ik heb een noob vraagje, een vriend van mij heeft een gelijkaardig probleem... maar hoe kun je zien naar welk ip adres deze upload gaat?

netstat -an als de upload actief is. Dan zie je alle connecties van / naar jouw PC.

[ Voor 9% gewijzigd door blackd op 22-06-2003 19:23 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 19:26

Acties:

0 Henk 'm!

Verwijderd

Ik vermoed dus dat ik hier ook het slachtoffer van ben.
Morgen weet ik het 'zeker'.
Deze middag al merkte ik plots op mijn DU meter en mijn Telemter dat ik uploads creëerd van 500kB/s+ wat nogal enorm hoog is, en zeker aangezien het feit dat:
a) Ik op smallband zit
b) Ik standaard maar een upload van 15kB/s aankan..

In nog geen minuut tijd, enkele seconden zelfs, zat ik aan een upload van 1.2Gig..

Prettig is anders, normaal zou ik morgen terug op breedband komen, maar door dit 'fenomeen' kan het wel nog een maandje duren.

Is er enige manier waarbij ik kan zien, wat dit is. Virusscan zegt niks, Adaware enzo ook niks..
Kan ik misschien (in het geval dat ik dit nogmaal tegenkom) via een progje of via dos ofzo, zien welke ip dit doet, of wat precies dit veroorzaakt?

Als ik concrete bewijzen heb kan ik abuse mailen naar mijn provider en voorkom ik dus dat ik langer op smallband kom te staan.
Ik zou enkel graag weten, hoe ik dit check, en wat ik er eventueel tegen kan doen.
Uit dit topic blijkt dat bijna gene, of praktisch geen scanner dit kan zien. Hoe weet ik het dan of het wel dit is?
Ik heb namelijk geen Kazaa of andere share programma's en irc stond ni aan.

Bij voorbaat dank.

zondag 22 juni 2003 19:28

Acties:

0 Henk 'm!

plankie

ondertitel?... wasda?.....888!

Heb je het bestand nog waar dat irc.undernet.org in voorkomt en als je die nog hebt, zou je dat es naar me kunnen mailen?

Ben benieuwd welk kanaal dat is zodat ik een van de irc-ops van undernet kan inschakelen

zondag 22 juni 2003 19:29

Acties:

0 Henk 'm!

Verwijderd

blackd schreef op 22 June 2003 @ 19:23:
Dat beveiligen moeten zij ook niet doen. Dat moet voor hun gedaan worden. En iedereen kan vatbaar zijn voor dit soort programma's. In het dagelijks leven kom ik vaak zat klanten tegen die ook kazaa hebben geinstalleerd, daar komt die meuk ook vandaan.

Je weet net zo goed als ik, dat de meeste systemen kant en klaar, inclusief geinstalleerde software, worden gekocht.
En geef toe, die verkopers doen écht geen moeite om wat voor bescherming of tweak ook op deze pc's uit te voeren.
Vooropgesteld, dat ze zouden weten hoe ze dat moeten doen

zondag 22 juni 2003 19:33

Acties:

0 Henk 'm!

alt-92

ye olde farte

Is dat de taak van de verkoper dan?

Nee, dat is de taak van de eindgebruiker.

Je mag ook de openbare weg niet op zonder rijbewijs, ook al mag je wel een auto kopen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 19:33

Acties:

0 Henk 'm!

Verwijderd

Via die netstat -an kan ik enkele connecties zien die 'Established' zijn.
Maar daaruit kan ik tog niet halen wie het nou zou veroorzaken?

zondag 22 juni 2003 19:35

Acties:

0 Henk 'm!

alt-92

ye olde farte

daar heb je IPs van.
Die kun je tracen/whois'en bijvoorbeeld.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 19:36

Acties:

0 Henk 'm!

blackd

Verwijderd schreef op 22 juni 2003 @ 19:29:
Je weet net zo goed als ik, dat de meeste systemen kant en klaar, inclusief geinstalleerde software, worden gekocht.
En geef toe, die verkopers doen écht geen moeite om wat voor bescherming of tweak ook op deze pc's uit te voeren.
Vooropgesteld, dat ze zouden weten hoe ze dat moeten doen

Ja, daar heb je gelijk in. PC inleveren dan maar. Of iemand inhuren of meer leren ofzo.
Of nee, wat dacht je van een OS dat secure by default is. Dat zou nog eens een uitkomst zijn.

* blackd heeft deze discussie al te vaak gevoerd eigenlijk.

Verwijderd schreef op 22 June 2003 @ 19:33:
Via die netstat -an kan ik enkele connecties zien die 'Established' zijn.
Maar daaruit kan ik tog niet halen wie het nou zou veroorzaken?

Je weet waarschijnlijk welke processen er op je sys draaien, welke poorten daarbij horen en welke er dus niet horen, je kan dan de ip's checken, je kan ook nog zonder -n doen dan krijg je hostnames...

[ Voor 27% gewijzigd door blackd op 22-06-2003 19:38 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 19:40

Acties:

0 Henk 'm!

Verwijderd

Ja, duh

Zo ver ben ik ook al hoor

Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is

Niet toch?

zondag 22 juni 2003 19:42

Acties:

0 Henk 'm!

Verwijderd

BackSlash32 schreef op 22 June 2003 @ 19:33:
Is dat de taak van de verkoper dan?

Nee, dat is de taak van de eindgebruiker.

Je mag ook de openbare weg niet op zonder rijbewijs, ook al mag je wel een auto kopen.

Ben ik met je eens. Dat is ook niet hun verantwoordelijkheid.
Ik wil er alleen maar mee zeggen, dat gigantische veel pc's onbeschermd zijn en dat opent de weg voor dit soort acties.

Helaas is er geen foolproof beschermings-systeem om je tegen dit soort dingen te beschermen. Wás dat er maar.

Dat grapje aan het begin (brain) is eigenlijk een van de hoofdoorzaken, waardoor de zwakheden in een systeem kunnen worden misbruikt.

zondag 22 juni 2003 19:43

Acties:

0 Henk 'm!

Osiris

Verwijderd schreef op 22 juni 2003 @ 19:40:
Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?

Check of er een verbinding naar remote poort 6667 is, poort voor IRC

Zolang je zelf niet op IRC zit hoort die er NIET in voor te komen

En het DDoS-sen zelf komt niet in Netstat voor, aangezien dat dus idd meestal UDP en ICMP is

En dat zijn geen verbindingen..

[ Voor 83% gewijzigd door Osiris op 22-06-2003 19:44 . Reden: Toch maar ff (goed) kwoten ]

zondag 22 juni 2003 19:44

Acties:

0 Henk 'm!

blackd

Verwijderd schreef op 22 June 2003 @ 19:42:
Helaas is er geen foolproof beschermings-systeem om je tegen dit soort dingen te beschermen. Wás dat er maar.

We gaan met z'n allen (als Windows gebruiker) wel steeds meer die kant op. Attachements die niet geopend mogen worden, OK klikken voordat je een file kan downloaden in IE, de mogelijkheid om met permissies te werken op een thuiscomputer.

Maarja, net wat je zegt. Als /dev/brain mist, dan klikken ze snel op Yes en daar zit weer een dialler / trojan etc.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 19:45

Acties:

0 Henk 'm!

|sWORDs|

vSphere/ESXi

Verwijderd schreef op 22 juni 2003 @ 19:40:
Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?

nee het ip wat je daar ziet is waar de aanval heen gaat, het slachtoffer van jouw aanval, niet de veroorzaker.

Te Koop:24 Core Intel Upgradeset

zondag 22 juni 2003 19:47

Acties:

0 Henk 'm!

|sWORDs|

vSphere/ESXi

eborn schreef op 22 June 2003 @ 19:10:
[...]
Maar die doet dit nou echt? Ervaren gebruiker misschien, maar mensen die al lang blij zijn dat ze met Windows kunnen werken zullen echt geen extra beveiligingen gaan instellen.

Ervaren gebruiker... En waar zitten we hier dan? www.beginnersweb.nl ?

Te Koop:24 Core Intel Upgradeset

zondag 22 juni 2003 19:51

Acties:

0 Henk 'm!

Verwijderd

sWORDs schreef op 22 juni 2003 @ 19:47:
[...]

Ervaren gebruiker... En waar zitten we hier dan? www.beginnersweb.nl ?

Gelukkig niet, dan zouden we het geen van allen kunnen volgen

zondag 22 juni 2003 19:53

Acties:

0 Henk 'm!

Jimbolino

troep.com

Osiris schreef op 22 June 2003 @ 19:43:
[...]

Check of er een verbinding naar remote poort 6667 is, poort voor IRC Zolang je zelf niet op IRC zit hoort die er NIET in voor te komen

En het DDoS-sen zelf komt niet in Netstat voor, aangezien dat dus idd meestal UDP en ICMP is En dat zijn geen verbindingen..

als je alles afsluit moeten er gewoon GEEN verbindingen zijn... irc kan nl ook over een andere poort...

en eindelijk iemand die snapt wat netstat wel en niet weergeeft

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 22 juni 2003 19:54

Acties:

0 Henk 'm!

Verwijderd

Ik ben het slachtoffer sWORDs

en Osiris die poort komt er niet in voor

zondag 22 juni 2003 19:54

Acties:

0 Henk 'm!

blackd

Oh. Installeer eens een firewall.

_{* blackd was overigens in de war met topic over een ftp server}

[ Voor 58% gewijzigd door blackd op 22-06-2003 19:55 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 20:00

Acties:

0 Henk 'm!

Verwijderd

Ik zet geen firewalls meer op me pc..
Vroeger had ik Norton Firewall gedoe, en daarvoor nog wat andere uitgeprobeerd en het komt er op neer dat de me pc nog meer verziekt en zeker niet hielp.
Nog geen maand nadat ik een firewall installeerde, gelijk welke mocht ik formatten omdat de pc omzeep was..

zondag 22 juni 2003 20:15

Acties:

0 Henk 'm!

Eegee

Ik zou enkel graag weten, hoe ik dit check, en wat ik er eventueel tegen kan doen

Ik zet geen firewalls meer op me pc..

Je spreekt jezelf tegen...

Als je er wat tegen wilt doen, installeer je een firewall. Dan weet je wat je uitgaande verkeer is, dat je tegen moet houden. Zolang dat niet gebeurt en je hebt de DDoS client niet afgesloten, blijf je dus anderen DDoSsen naar de wil van degene die je DDoS client bestuurt.

zondag 22 juni 2003 20:19

Acties:

0 Henk 'm!

|sWORDs|

vSphere/ESXi

Verwijderd schreef op 22 juni 2003 @ 19:54:
Ik ben het slachtoffer sWORDs
en Osiris die poort komt er niet in voor

Niet het slachtoffer van de ddos aanval. En dus heb je niets aan de ip's van netstat, dit zijn jouw slachtoffers.

Te Koop:24 Core Intel Upgradeset

zondag 22 juni 2003 20:25

Acties:

0 Henk 'm!

Cyb

Topicstarter

Verwijderd schreef op 22 juni 2003 @ 19:33:
Via die netstat -an kan ik enkele connecties zien die 'Established' zijn.
Maar daaruit kan ik tog niet halen wie het nou zou veroorzaken?

Een firewall die ICMP ondersteunt.
Of bijv. je merkt dat Internet traag gaat of gewoon niet werkt, je checkt met bijv. Dumeter je upload en ziet 1000kbyte/s staan, je start een programma wat ziet welk process deze upload veroorzaakt, bijv. NetLimiter of Tesseract. Je weet nu de filename, je zoekt deze op en isoleert het zodat het niet meer wordt opgestart.
Wie weet dan wat (niet wie) het veroorzaakt. En wie het doel is.

Ik ga zelf iig over op permanent een firewall draaien. De schade kan veels te groot zijn als ik alleen een virusscanner zou draaien.
Ben nu dus ook op zoek naar een goede firewall.

[ Voor 21% gewijzigd door Cyb op 22-06-2003 20:28 ]

zondag 22 juni 2003 20:27

Acties:

0 Henk 'm!

sebas

eborn schreef op 22 June 2003 @ 19:10:
[...]
En hoeveel procent van de Linux beheerders logt nou niet standaard in onder root?
[...]

Ik ken er geen enkele.

Aan de TS:
Ik vind het trouwens wel een beetje lam. Je gaat eoa warez proggeltje via kazaa (dus hoogstwaarschijnlijk van een onbekende) downloaden, installeert het zomaar, en vertelt dat vrolijk dat je niet alles gaat debuggen of onderzoeken omdat je daar geen zin in hebt.

Een aantal maatregelen, waarvan elke dit soort dingetjes kan voorkomen zouden zijn:
- koop je software bij de officiele dealer
- log niet als admin in
- zorg dat je permissies goed staan

Volgens mij ben je het zelf schuld, en omdat jij met zo'n lamme attitude meent dat dit voor jou allemaal niet nodig is worden DDoS attacks op anderen pas mogelijk gemaakt. Naar mijn mening draag je de verantwoordelijkheid zelf. En roep dan niet meteen als iemand kritiek op jou oefent, of simpelweg het probleem analyseert (Waarom je tenslotte ook vroeg) dat je je niet wilt laten afbekken, en dat je ook niet even zelf wat topics met tips wilt gaan lezen.

Ga nog eens alle reacties goed doorlopen, en behartig de gegeven tips. Zo voorkom je dit soort dingen misschien in de toekomst en je hebt tenminste ervan geleerd.

M.a.w. gebruik /dev/brain.

Voor de rest: nofi.

Everyone complains of his memory, no one of his judgement.

zondag 22 juni 2003 20:32

Acties:

0 Henk 'm!

Cyb

Topicstarter

sebas schreef op 22 juni 2003 @ 20:27:
[...]
Ik vind het trouwens wel een beetje lam. Je gaat eoa warez proggeltje via kazaa (dus hoogstwaarschijnlijk van een onbekende) downloaden, installeert het zomaar, en vertelt dat vrolijk dat je niet alles gaat debuggen of onderzoeken omdat je daar geen zin in hebt.

Of het nou een gratis shareware proggie was waarvan de website down is of een andere freeware tooltje of documentatie in een exe doet er niet toe. Ik geef andere toch ook niet de schuld. Ik weet dat de beveiliging bij mij moet liggen, en die ga ik ook verbeteren!

zondag 22 juni 2003 20:33

Acties:

0 Henk 'm!

eborn

[quote]blackd schreef op 22 juni 2003 @ 19:23:

Dat beveiligen moeten zij ook niet doen. Dat moet voor hun gedaan worden. En iedereen kan vatbaar zijn voor dit soort programma's. In het dagelijks leven kom ik vaak zat klanten tegen die ook kazaa hebben geinstalleerd, daar komt die meuk ook vandaan.

Maar de gemiddelde gebruiker zal ook amper weten wat voor ellende je met de standaard KaZaa in huis haalt. Het is natuurlijk onmogelijk om elke keer als iemand een programma van het Internet haalt een 'expert' binnen te halen. Misschien zou het moeten gebeuren, maar het gebeurt gewoon niet.

Dat vind ik dus een slechte zaak. Aan de andere kant biedt Windows nauwelijks de mogelijkheid om snel te switchen tussen een user of administrator account.

En dat maakt het een goede zaak? Ik denk van niet.

Dat veranderd niets aan de zaak. Maar het geeft wel direct weer aan waarom het zo vaak gebeurd. Jij weet dat het beter is om als administrator in te loggen, ik weet dat ook. Maar een gemiddelde gebruiker weet niet eens wat een administrator is. Dat zal overigens ook wel de reden zijn geweest om default tijdens de WinXP installatie administrators aan te laten maken.

Ik weet het niet, vertel het me maar.

Ik weet het ook niet, maar het zullen er heel veel zijn.

En dat is dus het grootste probleem. Luiheid.

Ik denk het wel. Maar het is helaas ook het probleem dat misschien wel het minst makkelijk op te lossen is.

zondag 22 juni 2003 20:37

Acties:

0 Henk 'm!

eborn

sWORDs schreef op 22 juni 2003 @ 19:47:
Ervaren gebruiker... En waar zitten we hier dan? www.beginnersweb.nl ?

Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt

Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

zondag 22 juni 2003 20:44

Acties:

0 Henk 'm!

Verwijderd

Even vlug reply'n. Op die screenshort heb je psexec en zo staan. Dat is een programma om op afstand op een 2k/xp pc een proces te starten. En iroffer is een bot. En die keer dat je upload zo hoog was, was iemand van jou aan het downloaden. Jij was helemaal geen DDoS client, jij was gewoon XDCC bot.

Lees hier eens na : http://www.astalavista.co...rc/misc/IRC_XDCC_BOTS.txt

Ya welcome

zondag 22 juni 2003 20:44

Acties:

0 Henk 'm!

G33rt

eborn schreef op 22 juni 2003 @ 20:37:
[...]
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

kom maar op met die krat

. ik installeer alles wat ik wil onder Administrator en ga vervolgens verder onder een eigen user account

zondag 22 juni 2003 20:45

Acties:

0 Henk 'm!

Osiris

eborn schreef op 22 juni 2003 @ 20:37:
[...]
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

* Osiris ...

Ik ga niet voor elke verandering aan m'n hardware oid uitloggen en inloggen als admin hoor

't Is gewoon mijn eigen stommiteit als dr iets mis gaat.. Gelukkig ken ik net stat en geeft DUMeter wel aan als er iets fouts bezig gaat

zondag 22 juni 2003 20:46

Acties:

0 Henk 'm!

blackd

eborn schreef op 22 juni 2003 @ 20:33:
Maar de gemiddelde gebruiker zal ook amper weten wat voor ellende je met de standaard KaZaa in huis haalt. Het is natuurlijk onmogelijk om elke keer als iemand een programma van het Internet haalt een 'expert' binnen te halen. Misschien zou het moeten gebeuren, maar het gebeurt gewoon niet.

Heb je gelijk in. Vandaar dat ik een 'computer-rijbewijs' best een puik plan vind.

Dat veranderd niets aan de zaak. Maar het geeft wel direct weer aan waarom het zo vaak gebeurd. Jij weet dat het beter is om als administrator in te loggen, ik weet dat ook. Maar een gemiddelde gebruiker weet niet eens wat een administrator is. Dat zal overigens ook wel de reden zijn geweest om default tijdens de WinXP installatie administrators aan te laten maken.

Vandaar dat ik ook in een paar topics loop te verkondigen dat je niet als admin moet werken, maarja, dat is weer niet handig, moeten de users steeds switchen etc. Dan komt het 'luiheids-aspect' weer om de hoek kijken en ik ben het met je eens dat je dat niet 1-2-3 verandert.

Ik weet het ook niet, maar het zullen er heel veel zijn.

Een sysadmin met clue weet wel dat je beter als user kan inloggen en dan kan su'en naar root. Inloggen onder SSH als root wordt vaak zelfs verboden.

Verwijderd schreef op 22 juni 2003 @ 20:00:
Ik zet geen firewalls meer op me pc..
Vroeger had ik Norton Firewall gedoe, en daarvoor nog wat andere uitgeprobeerd en het komt er op neer dat de me pc nog meer verziekt en zeker niet hielp.
Nog geen maand nadat ik een firewall installeerde, gelijk welke mocht ik formatten omdat de pc omzeep was..

Dan zou ik wel eens willen weten hoe je je systeem dan om zeep helpt. Je hebt misschien te strenge rules gemaakt, maar dan is een format toch niet nodig?

eborn schreef op 22 juni 2003 @ 20:37:
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

Ik dacht dat hier mensen zaten met verstand van zake, dus zo erg zou ik het niet vinden als er veel mensen als admin inloggen, als je er maar mee om kan gaan.

[ Voor 16% gewijzigd door blackd op 22-06-2003 20:48 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 20:54

Acties:

0 Henk 'm!

Cyb

Topicstarter

Verwijderd schreef op 22 June 2003 @ 20:44:
Even vlug reply'n. Op die screenshort heb je psexec en zo staan. Dat is een programma om op afstand op een 2k/xp pc een proces te starten. En iroffer is een bot. En die keer dat je upload zo hoog was, was iemand van jou aan het downloaden. Jij was helemaal geen DDoS client, jij was gewoon XDCC bot.

Lees hier eens na : http://www.astalavista.co...rc/misc/IRC_XDCC_BOTS.txt

Ya welcome

Ik was iig geen XDCC bot, teminste niet alleen dat als ik dat was. Files normaal uploaden met zon snelheid kan nooit zonder errors zijn

Maar PSexec was bij mij wel gebruikt om bepaalde processen te starten

zondag 22 juni 2003 21:01

Acties:

0 Henk 'm!

Icheb

ThaHandy schreef op 22 June 2003 @ 18:28:
dit waren mijn files
ik heb toen alles in een zipfile geflikkerd:
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]

Ff zien...
kewl, je pc is xdcc bot geweest, hmm, wel geavanceerde rootkit deze, zo te zien, een reboot progsel, eleet.exe zal wel een eigen gemaakt install progsel zijn zo te zien.
ff een hint, open die servudaemon.ini eens, als je geluk hebt staat er in welk board/user op board het gedaan heb, ze claimen graag dingen die ze gedaan hebben.
pass die aliases.ini eens, dat is een mIRC file, waarscheinlijk met commando reeksen erin (die je vanaf localhost kan doen met mIRC)
hmm, volgens de dingen in \dir\*.* ziet het eruit als een eigengemaakte hackpack die met behulp van normale standaard progsels beter is gemaakt. Firedaemon is een programma om dingen als service te laten lopen. Die remote.ini in die dir is waarscheinlijk weer een IRC file, hierin staan als het goed is de commando's die in het kanaal op IRC getikt moeten worden en wat de reactie hierop is van jou computer.
ident.exe zegt me dat je een eigen ident server hebt gedraait, met een beetje geluk heb je er nog ergens logs van met daarin de ident, misschien staat daar een group of kanaal bij.
Hmm, het aantal progsels die andere progsels local of remote moeten starten laat zien dat ze, of n00bs/scriptkiddies zijn of dat jou bak gebruikt is voor het hacken van andere machines (logischer).

Dus ik zou zeggen dat die hackkit misschien wat uit de kluiten is gewassen, maar best wel een aardige is zo te zien...
Meer kan ik er via de bestandsnamen niet over zeggen zover ik weet

sebsoft.nl

zondag 22 juni 2003 21:08

Acties:

0 Henk 'm!

zetje01

Eegee schreef op 22 juni 2003 @ 11:07:
[...]

Ik denk dat je me verkeerd begrijpt... Of juist heel goed ei'k Mijn opmerking was retorisch bedoeld ja. Ik denk dat Cyb waarschijnlijk als administrator was ingelogd of iig met administrator rechten, waardoor die trojan z'n werk kon doen. Onder een gewoon gebruikersaccount zou het niet gewerkt hebben, want dan klopt je beveiliging niet als dat wel zou werken.

Wat blackd zegt in z'n eerste 2 alinea's, benadruk ik dus. Zo duidelijk ?

Ja, wij begrijpen elkaar, en mijn bewering dat je volgens mij niet van deze wereld bent (niet persoonlijk opvatten aub...) vind ik nog steeds terecht.

Het zit namelijk zo: 95-99% van de gebruikers van XP weet niet dat je users aan kan maken. Laat staan dat ze die accounts om veiligheidsredenen beperkte rechten kunnen geven. Het gros van de mensen (waaronder ikzelf) logt in op een pc met admin-rights. Zij hebben die pc om programma's te draaien, te internetten, te emailen, spelletjes te spelen enzovoort. Voor de functionaliteit dus.
Zij hebben die pc niet om tijd te verdrijven met onderzoeken wat dat ding allemaal kan, hoe het werkt, waar het fout kan gaan en hoe je (beveiligings)problemen kunt voorkomen en op kunt lossen.
Sterker nog, als je al iemand zo'n gebruiksersaccountje geeft en hij wil bv. Nero installeren, dan kan hij dat niet eens. En daar was die pc wèl voor gekocht...

Dus als jij beweert dat je aanneemt dat een willekeurige persoon NIET als admin inlogt (maar als user met beperkte rechten) denk ik dat jij niet van deze wereld bent... (nogmaals: niet persoonlijk bedoeld)

zondag 22 juni 2003 21:21

Acties:

0 Henk 'm!

_JGC_

Tja, je komt nooit op rare sites, en ineens staat er zo'n ding op je PC, dat kan vaak maar een paar dingen betekenen:

- Je hebt je C$ share nog aanstaan, die moet je altijd unsharen als je niet in een bedrijfsnetwerk zit waar dat voor gebruikt wordt om remote dingen te installeren
- Je remote registry service staat aan, daarmee kunnen ze remote troep in je registry gooien
- Je Administrator password is te simpel (lees: niet ingevuld

)
- Je bent noodzakelijke patches van de windows update site vergeten

zondag 22 juni 2003 21:28

Acties:

0 Henk 'm!

Eegee

zetje01 schreef op 22 June 2003 @ 21:08:
[...] een uitleg.

Okee, ik begrijp 't. kDacht ook al wel dat je zo iets bedoelde. 't Is helaas zo ja. Is weer zoiets waar eigenlijk de meerderheid van de wereld

het beter, laten we zeggen... 'op een andere manier' zou moeten doen. Maar goed, ieder heeft z'n reden om als admin in te loggen.
Men zou misschien (weer?) wat meer moeten opkijken tegen (als in 1. ontzag voelen voor) het admin account, dat je dan 'speciaal' bent als je daaronder bezig bent

en dat je dus niet zo gauw daaronder inlogt als je niets speciaals hoeft te doen. Ik keek iig voor mezelf wel op tegen het 'root' account toen ik aan linux begon.

zondag 22 juni 2003 21:29

Acties:

0 Henk 'm!

ThaHandy

Discovery Channel

Icheb schreef op 22 juni 2003 @ 21:01:
[...]

Ff zien...
kewl, je pc is xdcc bot geweest, hmm, wel geavanceerde rootkit deze, zo te zien, een reboot progsel, eleet.exe zal wel een eigen gemaakt install progsel zijn zo te zien.
ff een hint, open die servudaemon.ini eens, als je geluk hebt staat er in welk board/user op board het gedaan heb, ze claimen graag dingen die ze gedaan hebben.
pass die aliases.ini eens, dat is een mIRC file, waarscheinlijk met commando reeksen erin (die je vanaf localhost kan doen met mIRC)
hmm, volgens de dingen in \dir\*.* ziet het eruit als een eigengemaakte hackpack die met behulp van normale standaard progsels beter is gemaakt. Firedaemon is een programma om dingen als service te laten lopen. Die remote.ini in die dir is waarscheinlijk weer een IRC file, hierin staan als het goed is de commando's die in het kanaal op IRC getikt moeten worden en wat de reactie hierop is van jou computer.
ident.exe zegt me dat je een eigen ident server hebt gedraait, met een beetje geluk heb je er nog ergens logs van met daarin de ident, misschien staat daar een group of kanaal bij.
Hmm, het aantal progsels die andere progsels local of remote moeten starten laat zien dat ze, of n00bs/scriptkiddies zijn of dat jou bak gebruikt is voor het hacken van andere machines (logischer).

Dus ik zou zeggen dat die hackkit misschien wat uit de kluiten is gewassen, maar best wel een aardige is zo te zien...
Meer kan ik er via de bestandsnamen niet over zeggen zover ik weet

van de meeste files wist ik ook wel wat wat deed
eleet -> need servudaemon.ini (servu ftp server dus

mijn pc heeft al een complete format gehad (was ook wel nodig btw

) dit was in maart

die bijde ini files krijg ik een NAV irc trojan pop (zal we leen ailais zijn waar NAV op reageert)
14mb is die zip btw

*uguh*
wat i allemaal heeft gedaan kan me niet schelen.. zolang i maar niet gekeylogged heeft

(heb niets kunnen vonden er over (prog en log))

[ Voor 8% gewijzigd door ThaHandy op 22-06-2003 21:32 ]

zondag 22 juni 2003 21:33

Acties:

0 Henk 'm!

Verwijderd

Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?

-> als je tracert herken je toch plaatsen die er niet moeten zijn (vb de antillen als je op een binnenlandse site zit...)
-> er zijn ook progjes die het visueel weergeven hoe je packet gaat over de wereld

Een standaarfirewalletje als zonealarm doet al wonderen omdat die vraagt of een process toegang krijgt tot Inet en svchost heeft nu niet direct Inet nodig

-> @ TS: thx voor melden, je maakt ons bewust van een mogelijk erge security lek!
-> @ Administrator freaks: bij xp home (ja mijn laptop heeft dat nu eenmaal) is het oftewel admin oftewel beperkte rechten... dus dan ga ik toch voor admin!
Zelfs mijn win2k3 server is nu als admin ingelogd gewoon voor de handigheid, ik kijk wel uit wat ik installeer. En net zoals de ts kan ook ik wel eens iets voorhebben maarja wie niet?

zondag 22 juni 2003 21:43

Acties:

0 Henk 'm!

blackd

Geloof dat dit stuk van jouw text op mij van toepassing is

Verwijderd schreef op 22 June 2003 @ 21:33:
-> @ Administrator freaks: bij xp home (ja mijn laptop heeft dat nu eenmaal) is het oftewel admin oftewel beperkte rechten... dus dan ga ik toch voor admin!
Zelfs mijn win2k3 server is nu als admin ingelogd gewoon voor de handigheid, ik kijk wel uit wat ik installeer. En net zoals de ts kan ook ik wel eens iets voorhebben maarja wie niet?

Daar kies je dan toch zelf voor

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 21:45

Acties:

0 Henk 'm!

alt-92

ye olde farte

Ik neem aan dat je het security-wise gecastreerde XP Home bedoelt itt Pro?

[ Voor 11% gewijzigd door alt-92 op 22-06-2003 21:46 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 22 juni 2003 21:46

Acties:

0 Henk 'm!

eborn

blackd schreef op 22 juni 2003 @ 20:46:
Heb je gelijk in. Vandaar dat ik een 'computer-rijbewijs' best een puik plan vind.

Het plan is leuk. De haalbaarheid iets minder denk ik

In ieder geval niet op de manier waarop alles nu gestructureerd is. Misschien in de toekomst, als computers een nog belangrijkere rol in onze samenleving hebben gekregen. Net als met de auto eigenlijk.

Vandaar dat ik ook in een paar topics loop te verkondigen dat je niet als admin moet werken, maarja, dat is weer niet handig, moeten de users steeds switchen etc. Dan komt het 'luiheids-aspect' weer om de hoek kijken en ik ben het met je eens dat je dat niet 1-2-3 verandert.

Eigenlijk zou een tijdelijke 'su' optie onder Windows dan misschien de beste oplossing zijn. Zodat je in ieder geval niet òf al je programma's hoeft af te sluiten òf met een machine loopt te werken waarbij alles dubbel in het geheugen staat.

Een sysadmin met clue weet wel dat je beter als user kan inloggen en dan kan su'en naar root. Inloggen onder SSH als root wordt vaak zelfs verboden.

De standaardconfig verbiedt het. Gelukkig is het maar één regeltje in de config file

Maar idd, ik ben ook lui. Ik log liever direct in als root dan dat ik moet gaan su'en vanaf een andere user. Met het aantal keren dat ik inlog op een dag zou ik er bijna RSI van krijgen anders

Ik dacht dat hier mensen zaten met verstand van zake, dus zo erg zou ik het niet vinden als er veel mensen als admin inloggen, als je er maar mee om kan gaan.

Daar heb je gelijk in. Maar aan de andere kant, een vergissing is menselijk en met de troep die tegenwoordig op het Internet wordt aangeboden ben je zelfs als 'expert' niet altijd je leven meer veilig.

zondag 22 juni 2003 21:48

Acties:

0 Henk 'm!

blackd

eborn schreef op 22 juni 2003 @ 21:46:
Eigenlijk zou een tijdelijke 'su' optie onder Windows dan misschien de beste oplossing zijn. Zodat je in ieder geval niet òf al je programma's hoeft af te sluiten òf met een machine loopt te werken waarbij alles dubbel in het geheugen staat.

Runas kan dat wel een beetje nabootsen.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 21:55

Acties:

0 Henk 'm!

Verwijderd

offtopic:
Runas werkt langs geen kanten goed

Ik wou wwp ff draaien onder win2k3 met runas in compatibility mode van xp -> NIETS
en op mijn xp draait hij zonder problemen...
maar goed da's offtopic

zondag 22 juni 2003 21:56

Acties:

0 Henk 'm!

blackd

Verwijderd schreef op 22 juni 2003 @ 21:55:

offtopic:
Ik wou wwp ff draaien onder win2k3 met runas in compatibility mode van xp -> NIETS

Wat is wwp?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 22:07

Acties:

0 Henk 'm!

Verwijderd

Worms World Party?

zondag 22 juni 2003 22:08

Acties:

0 Henk 'm!

zork

Ik heb dit topic tot het begin van pagina 3 gelezen.

Veel userpc's zijn behoorlijk kwetsbaar, omdat ze geen of zwakke passwords hebben. Ip ranges worden vaak op port 139 (netbios) gescand, de results van een dergelijke scan worden met een soort 'dictionary hacker' nagelopen op kwetsbare useraccounts. Ik heb bij veel kennisen gemerkt dat ze (in windows xp) een blanco admin pass hadden

Natuurlijk meteen op deze fout gewezen en laten veranderen, want dat is vragen voor problemen.

Iemand kan makkelijk inloggen, ftp daemon droppen, executen, en zodoende via die ftp serv makkelijk laten ddos'en ofzo.

Let dus ook op zwakke passwords...:)

zondag 22 juni 2003 22:08

Acties:

0 Henk 'm!

blackd

In dat geval kan ik me er alles bij voorstellen dat het niet werkt. Games op een Server OS.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 22:15

Acties:

0 Henk 'm!

Cyb

Topicstarter

Ik heb iig wel een administrator password.

Ik weet niet of adminusers of normale user veel uit maakt in mijn geval. Ok het was System32, maar stel dat daarvoor gewoon my documents ofzo was gebruikt met een normale users..... dan kan het toch nog steeds?

zondag 22 juni 2003 22:42

Acties:

0 Henk 'm!

blackd

Cyb schreef op 22 June 2003 @ 22:15:
Ik weet niet of adminusers of normale user veel uit maakt in mijn geval.

In combinatie met NTFS rechten wel.
Zoals ik al een aantal keer aangaf in dit topic, heeft een normale user geen schrijfrechten in de system32 dir.
Let wel op dat een FAT32 -> NTFS conversie er niet voor zorgt dat je rechten goed staan. Daar zijn weer andere tools voor.

Ok het was System32, maar stel dat daarvoor gewoon my documents ofzo was gebruikt met een normale users..... dan kan het toch nog steeds?

My Documents, denk je niet dat dat opvalt?

Meeste virussen pakken volgens mij de Windows dir. Daar valt het niet op.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 22 juni 2003 22:49

Acties:

0 Henk 'm!

Cyb

Topicstarter

blackd schreef op 22 juni 2003 @ 22:42:
[...]

My Documents, denk je niet dat dat opvalt?
Meeste virussen pakken volgens mij de Windows dir. Daar valt het niet op.

Ok, My Documents is een slecht voorbeeld.
Maar als je nou eens recycled bin, ergens diep in je Windows standaard temp dir, ergens in je temperary Internet files, tussen een oud programma dat persee schrijfrechten in een bepaalde folder nodig heeft, dan valt het heel wat minder op als het mogelijk is om het daar te zetten?

zondag 22 juni 2003 22:56

Acties:

0 Henk 'm!

eborn

blackd schreef op 22 juni 2003 @ 21:48:
Runas kan dat wel een beetje nabootsen.

Ah, ken ik niet. Weer wat geleerd

maandag 23 juni 2003 00:10

Acties:

0 Henk 'm!

blackd

Cyb schreef op 22 June 2003 @ 22:49:
Maar als je nou eens recycled bin, ergens diep in je Windows standaard temp dir, ergens in je temperary Internet files, tussen een oud programma dat persee schrijfrechten in een bepaalde folder nodig heeft, dan valt het heel wat minder op als het mogelijk is om het daar te zetten?

Zou theoretisch kunnen. In de praktijk gebeurt het weinig blijkbaar.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 23 juni 2003 00:44

Acties:

0 Henk 'm!

Jimbolino

troep.com

blackd schreef op 23 juni 2003 @ 00:10:
[...]

Zou theoretisch kunnen. In de praktijk gebeurt het weinig blijkbaar.

lol, denk jij, heb es een hele pubstro in c:\recycled gevonden
winnt\fonts is ook een leuke locatie, als je er met explorer naartoe gaat zie je alleen de fonts, niet de mappen die er staan

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

maandag 23 juni 2003 01:09

Acties:

0 Henk 'm!

alt-92

ye olde farte

offtopic:
nog ff en het stikt hier van de vuilnisbakkies

En als we het toch over recycle bins hebben: vorig jaar waren er diverse virusjes die daar ook in gingen zitten

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 juni 2003 01:21

Acties:

0 Henk 'm!

blackd

Jimbolino schreef op 23 June 2003 @ 00:44:
lol, denk jij, heb es een hele pubstro in c:\recycled gevonden
winnt\fonts is ook een leuke locatie, als je er met explorer naartoe gaat zie je alleen de fonts, niet de mappen die er staan

Je zou toch denken dat 'men' de prullenbak wel regelmatig leegt ?

Maar ik kom nu voornamelijk virussen in de windows dir tegen

.
Hmm, Yaha gaat zowel in Windows als in Recycled zitten:
http://www.sophos.com/virusinfo/analyses/w32yahae.html

Even de huidige meest actieve virussen:
http://www.virusalert.nl/?show=virus&id=498 -> windows\system
http://www.virusalert.nl/?show=virus&id=493 -> windows
http://www.virusalert.nl/?show=virus&id=505 -> windows
http://www.virusalert.nl/?show=virus&id=510 -> windows\system
http://www.virusalert.nl/?show=virus&id=507 -> windows\startmenu\opstart of in user profile, eindelijk een slimme

offtopic:
Nog een vuilnisbak

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 23 juni 2003 07:15

Acties:

0 Henk 'm!

Cyb

Topicstarter

ik had wel wat meer verwacht van Symantec:

Dear *******,

We have analyzed your submission. The following is a report of our
findings for each file you have submitted:

filename: C:\SVCHOST.EXE
machine: ANONYMO******
result: See the developer notes

Developer notes:
C:\SVCHOST.EXE does not appear to contain malicious code.

Our automated system has performed an extensive analysis on the file(s)
that you have submitted and found no evidence of malicious code. If you
have additional evidence to suggest that a malicious program still resides
in the file that was submitted to us, please contact Symantec Technical
Support for assistance.

Ik heb ze dus ook hierna terug gemailed.

maandag 23 juni 2003 10:53

Acties:

0 Henk 'm!

Verwijderd

offtopic:
BBL the 2nd -> yep WWP = Worms World Party (desperatly waiting for worms 3d to come;))

Our automated system has performed an extensive analysis on the file(s)
that you have submitted and found no evidence of malicious code. If you
have additional evidence to suggest that a malicious program still resides
in the file that was submitted to us, please contact Symantec Technical
Support for assistance.

-> Misschien denkt hij dat het ongevaarlijk is omdat het eigenlijk gewoon een irc progje is dat door jou geïnstalleerd lijkt...

maandag 23 juni 2003 11:54

Acties:

0 Henk 'm!

Cyb

Topicstarter

Verwijderd schreef op 23 June 2003 @ 10:53:
-> Misschien denkt hij dat het ongevaarlijk is omdat het eigenlijk gewoon een irc progje is dat door jou geïnstalleerd lijkt...

Het proggie doet een aantal verborgen activiteiten, waaronder DDOSen en anderen toegang geven tot je PC. Valt onder trojan backdoor.

Avert Labs Virus Research van McAfee ziet het igg wel:

AVERT Labs - Beaverton

Current Scan Engine Version:4.2.60

Current DAT Version:4272

Thank you for your submission.

Analysis ID: *****

File Name Findings Detection
Type Extra
--------------------|------------------------------|------------------------
----|------------|-----
svchost.exe |heuristic detection |new malware.b
|Virus |no

heuristic detection [svchost.exe]

The file received may contain a potential virus or trojan threat
identified
heuristically. This potential threat was identified with our most powerful
set of
heuristic DAT drivers. Heuristic drivers can make false-positive
identifications, as
such, this issue is being escalated to AVERT for a thorough review. In the
meantime,
it is recommended that you update your DAT and engine files and scan your
computer
again. You will be contacted through e-mail with the results of our
analysis.

Pagina: 1 2 Volgende Laatste

Reageer