Toon posts:

[VirusAlert]Nieuwe Dumaru varianten

Pagina: 1
Acties:

zaterdag 24 januari 2004 14:29

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Nieuwe Dumaru variant druk bezig met verspreiden vandaag.
Een van de eerste exemplaren werd gisteravond laat ontvangen, heb deze toen mogen ontvangen van een alerte mede-GoTer, nogmaals dank daarvoor. :)

Wat alleen het bijzondere was aan die e-mail, was dat het eigenlijk een(indirecte)link was naar Dumaru. Dit is tot nu toe het enige bekende geval waarbij dit het geval is.
Bij alle andere honderden gevallen is er sprake van een attachment.
Misschien dat Dumaru dus eerst op deze manier is gespamd.

Het php script waarmee Dumaru gedownload kan worden wordt gedetecteerd als TrojanDropper.VBS.Inor.z, de desbetreffende site/mail waarschuwde voor I-Worm.Swen, maakte gebruik van de urlspoof exploit en leek ontzettend op de MS site. The urlspoof wordt gedetecteerd als TrojanSpy.HTML.UrlSpoof.e.

De F-Secure write-up lijkt momenteel het beste, die gooi ik hier even neer.
System Infection

Upon execution Dumaru.Y installs several copies of itself to the computer:

- 'l32x.exe' to the Windows System Directory which is added to the registry as

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32

- 'dllxw.exe' is copied to the current users' Startup Directory.

- 'vxd32v.exe' to the Windows System Directory which is added to the system.ini:

[Boot]
Shell=explorer vxd32v.exe

Email Propagation

Dumaru.Y uses its own SMTP engine to send emails. The SMTP engine performs a direct name service lookup on the target domain so it does not depend on the infected computer's email server settings.

To collect email addresses the worm recursively searches through all the directories on the computer and looks for files that could contain email addresses:

'.htm'
'.wab'
'.html
'.dbx'
'.tbb'
'.abd'

Going through the list of collected addresses Dumaru.Y sends emails with infected attachments that have to following characteristics:

From: "Elene" <F*CKENSUICIDE@HOTMAIL.COM>
To: <user@targeted.somewhere>
Subject: Important information for you. Read it immediately !

Body:
Here is my photo, that you asked for yesterday.

Attachment: myphoto.zip
Payloads

Dumaru.Y contains several backdoor and data stealing components as payload.

Backdoors

Dumaru.Y installs an FTP server to TCP port 10000 which provides unrestricted FTP access to all the files on the infected computer.

On port 2283 a TCP forwarding proxy is listening which can be used by remote attackers to initiate connections through the infected computer.

Data Stealing

Dumaru.Y - just like it's earlier variants - comes with capabilities to steal sensitive user data:

- clipboard data

- Protected Storage Data

- User credentials and key log data of visits to www.e-gold.com

The collected data is sent to a predefined email address.
De vendors hebben nogal wat verschillende benamingen..
KL: Dumaru.j
Meeste andere zo te zien: Dumaru.y
Door de variatie in variantbenaming heb ik dan ook maar 'nieuwe variant' als title gepakt.

(Alle)write-ups vergeten, op dit moment, echter(minstens)1 file te vermelden die wordt aangemaakt.
In %SysDir%\%temp% wordt myphoto.jpg[whole bunch of spaties].exe gemaakt.

http://www.viruslist.com/eng/alert.html?id=822097
http://us.mcafee.com/viru...escription&virus_k=100980
http://www.f-secure.com/v-descs/dumaru_y.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.dumaru.y@mm.html

zaterdag 24 januari 2004 15:16

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Gezien dat McAfee m tegenhoudt zal Hotmail m ook wel tegenhouden, omdat Bagle/Beagle door Hotmail ook permanent geblokkeerd wordt.

[ Voor 6% gewijzigd door 0xDEADBEEF op 24-01-2004 15:17 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 24 januari 2004 15:19

Acties:
  • 0 Henk 'm!
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

LaLaLand schreef op 24 januari 2004 @ 15:16:
Gezien dat McAfee m tegenhoudt zal Hotmail m ook wel tegenhouden, omdat Bagle/Beagle door Hotmail ook permanent geblokkeerd wordt.
Let wel even op dat Hotmail weliswaar idd met McAfee draait, maar ze lopen nogal eens één of twee versies van de DAT-files achter. Dan komen ze er dus alsnog door...

Overigens houd McAfee hem met de laatste DAT-files nog niet tegen, je moet 4318 hebben, de nieuwste is nu 4317. Met de Daily Dat files (http://vil.nai.com/vil/virus-4d.asp) houd hij hem wel al tegen, heb al 2 exemplaren mogen ontvangen).

Virussen? Scan ze hier!

zaterdag 24 januari 2004 15:31

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

wildhagen schreef op 24 januari 2004 @ 15:19:
[...]

Let wel even op dat Hotmail weliswaar idd met McAfee draait, maar ze lopen nogal eens één of twee versies van de DAT-files achter. Dan komen ze er dus alsnog door...

Overigens houd McAfee hem met de laatste DAT-files nog niet tegen, je moet 4318 hebben, de nieuwste is nu 4317. Met de Daily Dat files (http://vil.nai.com/vil/virus-4d.asp) houd hij hem wel al tegen, heb al 2 exemplaren mogen ontvangen).
F-Secure schaalt m op Level 2.

* Lalaland draait F-Secure [zonder BackWeb :Y) ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zondag 25 januari 2004 20:18

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Kickerdekick.

Nieuwe variant is gespot ITW. I-Worm.Dumaru.k
Meer info volgt.

Edit:
En nog een..
I-Worm.Dumaru.l

Info moet nog volgen..

[ Voor 30% gewijzigd door Verwijderd op 25-01-2004 22:06 ]

zondag 25 januari 2004 23:21

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
I-Worm.Dumaru.k:
Gedropte files hebben nog dezelfde namen als eerst.
Voorbeeld:
C:\Documents and Settings\Schouw\Start Menu\Programs\Startup\dllxw.exe
C:\WINNT\system32\l32x.exe
C:\WINNT\system32\vxd32v.exe
C:\WINNT\Temp\zip.tmp
C:\WINNT\winload.log
Shell wordt weer veranderd naar explorer.exe C:\WINNT\system32\vxd32v.exe

Waar deze variant in varieert is dat hij een http connectie naar 65.19.167.xxx maakt.
Daar downloadt hij een aantal files die gedropt worden, voorbeeld:
C:\WINNT\system32\rwtrisfg32.dll
C:\WINNT\system32\scvhosts.exe
C:\WINNT\nvidia32.exe
Die dll is niet fris. :/
Poorten worden geopend, maar die lijken van gewone windowsfiles af te komen..

Meer eventueel morgen. :)

maandag 26 januari 2004 09:27

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Verwijderd schreef op 25 januari 2004 @ 23:21:

C:\WINNT\system32\rwtrisfg32.dll

Snapshot van http://www.nerdhelp.com/f...ndex.php?act=ST&f=2&t=88& :

6. Upon inspection of the content of the virus files I was able to
confirm that rwtrisfg32.dll was referencing spybot.dll and was
performing the following functions:
a. Quoting from the virus source code: that is truly scary!!
b. "Searsing for passwords"
c. ":netdevil IP:"
d. "passed pleaz_run_done pleaz_run"
e. "Server uploaded to kuangserver IP:" - note that kuangserver is
part of the Kuang2 virus which this one piggybacks on!!
f. read: http://www.lurhq.com/sig-milkit.html
g. "already logging keys to %s use "stopkeylogger" to stop Spying on
port"
h. as well as nearly 2000 words and phrases that are potentially used
as passwords: "LOCAL SERVER SYSTEM BACKUP USER ACCESS TEST DEMO FILES
READ BOTH FULL WRITE SHARE TEMP PASSWORD ADMIN ROOT GUEST
ADMINISTRATOR "


Je zegt wel dat er files gedropped worden, maar:

code:
1
2
3
4
5

Not Found
The requested URL / was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.17-HOF Server at 65.19.167.250 Port 80

en

code:
1
2
3
4
5

Not Found
The requested URL /rwtrisfg32.dll was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.17-HOF Server at 65.19.167.250 Port 80

Idem voor svchosts.exe en nvidia.exe. (Ja, ik weet wat ik doe :) )
Verwijderd schreef op 25 januari 2004 @ 23:21:
Daar downloadt hij een aantal files
[...]
Poorten worden geopend
Zou je deze actie kunnen repliceren met een sniffer op de achtergrond (Ethereal) ?

[ Voor 39% gewijzigd door 0xDEADBEEF op 26-01-2004 10:49 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 26 januari 2004 11:39

Acties:
  • 0 Henk 'm!

Verwijderd

Het is maar een vraag maar ik krijg de error van windows:
c:\winnt\system32\vxd32v.exe
Hangt dit samen met het virus ?

maandag 26 januari 2004 12:44

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Verwijderd schreef op 26 januari 2004 @ 11:39:
Het is maar een vraag maar ik krijg de error van windows:
c:\winnt\system32\vxd32v.exe
Hangt dit samen met het virus ?
Wat voor melding krijg je precies ?

Van http://groups.google.nl/g...lnews.actcom.co.il&rnum=3 :
If Dumaru.J is executed, it attempts to create a copy of itself in the
Windows System directory as both l32x.exe and vxd32v.exe.

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 26 januari 2004 13:00

Acties:
  • 0 Henk 'm!

Verwijderd

LaLaLand schreef op 26 januari 2004 @ 12:44:
[...]


Wat voor melding krijg je precies ?

Van http://groups.google.nl/g...lnews.actcom.co.il&rnum=3 :

[...]
Precieze melding:

Kan het bestand c:\WINNT\System32\vxd32v.exe ( of een van de onderdelen niet vinden. Controleer of het pad en de bestandsnaam juist zijn en of alle bibliotheken beschikbaar zijn.

maandag 26 januari 2004 13:10

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Verwijderd schreef op 26 januari 2004 @ 13:00:
[...]


Precieze melding:

Kan het bestand c:\WINNT\System32\vxd32v.exe ( of een van de onderdelen niet vinden. Controleer of het pad en de bestandsnaam juist zijn en of alle bibliotheken beschikbaar zijn.
Hoogstwaarschijnlijk heb je dat bestand niet nodig Klik ook die groups.google.com link aan, staat meer info, ook op welke plek in je register dat bestand getriggerd wordt.
Verwijderd schreef op 25 januari 2004 @ 23:21:
I-Worm.Dumaru.k:

quote:

[snap]

C:\WINNT\system32\vxd32v.exe

Shell wordt weer veranderd naar explorer.exe C:\WINNT\system32\vxd32v.exe

[ Voor 30% gewijzigd door 0xDEADBEEF op 26-01-2004 15:20 . Reden: Lezen kreng 8)7 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 26 januari 2004 13:18

Acties:
  • 0 Henk 'm!
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 10-09 01:41

aZuL2001

Sophos heeft ook wat info staan : http://www.sophos.nl/virusinfo/analyses/w32dumaruy.html

Ook instructies tot cleanen.

Abort, Retry, Quake ???

maandag 26 januari 2004 13:27

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

W32.Dumaru.Z@mm

Discovered on: January 25, 2004

General info en Cleaning info over Dumaru.Z : http://securityresponse.s...data/w32.dumaru.z@mm.html

@mm.html Zelf toevoegen

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 26 januari 2004 15:58

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Dumaru.l is(zo goed als)identiek aan Dumaru.k
Verschil lijkt meer te zitten in welke server er wordt aangesproken om files te kunnen downloaden. En wat aanpassingen zodat AVs de file niet direct detecteren.

Files die worden gedropt:
C:\Documents and Settings\Schouw\Start Menu\Programs\Startup\dllxw.exe
C:\WINNT\system32\l32x.exe
C:\WINNT\system32\vxd32v.exe
C:\WINNT\Temp\zip.tmp
C:\WINNT\winload.log
vxd32v.exe probeert dan de volgende files te downloaden/droppen:
C:\WINNT\system32\rwtrisfg32.dll
C:\WINNT\system32\scvhosts.exe
C:\WINNT\rundllx.sys
C:\WINNT\nvidia32.exe
In het sys-bestand worden de clipboard gegeven gekopieerd.
scvhosts.exe/nvidia32.exe : TrojanDropper.Win32.Small.aw
rwtrisfg32.dll : Backdoor.Spyboter.aq
De backdoor luistert via explorer.exe op poort 113.
Backdoor killt ook taskmanager/regedit @ instant.

Shell wordt weer veranderd naar: explorer.exe C:\WINNT\system32\vxd32v.exe

EDIT:
Het lijkt erop dat er nu een ander virus wordt gedownload.(Zelfde downloadlocatie).
Deze dropt zich in %system% als svchosts.exe.
Ook worden een stel 'crack like' bestanden aangemaakt in windows directory om zich zo te sharen via kazaa.
Mocht er behoefte zijn aan specifieke details, laat het even weten, weet de rest niet meer uit m'n hoofd. :)

[ Voor 21% gewijzigd door Verwijderd op 01-02-2004 22:25 ]

maandag 26 januari 2004 16:11

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 26 januari 2004 @ 13:00:
[...]


Precieze melding:

Kan het bestand c:\WINNT\System32\vxd32v.exe ( of een van de onderdelen niet vinden. Controleer of het pad en de bestandsnaam juist zijn en of alle bibliotheken beschikbaar zijn.
File is dus verwijderd, maar staat nog steeds als shell ingesteld.
Dan gaat windows dus zeuren. :P

Heb je je systeem gescand met up to date virusscanner?
Zo nee, doe dat.(Let op, als je NAI of Symantec gebruikt moet je beta defs of extra.dat gebruiken).

Op eigen risico:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Daar zie je shell staan, die staat ingesteld op:
"explorer.exe C:\WINNT\system32\vxd32v.exe"
Verander dat naar "explorer.exe"

Edit:
Op nog meer eigen risico: :P
code:
1
2
3
4

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

Sla dit op als bla.reg en voeg toe aan het register.
(Had ik al gezegd dat het op eigen risico is?)

[ Voor 19% gewijzigd door Verwijderd op 26-01-2004 16:24 ]

maandag 26 januari 2004 16:32

Acties:
  • 0 Henk 'm!
  • Miki
  • Registratie: November 2001
  • Nu online

Miki

Opgelet voor de Norton gebruikers, update handmatig de nieuwe beta virusdefinities via deze link: http://securityresponse.s...center/refa.html#betadefs

Norton komt pas op 28 januari met een liveupdate (automatische upate) voor dit virus, wees dus niet laks en update zo snel mogelijk. Zo bespaar je jezelf en anderen een hoop ellende.

maandag 26 januari 2004 18:00

Acties:
  • 0 Henk 'm!
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Verwijderd schreef op 26 januari 2004 @ 15:58:
Dumaru.l is(zo goed als)identiek aan Dumaru.k
Bedoel je i of l (L) ?
Verschil lijkt meer te zitten in welke server er wordt aangesproken om files te kunnen downloaden.
Heb al eerder gepost dat ik niets heb kunnen vinden op die server :? ( IAW: er kan niets gedl-ed worden ( niet zomaar iig ) )
Verwijderd schreef op 26 januari 2004 @ 16:11:
[Self-made Nederlandse removal- en info-write-up over Dumaru.Y]
http://www.virusalert.nl/...&id=608&name=W32.Dumaru.Y

[ Voor 4% gewijzigd door 0xDEADBEEF op 26-01-2004 18:03 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 26 januari 2004 18:04

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
LaLaLand schreef op 26 januari 2004 @ 18:00:
[...]

Bedoel je i of l (L) ?

[...]


Heb al eerder gepost dat ik niets heb kunnen vinden op die server :? ( IAW: er kan niets gedl-ed worden
I-Worm.Dumaru.l (variant aanduidingen zijn bij KL altijd kleine letter, dus L).
Heb me zojuist laten vertellen dat de server al down is..

Edit:
Die virusalert write-ups zijn crap.
(Waarmee ik niet wil zeggen dat dit je van het is). :)

Edit2:
McAfee heeft weekly DATs gereleased hiervoor(en voor mimail.q).

[ Voor 20% gewijzigd door Verwijderd op 26-01-2004 18:16 ]

dinsdag 27 januari 2004 11:32

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Great...
I-Worm.Dumaru.m is ITW.

Die gast heeft niet veel te doen zeg. :/

zondag 1 februari 2004 22:12

Acties:
  • 0 Henk 'm!

Verwijderd

Ik kreeg net een telefoontje van iemand die een dergelijk mailtje had gehad en hem ook nog had geopend, stom!

maar goed, die heeft nu last van enorme vertragingen op z'n pc. Z'n pc hangt zo af en toe voor soms wel een paar minuten, en z'n processorload staat vaak op 100%. Weet iemand welke variant van het virus dit kan zijn? (ik heb bij symantec en sophos niets over dergelijke symptonen gevonden)

zondag 1 februari 2004 22:15

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Dat kunnen we zo niet zeggen.
De write-up klopt trouwens nog maar half..
De dropperfile die door dumaru.k/l wordt gedownload, dropt nu een ander virus. :/
Nu wordt Worm.P2P.Spybot.gen gedropt.
Als svchosts.exe in %system% en in nog wat andere windowsmappen om zich zo via kazaa te kunnen verspreiden.

Je zal dus met een AV moeten laten scannen.

zondag 1 februari 2004 22:20

Acties:
  • 0 Henk 'm!

Verwijderd

Verwijderd schreef op 01 februari 2004 @ 22:15:
Dat kunnen we zo niet zeggen.
De write-up klopt trouwens nog maar half..
De dropperfile die door dumaru.k/l wordt gedownload, dropt nu een ander virus. :/
Nu wordt Worm.P2P.Spybot.gen gedropt.
Als svchosts.exe in %system% en in nog wat andere windowsmappen om zich zo via kazaa te kunnen verspreiden.

Je zal dus met een AV moeten laten scannen.
Daar noem je meteen nog een goed punt. Norton Antivirus Corporate edition wil bij die persoon niet scannen. Hij kiest dat ie de hele PC wil scannen en vervolgens gebeurd er niets en sluit NAV af.

zondag 1 februari 2004 22:22

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op 01 februari 2004 @ 22:20:
[...]

Daar noem je meteen nog een goed punt. Norton Antivirus Corporate edition wil bij die persoon niet scannen. Hij kiest dat ie de hele PC wil scannen en vervolgens gebeurd er niets en sluit NAV af.
Laat hem de lijst van running processes checken, met bijvoorbeeld een prog van sysinternals.

Kijk of een van de genoemde processen in dit draadje draaien, zo ja, killen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq