Toon posts:

[98/XP] Vraag over vaag bestand

Pagina: 1
Acties:

zaterdag 13 maart 2004 14:46

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Hi there!

Ik ben hier de PC van mijn moedertje aan het uitkammen. Een paar weekenden geleden is haar PC van het een op het ander ogenblik vernield, zowel Windows 98 op de C: als XP op de D:.
C: wilde niet meer booten, en gaf aan dat de KERNEL386 (?) verwijderd was
D: wilde niet meer booten, HAL.DLL was verwijderd.

Een programmeur heeft XP weer recht getrokken, en ik ben de schade hier aan het inventariseren. Sub7 heb ik net verwijderd uit XP, en ik ben vanuit een externe PC een poortscan aan het doen op de PC.

Eén vaag ding wat ik nog wel tegen kwam was een bestand genaamd xxxx.exe. Notepad geeft vage informatie:

code:
1

SetFileAttributesA  {☻TerminateProcess  KERNEL32.dll  ,☺OpenProcessTok


Klinkt niet écht goed :)

Ik ga vanavond onder het genot van een goede borrel eens formatteren. Mijn vraag aan de échte hackers om dat bestand eens te analyseren:

[hier stond een urrel]

(cut-and-paste bovenstaande, en voeg even een "e" toe?)

Ik ga hier nog eens de beveiligingspolicy nalopen. Ik vind het heel vreemd dat AntiVir Guard (http://www.freeav.com) de bewuste trojan niet tegengehouden heeft. Verder ga ik eens kijken naar een firewall. Die XP firewall (dat wisten we al) is blijkbaar niet afdoende.

Hebben jullie nog verdere tips?

Edit: Link naar malware weggehaald

[ Voor 6% gewijzigd door Verwijderd op 13-03-2004 17:16 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 13 maart 2004 15:06

Acties:

Verwijderd

Ik kan me niet indenken dat AntiVir Sub7 niet vindt hoor..
Daar moet dus al eerder wat aan de hand zijn geweest.
Mijn vraag aan de échte hackers om dat bestand eens te analyseren:
Ik ben geen echte hacker eigenlijk. :/
De ge-uploade file is destructive malware dat exe en dll bestanden delete.

Tip: laat je moeder niet als admin rondrennen.
Bezuining niet op security.

Edit:
Je mag de file weer off-line halen trouwens. :)

[ Voor 7% gewijzigd door Verwijderd op 13-03-2004 15:07 ]

zaterdag 13 maart 2004 15:57

Acties:
  • wildhagen
  • Registratie: Juni 1999
  • Niet online

wildhagen

Blablabla

Het is kennelijk bekend spul, want McAfee WebImmune tagged hem als "Del-448" met de opmerking dat hij binnenkort word toegevoegd aan de DAT-files...

code:
1
2

Name        Findings         Detection  Type        Extra
xxxx.exe    new detection   del-448   Trojan      yes


Idd zoals Schouw al zegt je moeder ff opvoeden dat ze niet op vage sites moet zitten en/of geen rare attachments moet openen, ook al vermomd het zich als liefdesbrief van een onbekend persoon ;)

Virussen? Scan ze hier!

zaterdag 13 maart 2004 16:30

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Malware idd buhbai werkende vir. scanner :(

/me haal die xxxx.ex idd maar offline ! :)
Wat is het ook weer ? abuse@trueserver.nl ? ;)

/edit Nog meer schade, mis ineens heel veel dll's en exe's :/

Kga dit zeker submitten naar F-Secure :)

[ Voor 45% gewijzigd door 0xDEADBEEF op 13-03-2004 16:50 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 13 maart 2004 17:15

Acties:

Verwijderd

0xDEADBEEF, je bent toch niet zo handig geweest om dat ding te executen he? :X
Ik zeg niet voor niets dat het destructive malware is..

Ik zal de link zelf maar weghalen, wat dus maar policy moet worden..
Wat jammer is voor de rest, maar het lijkt niet anders te kunnen.

zaterdag 13 maart 2004 17:19

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Ja wel :X 8)7 :/

* 0xDEADBEEF had iets van "eerst zien dan geloven" :X maar je leert er wel van :D :r :r

Kan nu leuk opnieuw gaan installeren, wat toch al geplanned was :/

[ Voor 10% gewijzigd door 0xDEADBEEF op 13-03-2004 17:21 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 13 maart 2004 20:28

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Verwijderd schreef op 13 maart 2004 @ 17:15:
0xDEADBEEF, je bent toch niet zo handig geweest om dat ding te executen he? :X
Ik zeg niet voor niets dat het destructive malware is..

Ik zal de link zelf maar weghalen, wat dus maar policy moet worden..
Wat jammer is voor de rest, maar het lijkt niet anders te kunnen.
Oops. Vandaar dat ik al de e wegliet, de volgende keer zal ik zeggen dat ze de link kunnen krijgen per mail. Verder was ik vanmiddag weg, anders had ik sneller gereageerd :x

Ik denk dat ik de admin-rechten van ma maar eens in ga trekken. Dan hadden we geen schade gehad. Net zoals andere mensen overigens.

Hoe komen jullie zo snel achter de info? Ik ben niet onbekend met security, vooral niet op Linux gebied, maar Windows blijf ik duidelijk achter :(

Ohja, dat abuse@trueserver.nl mag hoor, maar dan komt hij vanzelf bij mij uit ;)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 13 maart 2004 20:33

Acties:

Verwijderd

DiedX schreef op 13 maart 2004 @ 20:28:
[...]

Hoe komen jullie zo snel achter de info?
File zelf bekeken en het Lab confirmeerde binnen 20 minuten mijn bevindingen. :)

Check je mail/msnm eens.

zaterdag 13 maart 2004 20:41

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Verwijderd schreef op 13 maart 2004 @ 20:33:
[...]

File zelf bekeken en het Lab confirmeerde binnen 20 minuten mijn bevindingen. :)

Check je mail/msnm eens.
Reeds beantwoord, bedankt voor het meedenken!
"Het lab"? Van McAfee? Je ramt er wat naartoe, en zij bekijken 'm?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 13 maart 2004 20:43

Acties:

Verwijderd

DiedX schreef op 13 maart 2004 @ 20:41:
[...]


Reeds beantwoord, bedankt voor het meedenken!
"Het lab"? Van McAfee? Je ramt er wat naartoe, en zij bekijken 'm?
Nee, ik werk voor Kaspersky Lab.
Had het dus over het viruslab van KL. :)

Als je verdachte bestanden in het vervolg gecheckt moet hebben, geef je maar een gil. :)

[ Voor 6% gewijzigd door Verwijderd op 13-03-2004 20:43 ]

zaterdag 13 maart 2004 20:48

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Verwijderd schreef op 13 maart 2004 @ 20:43:
[...]
Als je verdachte bestanden in het vervolg gecheckt moet hebben, geef je maar een gil. :)
Thnx! Ik zal 'm zeker onthouden!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 15 maart 2004 16:54

Acties:
  • 0xDEADBEEF
  • Registratie: December 2003
  • Niet online

0xDEADBEEF

Quote van mn mail:
The file is now detected as

xxxx.ex: Infected: Trojan.Win32.KillFiles.ee [AVP]


Thank you for the sample.

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq