[NAI] HideOut-detectie * - Privacy en beveiliging

donderdag 25 maart 2004 11:33

Acties:

Blablabla

Topicstarter

McAfee Enterprise 7.1 detecteerd bij mij de volgende file/virus:

Afbeeldingslocatie: http://www.xs4all.nl/~jurgenjw/zooi/hideout.JPG

Maar in hun Knowledge base kan ik dit ding helemaal niet vinden en Google levert ook niet veel op...

Heb ook een onlinescan gedaan bij Trend en Kaspersky, maar beiden vinden niks.

Kent iemand dit, en weet hij wat dit precies is?

Ik draai DAT-files 4343 (de nieuwste), met engine 4.3.20 (idem).

Virussen? Scan ze hier!

donderdag 25 maart 2004 11:39

Acties:

Verwijderd

Zou je me die file eens willen sturen?
Minor titeledit.

donderdag 25 maart 2004 11:42

Acties:

wildhagen

Blablabla

Topicstarter

Als het goed is heb je nu (of iig spoedig) mail

Virussen? Scan ze hier!

donderdag 25 maart 2004 11:46

Acties:

Verwijderd

Ik snap niet waarom KL nog steeds niet riskwarebases in de online scanner meppen...

\apje\apje.exe is infected with a virus not-a-virus:RiskWare.Tool.Hideout

Eens kijken wat ik kan vinden.

donderdag 25 maart 2004 11:49

Acties:

DJ^

hmmz

offtopic:
Minor titeledit

Gebruik of nederlandse of engelse woorden, maar niet half half

Gooi het filetje gewoon in de exclusive magoed dat had je waarschijnlijk zelf ook al wel bedacht

hmmz

donderdag 25 maart 2004 11:50

Acties:

wildhagen

Blablabla

Topicstarter

Verwijderd schreef op 25 maart 2004 @ 11:46:
Ik snap niet waarom KL nog steeds niet riskwarebases in de online scanner meppen...

[...]

Eens kijken wat ik kan vinden.

Bedoel je dat de online scanner van KL niet volledig is?

Maar het lijkt er dus idd op dat het iig iets verdachts is. Kan kloppen, want de betreffende file is aangetroffen op een gehackede machine.

DJ^ schreef op 25 maart 2004 @ 11:49:

Gooi het filetje gewoon in de exclusive magoed dat had je waarschijnlijk zelf ook al wel bedacht

Uiteraard, maar ik wil wel graag weten hoe of wat het is...

Virussen? Scan ze hier!

donderdag 25 maart 2004 11:55

Acties:

Verwijderd

wildhagen schreef op 25 maart 2004 @ 11:50:
[...]

Bedoel je dat de online scanner van KL niet volledig is?

Ja, alleen normal bases, geen extended of redundant bases.
Maw: geen/weinig detectie voor: advware, pornware, riskware(zoals dit)en redundantzooi.
(Hoewel de laatste niet echt heel nuttig is voor meeste mensen)

Uiteraard, maar ik wil wel graag weten hoe of wat het is...

Working on it.

donderdag 25 maart 2004 12:20

Acties:

Verwijderd

code:

Service manager v1.3, (c) Hideout Inc
--------------------------------------

SERVICES HELP for this help message.
SERVICES LIST <machinename> for a list of all running Win32 process services.
SERVICES DELETE <servicename> <machinename> to delete the specified service.
SERVICES CONFIG <servicename> <machinename> for detailed configuration info about a service.
SERVICES START <servicename> <machinename> to start a service.
SERVICES STOP <servicename> <machinename> to stop a service.
SERVICES PAUSE <servicename> <machinename> to pause a service.
SERVICES CONTINUE <servicename> <machinename> to continue a service.

SERVICES CREATE <servicename> <displayname> <service program> <machinename>.
SERVICES CREATESVRANY <servicename> <displayname> <srvany.exe> <service program> <machinename>.
Ex. CREATESVRANY "system" "System" "c:\winnt\svrany.exe" "c:\winnt\serv-u.exe".

Ik denk dat dit voor zich spreekt.

donderdag 25 maart 2004 12:24

Acties:

wildhagen

Blablabla

Topicstarter

Ja, dat verklaart een hoop

Hoor net van een collega dat er idd ServU (bekende tool voor hackers die FTP-tjes willen opzetten) geinstalleerd was.

De machine, voorheen een normale werkplek, is geheel omgetoverd in een FTP-server met loads of porno

Tnx voor het uitzoeken anyway

Virussen? Scan ze hier!

donderdag 25 maart 2004 12:29

Acties:

Verwijderd

Check ook even of er nog andere zut opstaat..(vage directories enzo)
Hoewel het populair is om alles via 'legit tools' te doen(riskware dus), worden er toch ook nog vaak(onbekende)backdoors gebruikt.

Mochten er(onbekende)files gevonden worden, dan zou ik die heel graag willen zien.

donderdag 25 maart 2004 12:46

Acties:

wildhagen

Blablabla

Topicstarter

Schouw: ik heb je een flinke mail gestuurd (1.3 MB), met alle verdachte files. Ze stonden idd op bekende vage plekken (Recycler etc).

Verder word het zaakje uiteraard helemaal kaal ge-image-d. Je weet nooit wat er allemaal nog meer gebeurd is. Zo stond er iig een GINA, dus er zijn ongetwijfeld ook password afgevangen.

Het zou helpen als mensen hun spullen eens uptodate houden (patches, antivirus etc)...

Virussen? Scan ze hier!

donderdag 25 maart 2004 12:53

Acties:

Verwijderd

Thanks!

code:

Report:
E:\Documents and Settings\Schouw\Desktop\hacked\apje.exe    is infected with a virus not-a-virus:RiskWare.Tool.Hideout  25-Mar-2004 12:48:28
E:\Documents and Settings\Schouw\Desktop\hacked\apje.exe    object could not be disinfected, execution interrupted by user  25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\cr.dll  OK  25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\nc.exe  is infected with a virus not-a-virus:RiskWare.RemoteAdmin.NetCat    25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\nc.exe  object could not be disinfected, execution interrupted by user  25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\occnet.dll  OK  25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\psisv.exe   is a modification of a backdoor Backdoor.HacDef.b   25-Mar-2004 12:48:30
E:\Documents and Settings\Schouw\Desktop\hacked\psisv.exe   object could not be disinfected, execution interrupted by user  25-Mar-2004 12:48:31
E:\Documents and Settings\Schouw\Desktop\hacked\rpcsvr.exe  packed  UPX 25-Mar-2004 12:48:31
E:\Documents and Settings\Schouw\Desktop\hacked\rpcsvr.exe  OK  25-Mar-2004 12:48:32
E:\Documents and Settings\Schouw\Desktop\hacked\svsys.dll   OK  25-Mar-2004 12:48:32
E:\Documents and Settings\Schouw\Desktop\hacked\svsys.exe   packed  UPX 25-Mar-2004 12:48:32
E:\Documents and Settings\Schouw\Desktop\hacked\svsys.exe   is infected with a virus not-a-virus:RiskWare.FTP.Serv-U.4103   25-Mar-2004 12:48:33
E:\Documents and Settings\Schouw\Desktop\hacked\svsys.exe   object could not be disinfected, execution interrupted by user  25-Mar-2004 12:48:34
E:\Documents and Settings\Schouw\Desktop\hacked\wr.dll  OK  25-Mar-2004 12:48:34

Zit dus nog wel wat undetected zut bij.
_{Ik ben atm te lui om dit iets minder layout verziekend te maken.}

offtopic:
Gezien het feit dat jij zo handig bent alles te passwordprotecten, mag je de volgende keer, mits die er komt natuurlijk, naar mijn tweakersadres mailen, aangezien dat veel handiger is

donderdag 25 maart 2004 12:56

Acties:

wildhagen

Blablabla

Topicstarter

Thanks. Weten we iig weer hoe en wat, en bedankt voor de moeite.

Ja, ik password-protect altijd alles. Anders krijg je altijd AV's die ergens tussen mijn en jouw ISP zitten die weer gaan ingrijpen enzo

Virussen? Scan ze hier!

donderdag 25 maart 2004 13:00

Acties:

Nowhereman

Ygenweis

@ Schouw: mag ik vragen welke tool jij gebruikt om die infecties te bepalen? Die log ziet er namelijk netjes uit.

-Pwn the day-

donderdag 25 maart 2004 13:01

Acties:

Verwijderd

Update: De dll files zijn info e.d. files, die niets doen zonder de andere componenten.
(Als je nog interesse hebt in een ServU key...)

Edit:
Ik gebruik de export optie van KAV5.

(Naar csv/txt file)

[ Voor 20% gewijzigd door Verwijderd op 25-03-2004 13:02 ]

donderdag 25 maart 2004 18:32

Acties:

Verwijderd

Nog een update

(maar nu van het Lab):

psisv.exe - new Backdoor, added to next update.
apje.exe - utility
cr.dll - text file
nc.exe - riskware (remote admin), detected by RISKWARE database
occnet.dll - ini file
svsys.dll - ini file
svsys.exe - RiskWare FTP Serv-U
wr.dll - text file
rpcsvr.exe - new Serv-U, will add to RISKWARE database

Pagina: 1

Reageer