[Backdoor] ADS Afcore variant * - Privacy en beveiliging

zaterdag 3 april 2004 18:56

Acties:

0 Henk 'm!

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Zo net kreeg ik een melding van Symantec Antivirus dat hij de "Bloodhound.Exploit.6 " gestopt had en de file in quarantaine gezet had. Sinds die tijd krijg ik van mijn personal firewall (Outpost Pro) de melding dat elk programma wat internet op wil een nieuwe component heeft en of ik dit wil goedkeuren. De nieuwe component heet "qjkxjlj.dll".

Als ik met regedit zoek vind ik ook verwijzingen naar dit bestand onder de run en runonce keys: rundll32 C:\WINDOWS\System32:qjkxjlj.dll,Init 1

Als ik deze keys verwijder staan ze er na verloop van tijd gewoon weer. Ik heb al een system scan gedaan en niets meer gevonden. Ook google en usenet vertellen met niets over qjkxjlj.dll. Op dit moment doet trend micro een "house call" hier maar tot nu toe ook zonder resultaat. Wie kan mij vertellen waar dit bestand vandaan komt en of het inderdaad een soort malware is? Hoe krijg ik deze troep weer weg? De quarantaine file is reeds gedelete.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 18:57

Acties:

0 Henk 'm!

Mike Jarod

Je weet het mailadres van Schouw

edit: heee ADS

[ Voor 24% gewijzigd door Mike Jarod op 03-04-2004 18:58 ]

zaterdag 3 april 2004 19:00

Acties:

0 Henk 'm!

wildhagen

Blablabla

Hé.... da's een ADS-virus... congrats... tijdje geleden dat ik die gezien heb.

Virussen? Scan ze hier!

zaterdag 3 april 2004 19:01

Acties:

0 Henk 'm!

Verwijderd

That's right MJ.

Dat wordt verplicht KAV gebruiken Bor.

Maar eerst even de spammachine stoppen..
In command prompt:

code:

1	rundll32.exe C:\WINDOWS\System32:qjkxjlj.dll, Uninstall

Dat zou het moeten doen, je moet een melding krijgen a la "AF removed".

Mail me even de link waar je dit bent tegengekomen als je die nog hebt aub.

zaterdag 3 april 2004 19:03

Acties:

0 Henk 'm!

wildhagen

Blablabla

Ik ben ook geinteresseerd in die link. Draai net sinds vandaag een beta-versie van McAfee 7.5, en die *zou* (afkloppen...) ADS-virussen ritueel moeten kunnen vernietigen, wil dat wel eens testen...

Virussen? Scan ze hier!

zaterdag 3 april 2004 19:04

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Removing AF from the system geeft ie aan. Dat klopt? ADS dus? waaraan kunnen jullie dat zo snel zien? Die dll was bij heel google niet bekend namelijk. Waarom is het verplicht KAV gebruiken voor dit virus? De link heb ik niet meer, het kwam van een of andere smerige popup. Wel kan ik melden dat het in de file "the-untold[1]" zat.

Iemand een linkje met info over dit virus?

[ Voor 49% gewijzigd door Bor op 03-04-2004 19:07 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 19:07

Acties:

0 Henk 'm!

wildhagen

Blablabla

Bor_de_Wollef schreef op 03 april 2004 @ 19:04:
Removing AF from the system geeft ie aan. Dat klopt? ADS dus? waaraan kunnen jullie dat zo snel zien? Die dll was bij heel google niet bekend namelijk.

Aan die "Init 1" in combinatie met rundll32. Zo worden ADS-virussen gestart.

En dat je in Google niks op die filename vind kan wel kloppen, die filename is @Random.

Waarom is het verplicht KAV gebruiken voor dit virus?

Omdat het voor zover ik weet één van de weinige is die ADS-virussen kent.

Wel kan ik melden dat het in de file "the-untold[1]" zat.

Kan je die eens mailen naar mij (adres: zie profile)? Bij voorbaat dank

[ Voor 13% gewijzigd door wildhagen op 03-04-2004 19:07 ]

Virussen? Scan ze hier!

zaterdag 3 april 2004 19:08

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

wildhagen schreef op 03 april 2004 @ 19:07:
[...]

Kan je die eens mailen naar mij (adres: zie profile)? Bij voorbaat dank

Die file is keihard door symantec geremoved. Sturen lukt helaas niet meer daardoor.

Iemand een linkje met info over dit virus?

[ Voor 8% gewijzigd door Bor op 03-04-2004 19:09 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 19:10

Acties:

0 Henk 'm!

Verwijderd

C:\WINDOWS\System32:qjkxjlj.dll,Init 1

Dubbele punt ipv backslash, ADS appended to folder.

Nouja, je kan misschien ook een 3rd party voor removal gebruiken, maar KAV is afaik de enige(bekende)AV die deze vorm van ADS-scanning ondersteunt.(Er zijn een aantal scanners die wel ADS appended to file ondersteunen, maar deze vorm niet).

Enige info zou érg fijn zijn, het zou een nieuwe variant kunnen zijn nml...
Dit is dus professioneel gemaakte malware, in opdracht van spammers.

Het doet dan ook eigenlijk niet veel anders dan spam versturen.

Edit:

Aan die "Init 1" in combinatie met rundll32. Zo worden ADS-virussen gestart.

Incorrect, die commando's hebben te maken met hoe(deze)afcore commando's verwerkt en het feit dat het om een dll file gaat.

Link naar write-up: http://www.viruslist.com/eng/viruslist.html?id=169606
F-Secure heeft er ook nog een.
Beide komen uit de tijd dat KAV nog geen full ADS support had(ook alleen appended to files).
Alleen de huidige build doet aan full ADS support atm.(En 5 natuurlijk)

[ Voor 32% gewijzigd door Verwijderd op 03-04-2004 19:13 ]

zaterdag 3 april 2004 19:13

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Ik ben KAV al aan het downloaden

De enige info die ik heb ik de registery entry en de filename uit mijn symantec log. De file zelf is al weg en ik heb de popup direct gesloten. Dat is dus balen.. Ik zal na het scannen met KAV eens kijken of ik nog meer info op kan duiken.

In die writeup staat dit "When the uninstall command is sent, the afcore virus uninstalls itself from the system registry and remaining only in the file stream and is no longer managed by the start system. To remove the afcore backdoor program from the file stream it is necessary to use a special utility. "

Welke special utility heb ik nodig, of is KAV afdoende?

Update: na het runnen van

rundll32.exe C:\WINDOWS\System32:qjkxjlj.dll, Uninstall

kom ik de filename niet meer tegen bij run en runonce. Wel vind ik een "pendingfilerenameoperations key met als data \??\C:\WINDOWS\System32:qjkxjlj.dll

te vinden via

Hkey_local_machine
System
Session manager

[ Voor 63% gewijzigd door Bor op 03-04-2004 19:20 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 19:58

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Update: druk aan het scannen met de trial van kasperky. Ik heb reeds het uninstall commando gegeven. Is er een vaste plek waar het virus zich installeerd? Ik lees dingen over temp en internet temporary files. KAV zal hem dus moeten detecteren?

Op viruslist kwam ik ook dit tegen:

Downloader.Win32.Harnig

This Trojan is written in Assembler.

Installation
Harnig copies itself as an .exe file and a .dll file with the same random name in the Windows directory. The .exe version is registered in the system registry auto-run key as:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
The Trojan also creates the following file in the Windows directory:
WININIT.INI
Malicious effects
Harnig downloads Backdoor.Afcore.aa from http//system.hoha.ru/x.pl?10 and launches it. Backdoor.Afcore.aa functions identically to Backdoor.Afcore.q

De wininit.ini file staat inderdaad in mijn windows directory. De contents:

code:

[rename]

[ Voor 61% gewijzigd door Bor op 03-04-2004 20:13 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 20:14

Acties:

0 Henk 'm!

Verwijderd

"C:\WINDOWS\System32:qjkxjlj.dll"
Hij zit dus in/aan \system32 dir.
Doe maar eens een on-demand scan van \system32, dan zul je(zeer waarschijnlijk)de virusmelding zo ongeveer direct krijgen.
Hij moet natuurlijk wel uptodate zijn.

Maar een full system scan is natuurlijk evengoed de beste optie.

zaterdag 3 april 2004 20:22

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

In een forumthread over dit virus lees ik:

"A little box will appear to tell you that it is Uninstalling AF. When you press OK, it should indeed be uninstalled, along with all evidence of it having been there. The temp file will be gone, the Run and RunOnce keys will be gone, and only the AFlooder registry entry will remain which you can kill at your leisure."

Ik heb het uninstall commando gegeven en kreeg inderdaad een popup dat de af werd geuninstalled. KAV vind ook helemaal niets in mijn system32 folder. Was het uninstall commando genoeg of zit ik in "deep shit"?

Zie ook deze thread: http://www.spywareinfo.co...owtopic=10456&hl=aflooder

Ik heb voor de scan KAV geupdate.

[ Voor 15% gewijzigd door Bor op 03-04-2004 20:25 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 20:27

Acties:

0 Henk 'm!

Verwijderd

Ik dacht dat juist alleen de file in ADS achterbleef..
Maar als KAV hem niet meer vindt, zal die dus toch verwijderd zijn, aannemende dat je 4.5.0.94 + laatste updates draait.

zaterdag 3 april 2004 20:28

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Inderdaad, 4.5.0.94 evaluation en de laatste updates (geupdate voor de scan). Alleen de file zou trouwens toch min of meer "harmless" zijn omdat ie niet meer gestart word?

[ Voor 38% gewijzigd door Bor op 03-04-2004 20:29 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 20:35

Acties:

0 Henk 'm!

Verwijderd

Bor_de_Wollef schreef op 03 april 2004 @ 20:28:
Inderdaad, 4.5.0.94 evaluation en de laatste updates (geupdate voor de scan). Alleen de file zou trouwens toch min of meer "harmless" zijn omdat ie niet meer gestart word?

Dat ook nog eens ja.

zaterdag 3 april 2004 20:37

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Wat ik op onderstaande forum las maakt me wel een beetje aan het schrikken:

That guy with the problem has a SPAM server installed ... and because he's using NTFS, he's got a REAL problem. It isn't in SYSTEM32.EXE, it's in the FOLDER "System32" ... the FOLDER ITSELF!

About all he can do is create a fast, SHORT little textfile in NOTEPAD ... maybe a line or two of junk. Save the file as a TEXT file, then save it to "tywsmhd.dll" in the SYSTEM32 folder by doing this PRECISELY:

(assuming that he saved it as UNTITLED.TXT as an example:

echo UNTITLED.TXT > :tywsmhd.dll

What that does is SAVE untitled.txt (which is SHORTER than the original) to the stearm as ":tywsmhd.dll" which will overwrite the offending code in there with a harmless text file. His ONLY other alternative is to nuke the machine.

These are particularly disturbing because the only way to get rid of them is to either overwrite them with less information (in which case a smaller or empty stream will still be attached), or delete the entire folder. How frustrating for those who have some malicious code attached to their windows folder! Only thing worse is SYSTEM32 and that's where his is. The only way to remove the streams, and keep the original folder/files intact, is to copy the them to a non-NTFS file system, delete the original, and then copy the them back. This will, however, destroy any streams that you did wish to keep.

[ Voor 69% gewijzigd door Bor op 03-04-2004 20:38 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 20:40

Acties:

0 Henk 'm!

wildhagen

Blablabla

Bor_de_Wollef schreef op 03 april 2004 @ 20:37:
Wat ik op onderstaande forum las maakt me wel een beetje aan het schrikken:

[...]

Ja, dat is nou juist het hele idee van ADS-virussen... ADS = Alternate Data Stream, en dat zit alleen in het NTFS-filesysteem.

Als je wel XP draait maar met FAT32 kan je dit dus ook niet oplopen, enkel als je NTFS hebt (maar ja, dat heeft natuurlijk het grootste deel...)

Virussen? Scan ze hier!

zaterdag 3 april 2004 20:41

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Het zit dus IN het filesysteem begrijp ik. Hoe gaat KAV hier dan mee om, maw hoe detecteren ze het virus en zal het worden verwijderd?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 20:43

Acties:

0 Henk 'm!

Verwijderd

Bor_de_Wollef schreef op 03 april 2004 @ 20:41:
Het zit dus IN het filesysteem begrijp ik. Hoe gaat KAV hier dan mee om, maw hoe detecteren ze het virus en zal het worden verwijderd?

Je kunt er dus op scannen, dit maakt de scanner dus wel trager..
Ik zal eens wat testen met een afcore.q sample, maar Kevin heeft nog wel eens de neiging om te overdrijven..

zaterdag 3 april 2004 20:46

Acties:

0 Henk 'm!

CrashOne

oOoOoOoOoOoOoOoOoOo

Kan iemand mij uitleggen hoe dit virus precies werkt en van welke fouten het gebruik maakt?

Had hier nl nog nooit van gehoord.

Meer info gevonden:
http://patriot.net/~carvdawg/docs/dark_side.html

[ Voor 23% gewijzigd door CrashOne op 03-04-2004 20:49 . Reden: linkje ]

Huur mij in als freelance SEO consultant!

zaterdag 3 april 2004 20:49

Acties:

0 Henk 'm!

Verwijderd

Het maakt gebruik van de 'fouten' van MS om dit niet veiliger te maken.

Zoek verder eens via de GoT search op afcore, want dit is niet bepaald het eerste topic hierover.

Edit: Bij Afcore.q wordt de file an sich dus niet removed, KAV alarmeert er nog steeds op na removal..
Hmm, in de tussentijd even gereboot en opnieuw laten scannen: niets meer.
Duurt dus even.

Nu eens kijken of de stream ge-edit of weg is.

[ Voor 42% gewijzigd door Verwijderd op 03-04-2004 20:57 ]

zaterdag 3 april 2004 20:54

Acties:

0 Henk 'm!

wildhagen

Blablabla

Hier staat ook aardig wat info over ADS: http://www.heysoft.de/Frames/f_faq_ads_en.htm

Virussen? Scan ze hier!

zaterdag 3 april 2004 21:02

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Edit: Bij Afcore.q wordt de file an sich dus niet removed, KAV alarmeert er nog steeds op na removal..
Hmm, in de tussentijd even gereboot en opnieuw laten scannen: niets meer.
Duurt dus even

Je bedoelt dat je na rebooten niets meer terug vind, of een poosje na het "uninstall" commando?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 21:05

Acties:

0 Henk 'm!

Verwijderd

Zelfs met "streams" van Sysinternals heb je de mogelijkheid om streams echt te deleten..
Het is jammer dat Kevin af en toe echt BS zit te praten, dan weet je niet echt meer wat je nu moet geloven en wat niet.

Maar met zijn 'stijl' krijg je wel veel 'volgelingen'...

Edit:

Je bedoelt dat je na rebooten niets meer terug vind, of een poosje na het "uninstall" commando?

Misschien dat ik niet lang genoeg heb gewacht, 10 seconden ofzo, maar was wel in vmware..
Ik ga er iig vanuit dat het ding weg is aangezien KAV niets meer vindt.
Als je heel para bent kun je ook nog even met streams je system32 dir scannen.

[ Voor 41% gewijzigd door Verwijderd op 03-04-2004 21:07 ]

zaterdag 3 april 2004 21:09

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Verwijderd schreef op 03 april 2004 @ 21:05:
Als je heel para bent kun je ook nog even met streams je system32 dir scannen.

Natuurlijk ben ik heel para

Hoe gaat dat scannen met streams in zijn werk. Die tool ken ik nog niet namelijk.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 21:13

Acties:

0 Henk 'm!

Verwijderd

Bor_de_Wollef schreef op 03 april 2004 @ 21:09:
[...]

Natuurlijk ben ik heel para Hoe gaat dat scannen met streams in zijn werk. Die tool ken ik nog niet namelijk.

Even downloaden van sysinternals.
Dan runnen via command prompt, het legt zichzelf zo ongeveer uit, mocht je er alsnog niet uitkomen: just holar.

zaterdag 3 april 2004 21:19

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Holar!

Ik kan dus met die tool de streams doorzoeken maar dan moet ik een search string weten. Moet ik hiervoor gewoon de filename pakken, dus qjkxjlj ?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 21:22

Acties:

0 Henk 'm!

Verwijderd

Je moet de directorie op de stream scannen.

code:

1	streams.exe C:\WINDOWS\System32

Die doet de trick.

zaterdag 3 april 2004 21:27

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

Dan krijg ik alleen een "streams 1.5 , copyright, sysinternals" achtige melding en hij is direct klaar. Da's dan ok of moet het / ik nog meer doen? Wat krijg je te zien als ie wel wat vind?

Als ik dit doe:streams.exe -s C:\WINDOWS\System32

code:

C:\temp\streams>streams.exe  -s C:\WINDOWS\System32

Streams v1.5 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

Failed to open C:\WINDOWS\System32\config\default: The process cannot access the
 file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\default.LOG: The process cannot access
 the file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\SAM: The process cannot access the fil
e because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\SAM.LOG: The process cannot access the
 file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\SECURITY: The process cannot access th
e file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\SECURITY.LOG: The process cannot acces
s the file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\software: The process cannot access th
e file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\software.LOG: The process cannot acces
s the file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\system: The process cannot access the
file because it is being used by another process.

Failed to open C:\WINDOWS\System32\config\system.LOG: The process cannot access
the file because it is being used by another process.


C:\temp\streams>

[ Voor 83% gewijzigd door Bor op 03-04-2004 21:29 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 21:30

Acties:

0 Henk 'm!

0xDEADBEEF

En Bor is niet de enige meer

0xDEADBEEF in "100 portscans in 2 dagen"

_{Actual post staat ietsje verder}

[ Voor 23% gewijzigd door 0xDEADBEEF op 03-04-2004 21:31 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

zaterdag 3 april 2004 21:30

Acties:

0 Henk 'm!

Verwijderd

Bor_de_Wollef schreef op 03 april 2004 @ 21:27:
Dan krijg ik alleen een "streams 1.5 , copyright, sysinternals" achtige melding en hij is direct klaar. Da's dan ok of moet het / ik nog meer doen? Wat krijg je te zien als ie wel wat vind?

Mooi, dan is er geen stream.

code:

C:\Documents and Settings\Schouw\Desktop\streams>streams c:\winnt\system32

Streams v1.5 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\winnt\system32:
     :osqsyon.dll:$DATA 113152

Zoiets krijg je dus te zien als er wel een stream is.

Edit:
Bor, nogmaals voor de duidelijkheid: u is clean.

[ Voor 5% gewijzigd door Verwijderd op 03-04-2004 21:33 ]

zaterdag 3 april 2004 22:06

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Topicstarter

0xDEADBEEF schreef op 03 april 2004 @ 21:30:
En Bor is niet de enige meer

0xDEADBEEF in "100 portscans in 2 dagen"

_{Actual post staat ietsje verder}

Is er een opleving van deze malware? Ik werd net door een kennis gebeld met precies hetzelfde verhaal

Edit:
Bor, nogmaals voor de duidelijkheid: u is clean.

Thanks! Bedankt voor de goede hulp allemaal!

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 april 2004 22:11

Acties:

0 Henk 'm!

Verwijderd

Edit even een van je posts als je wil dat ik er eentje trash, er lijkt wat mis te gaan.
Vraag aan hem eens of hij een vage site heeft bezocht?
Ik ben érg geïnteresseerd in een link, de authoriteiten ook..

zaterdag 3 april 2004 22:50

Acties:

0 Henk 'm!

Verwijderd

Agnostic, ik verplaats je post naar je eigen topic, dat is stúkken handiger.
Aangezien Bor zijn probleem opgelost is, gooi ik deze op slot zodat er niet nog meer mensen in het 'verkeerde' topic kunnen posten.

Pagina: 1

Dit topic is gesloten.