[malware] start.chm wordt niet gevonden door scanners* - Privacy en beveiliging

vrijdag 9 april 2004 15:13

Acties:

0 Henk 'm!

Maybe we were born to run

Topicstarter

Er is weer een nieuwe browser-hack/ trojan, die dit keer bijzonder lastig is:

* ad-aware, Spybot en Hijack this kunnen deze niet vinden en wat ze vinden (veranderde startpagina) komt na verwijdering telkens weer terug

* In de system-processen valt er niets van terug te vinden

Oftewel, ik heb nog geen flauw benul hoe dat ding definitief te verwijderen.

De kenmerken zijn:

- aangepasten startpagina naar
mk@MSITStore:C:\WINDOWS\start.chm:/start.html
- in de windowsdirectory de files start.chm, start.html en command.pif
- in de temp directory een XXXX.bat bestand met telkens een verschillende naam
- in de Temp internet files het bestand acces.exe, dat telkens gedownload wordt.

Ik ben er uiteindelijk achter gekomen dat de lokatie waarvandaan telkens het bestand (dat ik daarvoor al 10 keer verwijderd had) wordt gedownload is main.tibssystems.com
Deze heb ik dan ook maar toegevoegd aan mijn hosts bestand, zodat dat niet meer kan gebeuren. Helaas heb ik nog nergens in m'n register oid een verwijzing kunnen vinden hiernaar.

Wie weet krijgen anderen hier ook nog mee te maken, dan is er in ieder geval een tijdelijke oplossing totdat ad-aware of spybot dit aanpakt.

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 15:31

Acties:

0 Henk 'm!

wildhagen

Blablabla

Hmm... zou je mij die genoemde files gezipped willen mailen (adres in profile)? Ben wel benieuwd, kan op geen enkele AV-site hiervan iets vinden...

Virussen? Scan ze hier!

vrijdag 9 april 2004 15:35

Acties:

0 Henk 'm!

pasta

Ondertitel

Op een duits forum waar ik op uitkwam na het zoeken op start.chm, stond zowiezo al de tip om alle updates van Windows Update uit te voeren. Dus daar kan je al mee beginnen.
Ahh, iets doorgelezen.. Ik was de thread nog aan het doorlezen nu ik dit aan het typen ben. Het blijkt een bug te zijn van IE (wanneer niet

). Probeer TrojanCheck es uit te voeren, AS-Viewer uit te voeren.
Daarbij hoop ik ook dat MS deze bug zo gauw mogelijk fixt, want als ik het met HiJack This en Google niet opgelast krijg is het wel een heel hardnekkige.

Signature

vrijdag 9 april 2004 15:46

Acties:

0 Henk 'm!

Verwijderd

Ik wil die files ook graag zien.
Zie sig voor mail.

vrijdag 9 april 2004 15:48

Acties:

0 Henk 'm!

Buzz_Lightyear

To infinity and beyond!

Maak ik voor de zekerheid toch maar een cross link
Cert.org (tijdelijke) oplossing Topic 899067

An Explanation of l33t Speak

vrijdag 9 april 2004 15:50

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Post voor de zekerheid ook nog even je Hijackthis log - een 2e (en 3e

) oog kan nooit kwaad

vrijdag 9 april 2004 16:01

Acties:

0 Henk 'm!

pasta

Ondertitel

Hier overigens een link naar de draad waar ik die info heb gevonden. Dan ook nog dit voor een gerarde versie van die start.html en start.chm. En last but not least, een screenshot van de aangepaste startpagina.

Signature

vrijdag 9 april 2004 16:03

Acties:

0 Henk 'm!

Rudedadude

Maybe we were born to run

Topicstarter

Ik zal even weer de host verwijzing verwijderen dan heb ik ze zo weer binnen. BRB

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 16:05

Acties:

0 Henk 'm!

Miki

Onder welke categorie moet ik dit geval zien? Spyware of een trojaan?

In iedergeval ik ga ze submitten naar Panda, kijken wat hun er mee doen.

vrijdag 9 april 2004 16:06

Acties:

0 Henk 'm!

pasta

Ondertitel

Miki schreef op 09 april 2004 @ 16:05:
Onder welke categorie moet ik dit geval zien? Spyware of een trojaan?

In iedergeval ik ga ze submitten naar Panda, kijken wat hun er mee doen.

Spyware, adware, misschien trojan en ook een exploit.

Signature

vrijdag 9 april 2004 16:07

Acties:

0 Henk 'm!

wildhagen

Blablabla

Miki schreef op 09 april 2004 @ 16:05:
Onder welke categorie moet ik dit geval zien? Spyware of een trojaan?

Trojan Horse lijkt mij persoonlijk

In iedergeval ik ga ze submitten naar Panda, kijken wat hun er mee doen.

Heb het net gesubmit naar NAI, kijken wat ze ermee kunnen

Virussen? Scan ze hier!

vrijdag 9 april 2004 16:36

Acties:

0 Henk 'm!

Rudedadude

Maybe we were born to run

Topicstarter

Bij het verwijderen van mijn hosts-verwijzing kwam de trojan tot nu toe niet terug. Ook het posten van een hijack log heeft weinig zin, want daar staat niets tussen (en ik weet ondertussen waarnaar ik kijk) In aanvulling op het Duitse forum heb ik alleen nog de command.pif die aangmaakt werd bij mij en het .bat bestandje uit mijn temp folder. het access.exe bestand viel niet meer terug te vinden omdat ik gelijk alle folders uit mijn TIF had gewist.

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 16:45

Acties:

0 Henk 'm!

Rudedadude

Maybe we were born to run

Topicstarter

Ik bekeek net even de .bat bestandjes die ik opgestuurd heb: die zijn helaas beschadigd, er zat nu een andere inhoud in. Oorspronkelijk zag het eruit als een soort test om te kijken of alles goed gegaan was. Sorry, duidelijk kan ik het ook niet maken, het waren maar een paar regeltjes tekst.

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 16:53

Acties:

0 Henk 'm!

fcs

Rudedadude schreef op 09 april 2004 @ 16:45:
Ik bekeek net even de .bat bestandjes die ik opgestuurd heb: die zijn helaas beschadigd, er zat nu een andere inhoud in. Oorspronkelijk zag het eruit als een soort test om te kijken of alles goed gegaan was. Sorry, duidelijk kan ik het ook niet maken, het waren maar een paar regeltjes tekst.

heb je enige iedee hoe die je pc is binnen gekomen?
(via site, wazer download ect?)

vrijdag 9 april 2004 16:59

Acties:

0 Henk 'm!

Rudedadude

Maybe we were born to run

Topicstarter

fcs schreef op 09 april 2004 @ 16:53:
[...]

heb je enige iedee hoe die je pc is binnen gekomen?
(via site, wazer download ect?)

Via een site. Welke zou ik niet kunnen vertellen, maar het is zeker geen warez-download. Ook geen ja/of nee klikken en ik had de protect van spybot en een tamelijk uitgebreide hosts-file aanstaan. Opvallend is trouwens wel dat de site waar het vandaan komt tibssystems niet direct, maar wel in aangepaste vormen al voorkwam in mijn hostsfile (tibsystem, tibssystems, etc. )

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 17:12

Acties:

0 Henk 'm!

Verwijderd

Ik zou toch graag eens een HT log willen zien.(Tussen [code tags svp)
Volgens het lab gebeurt er niets meer dan startpage veranderen, niets mbt. het downloaden van zut dus.

vrijdag 9 april 2004 17:20

Acties:

0 Henk 'm!

Rudedadude

Maybe we were born to run

Topicstarter

Verwijderd schreef op 09 april 2004 @ 17:12:
Ik zou toch graag eens een HT log willen zien.(Tussen [code tags svp)
Volgens het lab gebeurt er niets meer dan startpage veranderen, niets mbt. het downloaden van zut dus.

Deze had ik gemaakt nadat ik de homepageverwijzingen binnen IE met HT net had verwijderd en voordat ze dus weer terug kwamen.

code:

Logfile of HijackThis v1.97.7
Scan saved at 12:53:55, on 4/9/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\CPUIDLE\CPUIDLE.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAM FILES\TWEAKNOW POWERPACK\RAM_98.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\HARDMULE2004 W13\EMULE.EXE
C:\PROGRAM FILES\AVANT BROWSER\IEXPLORE.EXE
D:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = mijn naam
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O1 - Hosts: 209.183.131.91 i # inscriber.com
O1 - Hosts: 66.35.250.150 s # slashdot.org
O1 - Hosts: 216.239.39.99 g # google.com
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\PROGRA~1\POPUPP~1\POPLIB.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1043,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [CpuIdle] C:\PROGRAM FILES\CPUIDLE\CPUIDLE.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Program Files\TweakNow PowerPack\RAM_98.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Toevoegen aan Reclame Black List - C:\PROGRAM FILES\AVANT BROWSER\AddToADBlackList.htm
O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - C:\PROGRAM FILES\AVANT BROWSER\AddAllToADBlackList.htm
O9 - Extra button: PopupPopper Control Panel (HKLM)
O9 - Extra button: SURFkit (HKCU)
O9 - Extra button: Student (HKCU)
O11 - Options group: [TOEGANKELIJKHEID] Toegankelijkheid
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.google.nl
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38026.3814699074

Misschien is het handig op zoek te gaan naar iemand die het probleem nog wel heeft, want ik kan het zelfs niet meer oproepen. Ik zal eens op een ander forum vragen of iemand dat access.exe bestand kan mailen. Wie weet helpt dat nog wat.

Meer hardloopschoenen van Topo Athletic, Inov-8, Altra, Mizuno en Skechers dan Imelda Marcos.

vrijdag 9 april 2004 17:23

Acties:

0 Henk 'm!

wildhagen

Blablabla

edit: lama, zat mijn hoofd elders...

[ Voor 98% gewijzigd door wildhagen op 09-04-2004 17:25 ]

Virussen? Scan ze hier!

vrijdag 9 april 2004 17:51

Acties:

0 Henk 'm!

Verwijderd

Log lijkt er goed uit te zien.
Zo'n access.exe zou wel fijn zijn ja.

FYI:

Ok. Detection as Trojan.HTML.StartPage.e already been added.

Nouja, zit in bases die om 8 uur gereleased worden.

zaterdag 10 april 2004 11:39

Acties:

0 Henk 'm!

Miki

Mailtje terug gehad van Panda: het gecomprimeerde rar bestand met de bestanden start.chm en start.htm waren virus vrij volgens panda en vormden geen bedreiging.

maandag 26 april 2004 22:06

Acties:

0 Henk 'm!

hayate666

zwaardfetisjist

Ik heb dit probleem ook sinds een week. Het helpt tijdelijk om dat bestandje start.chm weg te gooien. Toch komt het na 1 of 2 dagen vanzelf weer terug. Met virusscans is er geen Trojan te vinden verder.

Bij mij stond echter wel in mijn HT log een verwijzing naar een mkstore regel in het register. Ik heb HT dat dan ook laten verwijderen en dit heeft ook maar tijdelijk gewerkt. Verder heb ik er Regcleaner overheen gegooid na een virus scan, een ad-aware scan en een HT scan en alle fouten in het register verwijderd. Ook daarna kwam het na een tijdje weer terug. (wel na meerdere reboots pas)

Misschien is voor een van jullie dit een idee waar het probleem verder kan zitten?

edit: na een nieuwe scan van Trend Micro online is er wel een Trojan gevonden, namelijk de variant: TROJ_HOOKER.B
Misschien kan de topic starter ook eens proberen hiermee te scannen?

[ Voor 16% gewijzigd door hayate666 op 26-04-2004 22:12 ]

As it turned out, the stone was mightier than both the sword and the pen

Pagina: 1

Reageer