[Malware] MS04-011 related symptomen - mogelijk Sasser - Privacy en beveiliging

zondag 2 mei 2004 15:05

Acties:

ooh-la dots

ik heb hier 2 bakken (van moeders en zus) met de symptomen maar noch de tool noch een geupdate Norton of Mccafe vindt hem... Ook de handmatige optie klopt niet voor mij; ik kan de bestanden die genoemd worden niet vinden... Zou het kunnen dat er alweer varianten zijn ? Ik heb gekeken in taakbeheer naar weirde processen maar niks gevonden. FxSasser.exe vindt hem hier dus niet en de nieuwste definities van NOrton en Mccafe kunnen hem ook niet ontdekken. VErder heb ik heel mijn Winnt map doorgezocht en elk verdacht .exe bestandje gecheckt maar nog steeds geen resultaat

Ik zal straks de Hijackfile even posten van bak A.

zondag 2 mei 2004 15:06

Acties:

wildhagen

Blablabla

Under-world: zou idd best een nieuwe variant kunnen zijn ja.

Ik wacht even op je HijackThis-log, dan weten we het pas zeker denk ik

Virussen? Scan ze hier!

zondag 2 mei 2004 15:15

Acties:

under-world

ooh-la dots

Logfile of HijackThis v1.97.7
Scan saved at 15:16:53, on 2-5-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Administrator\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Poort voor Symantec Fax Starter Edition.lnk = C:\Program Files\Microsoft Office\Office\1043\OLFSNT40.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedi...wave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft...-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.m...uctl.CAB?38015.7313541667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedi...ve/cabs/flash/swflash.cab

Dit is de log van Bak A. Hier staat Norton op met de nieuwste virusdef. daarnaast Stinger gedraaid en de Sassertool. Nog geen resultaat, ben nu ook even spybot aan het runnen.

edit:
Spybot vond geen enkele bot. De symptomen (afsluitvenster) doen zich BTW niet meer voor op deze bak

[ Voor 4% gewijzigd door under-world op 02-05-2004 15:17 ]

zondag 2 mei 2004 15:38

Acties:

under-world

ooh-la dots

Op de mainpage staan ook wat aanvullingen. Ik zal eens checken of ik iets kan met de bestanden die daar genoemd worden maar die aan die Log zie ik weinig raars.... nieuws: Sasser-worm gaat Blaster wellicht achterna

edit:
IK heb nog een vraag BTW.. Als ik patch klopt het dan dat het virus zich niet meer manifesteert/lsass.exe laat crashen ??

[ Voor 26% gewijzigd door under-world op 02-05-2004 15:40 ]

zondag 2 mei 2004 15:47

Acties:

under-world

ooh-la dots

me too daar gaat mijn vrije zondag weer...

Ik doe op bak B ook nu een schone install omdat die install al zo gedateerd is en ik geen zin heb nog uren te zoeken en volgende week weer hetzelfde verhaal natuurlijk.) Op beide systemen draaide win2000 met sp4. Is het trouwens misschien beter om winXP te installeren ivm de firewalloptie om deze virussen/wormen te weren ? Op mijn eigen bakken achter een router met portforwarding/blocking heb ik geen last.. maakt dit wat uit of crash XP met firewallfunctie aan er ook op ? -Beide infected bakken zijn direct op een ADSLmodem aangesloten.-

edit:
Nog een vraag.. Ik heb de geinfecteerde bakken meegenomen naar mijn huis en aan de router gehangen. Ik heb geen virussen gevonden met tal van tools en de symptomen doen zich niet meer voor. Zou het kunnen dat het verschil in aansluiting (via router ipv direct op modem) ervoor zorgt dat het virus niet meer actief is ?

[ Voor 23% gewijzigd door under-world op 02-05-2004 15:50 ]

zondag 2 mei 2004 16:42

Acties:

Verwijderd

Topicstarter

Relevante posts uit [rml][ High Alert] Agobot/hacker/Sasser Frenzy - Patch uw bak![/rml] naar apart topic gemoved.

zondag 2 mei 2004 16:54

Acties:

ParaNoiMia

Ok, ik ben net recovered van hetzelfde probleem als de TS.

Ik heb vorige week KB835732 gedeinstalleerd vanwege diverse crashes van Windows onderdelen na het aanbrengen van de patch.

Kom net thuis, ik hoor mn pc rebooten, nadat deze weer up is binnen 2 minuten weer een geforceerde reboot door c:\winnt\system32\lsass.exe (melding door System autority).

Geen avserve.exe of avserve2.exe te ontdekken.

Eerst met veilige modus zonder netwerk opgestart, registry nagekeken, maar niets verdachts te vinden.

Vervolgens alle files doorzocht op mn schijf met een wijziging van vandaag, niets verdachts gevonden.

Daarna in veilige modus gestart met netwerk, direct naar Windows Update en
KB835732 geinstalleerd, na de reboot geen probleem meer.

Net even online met McAffee gescanned, maar die vind niets meer.

Vraag voor mij is toch of het systeem nu veilig is of niet.

zondag 2 mei 2004 17:11

Acties:

under-world

ooh-la dots

Voor mij dus idem. Exact hetzelfde als bij jou. Ik twijfel ook nog steeds of die bak nu echt schoon is, maar het lijkt er wel op. Ik vraag me af of die patch ervoor kan zorgen dat het virus zich niet meer manifesteert of is te detecteren/verwijderen... Bizar ditte

edit:
TX voor het afsplitsen van het topic Schouw

Update: Bak A lijkt safe.. Na het installeren van de patches doen zich geen probs meer voor.
Gescand met Sassertool van Symantec- Norton AV en Mccafe (beide 100% uptodate)

HAndmatige optie van Mccafe nagekeken geen bestanden te vinden met in de titel "avserve" of rare .Exe's met getallen en _up aan het eind.

GEscand met de nieuwste Stinger.exe

Vanavond gaat de bak weer terug naar de eigenaar (zus). Mochten de symptomen weer terugkomen dan zal ik dat melden...

[ Voor 54% gewijzigd door under-world op 02-05-2004 17:20 ]

zondag 2 mei 2004 17:16

Acties:

ParaNoiMia

In veilige modus had ik ook nog met Stinger gescanned (versie van afgelopen vrijdag), vond niets. En ik ben nog bezig met de Symantec Sasser Fix Tool, maar tot nu toe niets gevonden.

Hijackthis ook niets vreemds te zien, firewall (BlackIce) gisteren nog geupdate nav het topic van Schouw, daar zie ik 1 LSASS block in staan.

Vooralsnog ga ik er maar even van uit dat hij veilig is, straks nog even mn firewall logs doorworstelen.

zondag 2 mei 2004 17:22

Acties:

under-world

ooh-la dots

@Paranoimia

Draai jij ook win2000 ?? (Misschien dat het daarin zit dat de tools hem niet vinden

)

zondag 2 mei 2004 17:30

Acties:

Verwijderd

hier onder XP op mijn bakken: alle symptomen, niets te vinden met de sasser remove tool

op mijn 2k bakken ook al niet... ook alle symptomen.

[ Voor 24% gewijzigd door Verwijderd op 02-05-2004 17:33 ]

zondag 2 mei 2004 17:30

Acties:

under-world

ooh-la dots

ok dan hebben we dat iig uitgesloten en begint het steeds meer op een variant te lijken....

zondag 2 mei 2004 17:43

Acties:

ParaNoiMia

under-world schreef op 02 mei 2004 @ 17:22:
@Paranoimia

Draai jij ook win2000 ?? (Misschien dat het daarin zit dat de tools hem niet vinden )

Ik draai Win2000 server idd

zondag 2 mei 2004 17:49

Acties:

Verwijderd

under-world schreef op 02 mei 2004 @ 17:30:
ok dan hebben we dat iig uitgesloten en begint het steeds meer op een variant te lijken....

jepz nu wordt het wachten op een oplossing die onze systemen cleaned

zondag 2 mei 2004 20:38

Acties:

justmental

my heart, the beat

Bij bekenden van mij treedt hetzelfde op als bij ParaNoiMia & under-world.
Voor de fix geen problemen, na de fix lsass foutmeldingen en reboots.
Geen gekke dingen in hklm\...\run, geen gekke processen en niks van sasser te vinden (door de tool van symantec).

Ik heb het vermoeden dat de update niet goed werkt op alle machines, misschien zijn ze een prerequisite vergeten?

Who is John Galt?

zondag 2 mei 2004 20:42

Acties:

crisp

Devver

Pixelated

de fix is buggy, en ook IPsec uitschakelen biedt niet altijd soelaas (bij mij tenminste niet)...

Intentionally left blank

zondag 2 mei 2004 22:32

Acties:

DutchTSE

mijn server heeft zelfde probs, lssas.exe crashed meeste keren voordat ik patch/scan heb kunnen uitvoeren. Heb na 30 keer rebooten eindelijk beide patches geinstalled gekregen, nu fix aan ut runnen, en daarna van inet gehaald, hoop dat ut lukt (moet via remote admin dus kan hem er niet afhalen voordat fix runt

)

maandag 3 mei 2004 00:34

Acties:

crisp

Devver

Pixelated

DutchTSE schreef op 02 mei 2004 @ 22:32:
mijn server heeft zelfde probs, lssas.exe crashed meeste keren voordat ik patch/scan heb kunnen uitvoeren. Heb na 30 keer rebooten eindelijk beide patches geinstalled gekregen, nu fix aan ut runnen, en daarna van inet gehaald, hoop dat ut lukt (moet via remote admin dus kan hem er niet afhalen voordat fix runt )

1 woord: firewall

het is eigenlijk triest dat het zover heeft moeten komen dat je tegenwoordig als thuisgebruiker al zoiets nodig hebt...

Intentionally left blank

woensdag 5 mei 2004 09:38

Acties:

activeX1

Werd gisteren ook gebeld met dit probleem: geen enkele bestanden te vinden die door sasser gebruikt worden. Ik heb hem maar de patch laten installeren, in de hoop dat het voorbij was. Ik heb nog geen reactie ontvangen van die klant. Vreemd dat geen van de removal tools dit virus kunnen vinden...

woensdag 5 mei 2004 10:00

Acties:

Verwijderd

Topicstarter

[rml][ XP/2K] LSASS.EXE foutmelding? Lees dit![/rml]
Mogelijk een Agobot dus, wat een stuk vervelender is dan gewoon Sasser.

woensdag 5 mei 2004 10:49

Acties:

Verwijderd

Verwijderd schreef op 05 mei 2004 @ 10:00:
[rml][ XP/2K] LSASS.EXE foutmelding? Lees dit![/rml]
Mogelijk een Agobot dus, wat een stuk vervelender is dan gewoon Sasser.

Ik had ook zo een foutmelding, maar had geen agobot ofzo.

[ Voor 4% gewijzigd door Verwijderd op 05-05-2004 10:49 ]

woensdag 5 mei 2004 10:54

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 05 mei 2004 @ 10:49:
[...]

Ik had ook zo een foutmelding, maar had geen agobot ofzo.

Wat dan?

woensdag 5 mei 2004 11:05

Acties:

k-oz

do not feed the trolls

Volgens mij kan de infectie niet plaatsvinden omdat lokale accounts wachtwoorden bevatten. De systemen worden alleen herstart als deze van buiten wordt 'gestoken' door een 'sasser' pakketje... de daadwerkelijke infectie vindt dus niet plaats. Klopt het dat een ieder die hier post met de symptomem een goed wachtwoord gebruikt?

...Microsoft KB article Q172653: "Sometimes Barney Starts Playing Peeka boo on His Own""

woensdag 5 mei 2004 11:13

Acties:

Verwijderd

Verwijderd schreef op 05 mei 2004 @ 10:54:
[...]

Wat dan?

Geen flauw idee, ik denk dat ik gewoon van buiten af werd aangevallen. Had toen geen firewall.

woensdag 5 mei 2004 11:19

Acties:

under-world

ooh-la dots

k-oz schreef op 05 mei 2004 @ 11:05:
Volgens mij kan de infectie niet plaatsvinden omdat lokale accounts wachtwoorden bevatten. De systemen worden alleen herstart als deze van buiten wordt 'gestoken' door een 'sasser' pakketje... de daadwerkelijke infectie vindt dus niet plaats. Klopt het dat een ieder die hier post met de symptomem een goed wachtwoord gebruikt?

Ikke wel en ik zat zelf ook al een beetje in die richting te denken omdat de syptomen na patchen als sneeuw voor de zon verdwenen. De problemen begonnen afgelopen za met die Sasseruitbraak. MIJn zus kreeg 3 of 4 x die herstart onregelmatig dat wel. Bijvoorbeeld de eerste keer na 1 uur 2e keer 5min, 3e keer 2 uur etc... BIj de geinfecteerde bak van mij ma kwam ik niet goed meer in Windows en deze crashde ook consequent elke keer zodra ik Inet opging... ER was dus wel een verschil in heftigheid en frequentie van de symptomen...

edit:
Omdat ik niks heb gevonden en de PC het nu weer prima doet (klop, klop

) ga ik er vooralsnog vanuit dat zij niet bemet is geraakt met SAsser maar dat de uitbraak haar bak liet crashen of toch een Agobot verantwoordelijk was voor de sypmtomen. HEt is nog even afwachten of zich nog iets op die bak voor gaat doen...

[ Voor 22% gewijzigd door under-world op 05-05-2004 11:23 ]

woensdag 5 mei 2004 12:35

Acties:

ParaNoiMia

Op het moment dat ik de reboot symptomen had, draaide mijn firewall wel.
Ik heb mn firewall eerst getest op grc.com, daarna heb ik Retina gedownload en daarmee intern gescanned en vervolgens iemand anders van buitenaf laten portscannen. Naar mijn idee staan alleen de poorten open die open mogen staan, waar voor zover ik weet Sasser niet op mikt (80,21,110,23,3000 en 2064).

Ik ben gisteravond de hele avond met de 5 pc's in mn netwerk bezig geweest en heb ze gescanned met een scanner van Trend Micro, om uit te sluiten dat mijn servertje van intern uit het probleem kreeg (ze draaien allemaal een up-to-date virusscanner). Ik heb op 1 pc 2 trojan downloaders gevonden, deze waren echter niet aktief, maar achtergebleven na een Hijackthis aktie. Op geen van de PC's is een Agobot gevonden of een ander virus dat het veroorzaakt zou kunnen hebben. Alle andere pc's waren clean volgens de scanner, ik heb ook geen vreemde processen gezien met ProcessExplorer (van Sysinternals).

Ik vernam gisteren wel van iemand dat een Sasser (of Agobot) ook via Email binnen zou kunnen komen en direct aktief kan worden, zonder het openen van de email of de bijlage. Op de server draait ook een mailserver, maar met geintegreerde virusscanner. Zou het toch zo kunnen zijn, dat als een mail met een Agobot bv in de mailserver binnen komt, deze toch aktief kan worden (bv omdat de definities van de virusscanner in de mailserver nog niet bijgewerkt waren voor een variant) ?

woensdag 5 mei 2004 13:05

Acties:

Verwijderd

Topicstarter

Ik zou voor Agobot-detectie dus niet puur en alleen op een AV afgaan.
Er zijn maar een beperkt aantal AVs met een goede (generic)Ago-detectie en zelfs die missen toch met enige regelmaat een Ago.

Het rebooten gebeurt omdat door de buffer overflow(die dmv. tcp 445 plaatsvindt) lsass.exe crasht.
Nadat de Agobot zichzelf heeft gemanifesteerd _hoef_ je er nooit meer wat van te merken...
Ik vind de grote terughoudendheid van relatief veel mensen mbt. het grondig checken van hun systeem dan ook ontzettend bedroevend.

Ik vernam gisteren wel van iemand dat een Sasser (of Agobot) ook via Email binnen zou kunnen komen en direct aktief kan worden

Niet tenzij de sample er opzettelijk bij is gevoegd..

woensdag 5 mei 2004 13:21

Acties:

Verwijderd

Verwijderd schreef op 05 mei 2004 @ 13:05:
Ik zou voor Agobot-detectie dus niet puur en alleen op een AV afgaan.
Er zijn maar een beperkt aantal AVs met een goede (generic)Ago-detectie en zelfs die missen toch met enige regelmaat een Ago.

Het rebooten gebeurt omdat door de buffer overflow(die dmv. tcp 445 plaatsvindt) lsass.exe crasht.
Nadat de Agobot zichzelf heeft gemanifesteerd _hoef_ je er nooit meer wat van te merken...
Ik vind de grote terughoudendheid van relatief veel mensen mbt. het grondig checken van hun systeem dan ook ontzettend bedroevend.

[...]

Niet tenzij de sample er opzettelijk bij is gevoegd..

Mijn firewall heeft nog niet aangegeven dat een (voor mij) onbekend programma verbinding met het internet wil maken. Ik heb mijn firewall zo ingesteld dat elke programma die niet in mijn veilige lijst staat, eerst toestemming moet krijgen. En die eventuele backdoor staat niet in mijn veilige lijst. Dus ik hou vol dat ik geen agobot heb.

woensdag 5 mei 2004 13:25

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 05 mei 2004 @ 13:21:
[...]

Mijn firewall heeft nog niet aangegeven dat een (voor mij) onbekend programma verbinding met het internet wil maken. Ik heb mijn firewall zo ingesteld dat elke programma die niet in mijn veilige lijst staat, eerst toestemming moet krijgen. En die eventuele backdoor staat niet in mijn veilige lijst. Dus ik hou vol dat ik geen agobot heb.

En ook een firewall is niet heilig...
Er zijn genoeg virussen die een firewall zonder al teveel moeite bypassen.

Wat jij doet is gewoon vertrouwen op je security-programma's, dat kan dus niet(meer).
Daarvoor is er te veel en te geavanceerde malware voor.

Zeker als je gewoon bijna weeet dat het fout zit...

woensdag 5 mei 2004 14:19

Acties:

ParaNoiMia

Ik heb inmiddels ook een proggie draaien dat alle verkeer/connecties op TCP 445 apart monitort, misschien dat ik daar nog iets mee kan zien.

woensdag 5 mei 2004 14:29

Acties:

Verwijderd

Verwijderd schreef op 05 mei 2004 @ 13:25:
[...]

En ook een firewall is niet heilig...
Er zijn genoeg virussen die een firewall zonder al teveel moeite bypassen.

Wat jij doet is gewoon vertrouwen op je security-programma's, dat kan dus niet(meer).
Daarvoor is er te veel en te geavanceerde malware voor.

Zeker als je gewoon bijna weeet dat het fout zit...

Momenteel heb ik geen problemen met mijn pc. Mijn pc zit ook niet zomaar data te verzenden of te ontvangen. Zodra ik iets vreemds opmerk, dan ga ik wat verder op onderzoek uit. Zolang ik niets van merk, neem ik aan dat ik virus vrij ben.

Pagina: 1

Reageer