[Malware] Onbekende file-infector * - Privacy en beveiliging

donderdag 6 mei 2004 19:26

Acties:

|::::...

Topicstarter

Stom, stom, het is nu gebeurd, ik heb een virus opgelopen die al honderden andere exe-bestanden op mijn computer heeft geinfecteerd!

Wat is er bebeurd? Van internet een exe-bestand gehaald dat mij moest helpen met het registreren van een bepaald programma

. Ik vertrouwde het al niet door de vage naamgeving van de bestanden, maar volgens Norton Antivirus 2004 (up to date) was er niets aan de hand. Zelfs het bestand nogmaals handmatig gescanned, maar geen melding van NAV. Dus ik open het bestand, dat kan vast geen kwaad, dacht ik...

Vervolgens begon de harde schijf te ratelen en zag ik een hoog processor gebruik. Na een seconde of 30 voelde ik nattigheid en beeindig het process in task manager van WinXP. Het kwaad was toen al geschied! Een aantal programma's (waaronder NAV!!) werkte niet meer, maar activeerde juist weer het virus, dat dan weer vrolijk verder ging met infecteren van exe-bestanden. Een search leverde al een hele waslijst aan modified exe-bestanden op!

Ik weet niet welk virus het is, en NAV (doet het nu niet meer) kon het toch al niet detecteren.

Het (eerste) bestand met het virus heet: keygen.exe 85000 bytes, created 3-5-2004 22.54

WAT MOET IK DOEN?? ik wil niet nog meer (systeem kritische) bestanden infecteren. Hoe kom ik erachter welk virus het is?

Specs

donderdag 6 mei 2004 19:28

Acties:

Jimster

Online virusscanner proberen?
http://housecall.trendmicro.com/

donderdag 6 mei 2004 19:28

Acties:

Hazuki

On my Suzuki

Andere scanner installeren? AVG doet zijn werk hier prima

Koekie?

donderdag 6 mei 2004 19:28

Acties:

itsme

was dat toevallig van tomtom 3

* itsme had namelijk een keygen.exe waarbij explorer al hing bij het rechtsklikken op t document.

Nothing to see here

donderdag 6 mei 2004 19:29

Acties:

Sybr_E-N

gwxkil schreef op 06 mei 2004 @ 19:26:
WAT MOET IK DOEN?? ik wil niet nog meer (systeem kritische) bestanden infecteren. Hoe kom ik erachter welk virus het is?

Er is meer dan alleen Norton op de wereld, probeer eens een andere virusstopper te installen. Zie ook BV FAQ hierover.

donderdag 6 mei 2004 19:36

Acties:

Verwijderd

meestal zitten er 2 bestanden bij een crack/keygen in een zip bestand....

keygen.exe
start.exe

trouwens welke site was het

ik ga me pc niet reskeren

[ Voor 12% gewijzigd door Verwijderd op 06-05-2004 19:37 ]

donderdag 6 mei 2004 19:37

Acties:

elevator

Officieel moto fan :)

En terug open.

Het vragen naar virussen is niet toegestaan

[ Voor 78% gewijzigd door elevator op 06-05-2004 19:41 ]

donderdag 6 mei 2004 19:42

Acties:

Verwijderd

Scan de file eerst eens hier: http://www.kaspersky.com/scanforvirus.html
Dan weten we hopelijk waar we mee te maken hebben.

Wat ook wel interessant is om te weten is of alle bestanden nu heel klein zijn, ze allemaal dezelfde grootte hebben, of toch nog(flink)verschillend in grootte zijn.

Dit om te zien of het alleen een file-infector is, of een corruptor.

* its_me had namelijk een keygen.exe waarbij explorer al hing bij het rechtsklikken op t document.

Dat zegt natuurlijk ook lang niet alles.

Titel beetje aangepast.

donderdag 6 mei 2004 19:45

Acties:

gwxkil

|::::...

Topicstarter

De exe-files hebben nog allemaal een verschillende grootte

Kaspersky vindt niets!

Zal AVG eens proberen nu.

Naar welk e-mail adres stuur ik het virus?

[ Voor 50% gewijzigd door gwxkil op 06-05-2004 19:49 ]

Specs

donderdag 6 mei 2004 19:46

Acties:

D2k

Mail maar ff naar Schouw dat virusje, die scant um wel. de rest van het klootjesvolk mag dat niet meer.

Doet iets met Cloud (MS/IBM)

donderdag 6 mei 2004 19:59

Acties:

gwxkil

|::::...

Topicstarter

FUCK FUCK al mijn programma's stoppen ermee!!

Ik kreeg een venster te zien:

you are infected with XONA virus

deleted mp3's: 993
deleted avi's 23

dit is KUUUTTTT

Volgens mij is mijn hele WinXP nu fucked up. Het virus zat ook in explorer.exe...

[ Voor 24% gewijzigd door gwxkil op 06-05-2004 20:02 ]

Specs

donderdag 6 mei 2004 20:01

Acties:

wildhagen

Blablabla

Rustig rustig... het is vervelend, maar met je hoofd tegen de muur bonken schiet je ook niet veel op.

Xona levert iig al niet veel nuttigs op, op Google.

Draai eens HijackThis en kijk of er verdachte zaken op je PC rondspoken. Haal ze zonodig door de Jotti-scan (http://virusscan.jotti.dhs.org/) als je een file niet vertrouwd of niet kent.

Virussen? Scan ze hier!

donderdag 6 mei 2004 20:05

Acties:

Verwijderd

start op in veilig modus met netwerk verbinding. dan starten de onnodige processen niet op.
mischien kun je een screenshot geven als het virus iets doet (waarschuwing geven ect.)

[ Voor 33% gewijzigd door Verwijderd op 06-05-2004 20:06 ]

donderdag 6 mei 2004 20:06

Acties:

gwxkil

|::::...

Topicstarter

Damn, Jotti vindt ook niets:

File: Keygen.exe
Status: OK

Norman Virus Control No viruses found (52.23 seconds taken)
F-Prot Antivirus No viruses found (3.78 seconds taken)
F-Secure Anti-Virus No viruses found (3.32 seconds taken)
Kaspersky Anti-Virus No viruses found (4.92 seconds taken)
McAfee VirusScan No viruses found (2.41 seconds taken)

Wat is hijackthis??

Ik durf zowiezo niet opnieuw op te starten nu!

[ Voor 10% gewijzigd door gwxkil op 06-05-2004 20:08 ]

Specs

donderdag 6 mei 2004 20:09

Acties:

Verwijderd

mischien kun je een screenshot geven als het virus iets doet (waarschuwing geven ect.)

donderdag 6 mei 2004 20:10

Acties:

wildhagen

Blablabla

gwxkil schreef op 06 mei 2004 @ 20:06:
Damn, Jotti vindt ook niets:

Oké. Of niet oké, ligt er maar net aan van welke kant je het wil bekijken.

Wat is hijackthis??

Kijk eens hier: [rml][ Howto] Spyware scannen en opruimen[/rml]

En volg daar de stappen.

Virussen? Scan ze hier!

donderdag 6 mei 2004 20:11

Acties:

Verwijderd

D2k schreef op 06 mei 2004 @ 19:46:
Mail maar ff naar Schouw dat virusje, die scant um wel. de rest van het klootjesvolk mag dat niet meer.

offtopic:
Dat geldt net zo zeer voor mij als voor de rest

donderdag 6 mei 2004 20:14

Acties:

Neobahamuth

Thoughtcrime is death.

Symantec (Norton dus) lijkt het (nog) niet te kennen (tenminste de naam "Xona"):

Symantec Virus Encyclopedia

▀ BBQ ▀ BBQ 2 ▀ Opendeurdag ▀ LED Cat Feeder

donderdag 6 mei 2004 20:19

Acties:

Verwijderd

mischien nieuw virus>?<
moet je de bron in een zip file sturen aan symtec en andere bedrijven...

donderdag 6 mei 2004 21:12

Acties:

Verwijderd

Submit je meuk
Stuur de originele file hier naar toe.

donderdag 6 mei 2004 21:56

Acties:

gwxkil

|::::...

Topicstarter

Het virus heeft mijn WinXP volledig verkracht!

Ik moest opnieuw opstarten, maar dat lukt niet meer vanwege corrupted systemfiles.

Tijdens de repair van WinXP werd het virus alweer actief.

Er komt dan een venster met de volgende mededeling:

This computer is infected with the XONA virus

infected exe: #
deleted mp3: #
deleted avi: #

I FUCK THE RIAA

Het wordt waarschijnlijk een format c:, dus ik kan het virus niet opsturen.

Het virus zat in een keygen voor Alcohol 120% 1.9.2.1705 gedownload met emule.

Specs

donderdag 6 mei 2004 22:19

Acties:

Henk007

Als niet deskundige wil ik toch even in dit topic reageren. Waarom gaat de TS in 's-hemelsnaam een executable downloaden vanuit een untrusted source en het zomaar lukraak op zijn machientje draaien. Als ik zou kunnen programmeren en ik zou een stukje software kunnen schrijven dat een low level format van de HDD doet, dit Keygen_Blaat1.2.3.exe noemen en het vervolgens op een filesharing netwerk zetten; Zou hij het dan ook zomaar uitvoeren op zijn systeem ? Het hoeft nog niet eens een virus te zijn dus. Nee, dit vind ik echt een voorbeeld van 'een beetje (erg) dom' handelen.

[ Voor 6% gewijzigd door Henk007 op 06-05-2004 22:36 ]

donderdag 6 mei 2004 22:38

Acties:

RSpliet

*blink*

boontje komt om zijn loontje... mjah klinkt erg hard, maar zomaar toepassingen registreren zonder ervoor te betalen (terwijl het normaal gesproken pas geregistreert kan worden nadat er is betaald) kan niet. Daarnaast is bekend dat in dit soort circuits veel virussen rondzwerven. Gewoon domme actie dus. Format kan je niks meer tegen doen, als je maar leert van deze actie. Dat xona-virus zal McAfee/KasperSky(okee schouw

)/Norton/welk bedrijf dan ook zelf ook nog wel krijgen, dus maak je eerst maar eens zorgen om je eigen systeempje.

Edit: als die virusmaker schijt heeft aan de riaa, waarom destroyed hij dan MP3's en avi's? zou de riaa dit zelf gemaakt hebben (complottheorie!

)... of is het gewoon een heeeeeele domme computergebruiker, die niet inziet dat hij zo de riaa alleen maar helpt?

[ Voor 26% gewijzigd door RSpliet op 06-05-2004 22:39 ]

Schaadt het niet, dan baat het niet

vrijdag 7 mei 2004 00:35

Acties:

Verwijderd

Nog wat info, al dan niet nuttig..
Win32.HLLP.Xenon

Parasitic file-infector, not corrupting.
Virus voegt data toe aan exe-files waardoor bij executie van een geïnfecteerde file het virus(weer)wordt uitgevoerd.

Ding lijkt niet te checken of een file al geïnfecteerd is --> file kan meerdere malen infected worden.
Ik heb een aantal files gecheckt en ze kunnen fatsoenlijk disinfected worden, zelfs als file meerdere keren geïnfecteerd is.
Dus zover het nog van toepassing is, (exe)files kunnen dus nog gered worden.

vrijdag 7 mei 2004 00:56

Acties:

smvs

wat heb je aan exe files als je windows al in de soep ligt? je mp3tjes lijken me interessanter.

scannen als een windows in de soep ligt doe ik altijd met de Hiren's bootcd, zit een ntfs scan functie op voor f-prot. virus defs kun je updaten door de iso aan te passen met bijvoorbeeld winiso. werkt heel goed voor puinruimen.

waarschijnlijk word ik hier aan de hoogste boom gehangen door alleen maar het noemen van de naam Hiren's, want ik heb nog nooit zoveel illegale dingen bij elkaar gezien in relatief zo weinig MB. Maar ik heb het over de f-prot scan he, die is gratis.

Je kan ook die HDD eens aan een andere computer hangen om hem te desinfecteren.

vrijdag 7 mei 2004 01:07

Acties:

Verwijderd

smvs schreef op 07 mei 2004 @ 00:56:
wat heb je aan exe files als je windows al in de soep ligt?

Hij weet nu dat hij zijn softwarecollectie kan behouden?(Dus niet opnieuw downen/ander tijdrovend alternatief)
Lijkt me toch best fijn om te weten, toch nog een beetje goed nieuws zeg maar.

vrijdag 7 mei 2004 03:00

Acties:

gwxkil

|::::...

Topicstarter

Na een format en een re-install kan de schade worden opgemaakt:

Alle .avi en .mp3 bestanden op mijn HD's zo'n 40 GB, en een berg software die ik (ten onrechte?) als verloren beschouwde. Maar het ruimt wel lekker op

Ik heb het originele virus bestand gemaild naar de adressen van Schouw. Ik hoop op een fix, want ik heb nog een aantal exe-files die ik wil repareren!

Hoe is het mogelijk dat zo'n schadelijk K#T virus zo langs de verschillende scanners wandeld????

Specs

vrijdag 7 mei 2004 05:59

Acties:

silentsnow

« '-_-' »

Ik heb van de week Win32.HLLP.Riaz opgelopen. (via p2p bestand) Zelfde symptomen als de TS.

Systeembestanden zijn inderdaad corrupt. Althans, er is dus een stuk code aan toegevoegd. De virusscan updates herkennen nu het "virus/malware" wel, maar hoe kan ik de geinfecteerde bestanden schonen?

The trade of the tools
[ me | specs ] Klipsch Promedia Ultra 5.1 + Sennheiser HD-590

vrijdag 7 mei 2004 09:38

Acties:

Verwijderd

als het goed is is er een apart programmaatje voor gemaakt
kijk maar es op de symtec website.

of...
je moet ze verwijderen

[ Voor 15% gewijzigd door Verwijderd op 07-05-2004 09:39 ]

vrijdag 7 mei 2004 10:40

Acties:

Verwijderd

De fix is een AV installeren die de exe-files kan disinfecten.

Dat geldt iig voor gwxkil.

Of dat voor silentsnow ook geldt weet ik(nog)niet.

als het goed is is er een apart programmaatje voor gemaakt
kijk maar es op de symtec website.

Ehhh? Hoe kom je daar bij

vrijdag 7 mei 2004 10:59

Acties:

gwxkil

|::::...

Topicstarter

Ik kreeg van AVERT Labs dit mailtje terug:

A.V.E.R.T. Sample Analysis
Issue Number: 726739
Virus Research Analyst - Hong Kong: V. Nguyen
Identified: W32/Riaz

AVERT(tm) Labs, Hong Kong

Thank you for submitting your suspicious file.

Synopsis -

Attached is a file for extra detection, which will be included in a
future DAT set.

In order to get the fastest possible response, you may wish to submit
future virus-samples to <http://www.webimmune.net>. In most cases it can
respond almost instantly with a solution.

For other virus-related information, please see the AVERT homepage at:
<http://vil.nai.com/vil/default.asp>

Solution -

To ensure that you have the maximum available capability of detecting
and cleaning this malware on your system, please make sure you have the
latest engine.

Engine and DAT updates are available at:
<http://www.networkassociates.com/us/downloads/updates>

EXTRA.DAT
This should be used with any of the McAfee AV Scanners.
The file should be copied into the directory where the other DAT files
reside.

Using the find/search utility on your computer search
for the following file:
SCAN.DAT

Then copy the Extra.dat we have sent you to the same
folder where one of the above is located.
Once you have copied the file, reboot the system for the driver to be
loaded

Het is dus het W32/riaz virus. Ik ben helaas (nog) niet in het bezit van de Mcafee scanner, dus deze oplossing gaat niet werken voor mij. Ik zoek dus nog even verder naar een removal tool.

Specs

vrijdag 7 mei 2004 11:11

Acties:

Verwijderd

Nogmaals: Waarom zou er een removal tool voor zijn?
Het ding is net nieuw en(waarschijnlijk)helemaal niet zó ITW.

Het komt er op neer dat je een AV moet installen die de geïnfecteerde files kan disinfecten.
Tot nu komt het er op neer dat je een trial van mcafee/kav moet installen, meuk disinfecten en eventueel er weer vanaf gooien.
Of wachten totdat NAV detectie en disinfectie heeft.

vrijdag 7 mei 2004 11:24

Acties:

gwxkil

|::::...

Topicstarter

ITW?? staat voor...

Ik zal de trial van Mcafee eens proberen.

Schouw, welke virusscanner is (vind jij) beter, Mcafee of Norton? Als je daar een zinnige uitspraak over kan doen. Want Norton heeft me zwaar teleur gesteld...

[ Voor 57% gewijzigd door gwxkil op 07-05-2004 11:29 ]

Specs

vrijdag 7 mei 2004 11:28

Acties:

Verwijderd

In the Wild.
Check trouwens eerst wel of ze daadwerkelijk disinfectie hebben toegevoegd..

vrijdag 7 mei 2004 11:49

Acties:

Miki

gwxkil schreef op 07 mei 2004 @ 11:24:
ITW?? staat voor...

Ik zal de trial van Mcafee eens proberen.

Schouw, welke virusscanner is (vind jij) beter, Mcafee of Norton? Als je daar een zinnige uitspraak over kan doen. Want Norton heeft me zwaar teleur gesteld...

Er zijn op dit moment maar 2 av paketten die kwa detectie eruit springen. Dat zijn Kaspersky antivirus en F-Secure antivirus, daarna volgt Mcafee antivirus. Het is lullig voor de mensen die Norton hebben gekocht, maar op dit moment is het vaker besmet worden dan daadwerkelijk beveiligd zijn.

vrijdag 7 mei 2004 14:11

Acties:

gwxkil

|::::...

Topicstarter

Een reactie van NSClean Privacy Software division:

Just to let you know, that one is actually a PRANK - not really a virus. However since a few other clueless antitrojan companies actually believe there's something there, we DID include it. Heh.

Geen echt virus dus, maar een (hele slechte) grap...

Wat een onzin! Als dit geen virus is, dan weet ik het niet meer

Specs

vrijdag 7 mei 2004 14:12

Acties:

Verwijderd

Hmm interessant...
Weet je toevallig wie dat zei?
Was het Kevin of Nancy?

vrijdag 7 mei 2004 14:13

Acties:

wildhagen

Blablabla

Lekker professionele reactie ook....

Als ze gaan smijten met termen als 'clueless companies' kan ik ze eigenlijk niet serieus nemen...

Virussen? Scan ze hier!

vrijdag 7 mei 2004 14:21

Acties:

Verwijderd

wildhagen schreef op 07 mei 2004 @ 14:13:
Lekker professionele reactie ook....

Als ze gaan smijten met termen als 'clueless companies' kan ik ze eigenlijk niet serieus nemen...

Mja de AT vendors hebben onderling ruzie, maar je ziet alleen Kevin zo 'aardig' zijn, altijd andere vendors erbij betrekken, wat imo nog 'slechter' is dan gewoon roepen dat je het beste bent, hoewel ie dat ook doet.

Ik zie vaak dat Kevin het meent beter te weten dan de rest, terwijl hij er gewoonweg naast zit, zoals ook nu het geval is.
En het ergste is dan nog dat sommigen zijn info 'overnemen'..

Mja, dit is een beetje off-topic.

vrijdag 7 mei 2004 14:41

Acties:

Verwijderd

Tja, AVERT was later dan 'F-Secure' hierin...
Misschien dat ze(mcafee)het als variant ervan bestempelen en daarom maar precies hetzelfde noemen als Riaz, beetje lomp imo.

Dit 'is' trouwens de KAV reply: [rml]Schouw in "[ Malware] Onbekende file-infector *"[/rml]
Aangezien de sample inmiddels gedetecteerd werd toen je het ding naar de vendors verstuurde, hoef je geen mail terug te verwachten, behalve een eventuele mailwaarschuwing.

Maar om nu hier alle replies van de vendors neer te gaan zetten is ook redelijk nutteloos.