Nieuwe sasser variant? - Privacy en beveiliging

maandag 28 juni 2004 19:09

Acties:

Verwijderd

Topicstarter

Dames, heren, overige lezers,

Ik heb vandaag me helemaal de klimbim gezocht naar een sasserworm. eenmaal gevonden blijkt dat mcafee en norton het ding niet herkennen.
Het heeft alle symptomen van sasser maar op andere poortnummers.

Een bestand UPnP-Helper.exe komt in \%windir%\system32 en wordt gerunt, en er komt een winsys32.exe in diezelfde map, die wordt ook gerunt.
zodra ik UPnPhelper.exe los opstart, gebeurt er niets (de routers ondersteunen geen upnp dus ik kan die functionaliteit hier niet testen)
als ik winsys32.exe opstart gaat het systeem als een debiel connecten naar poort 445 op alles wat in het zelfde subnet zit.

code:

Actieve verbindingen

  Proto  Lokaal adres           Extern adres           Status
  TCP    PCrutger:1770          seginfn.fe.infn.it:4564  ESTABLISHED
  TCP    PCrutger:1773          10.0.61.90:microsoft-ds  SYN_SENT
  TCP    PCrutger:1774          10.0.11.120:microsoft-ds  SYN_SENT
  TCP    PCrutger:1775          10.0.112.9:microsoft-ds  SYN_SENT
  TCP    PCrutger:1776          10.0.214.153:microsoft-ds  SYN_SENT
  TCP    PCrutger:1777          10.0.59.43:microsoft-ds  SYN_SENT
 und so weiter und so weiter...

Ik ga dit virus nu submitten aan McAfee, maar wil even een waarschuwinkje loslaten: het virus is binnen gekomen op een PC die achter NAT zit met een router die geen upnp ondersteunt. Deze xp pc heeft alle recente patches aan boord.

maandag 28 juni 2004 19:13

Acties:

blackd

Zou je hem eens door http://virusscan.jotti.dhs.org willen halen, om te kijken of er mogelijk al AV vendors zijn die hem herkennen?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

maandag 28 juni 2004 19:14

Acties:

wildhagen

Blablabla

Klinkt niet als Sasser (dat was met LSASS.EXE), maar iets anders.

WINSYS32.EXE is ook de naam die een aantal Gaobot/Agobot-varianten gebruiken.

Submit maar, dan zoekt NAI het wel uit. Je zou ook kunnen overwegen om hem door http://virusscan.jotti.dhs.org/ te halen, om te kijken of o.a. KAV hem wel vind.

Virussen? Scan ze hier!

woensdag 30 juni 2004 08:56

Acties:

Verwijderd

Topicstarter

Ik was er gisteren niet (althans niet in dit filiaal) maar ik heb respons van McAfee en het is idd een cloontje van een bestaand virus.

woensdag 30 juni 2004 10:27

Acties:

blackd

En over welk virus hebben we 't dan? (m.a.w. wat was de respons van NAI?)

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 30 juni 2004 10:32

Acties:

Verwijderd

Je opent een topic met de melding dat je een nieuw virus hebt, post de filename+wat netstat, zegt dat je het naar McAfee gaat submitten plus nog een wat andere info(dat van die router was wel interessant) om daarna hier alleen te melden dat mcafee je heeft gemeld dat het een variant was?

Daar ontgaat mij het nut compleet van als ik eerlijk ben..
GoT is een (discussie)forum, die optie biedt dir topic(nog)niet.

Ik zal het topic openlaten om te zien of je toch nog wat interessante info kan brengen, maar het huidige topic voldoet niet aan de 'eisen'..(Stel je voor dat ik 30 van deze topics zou openen per dag..)

Ben benieuwd.