[Malware] msl.dll = backdoor.trojan - AppInit_DLL * - Privacy en beveiliging

zondag 18 juli 2004 20:41

Acties:

No Risk , Full Push

Topicstarter

mkay,

Vanaf deze morgen krijg ik bij elke programma die ik open een melding van Norton CE8.0 dat er een trojan is gevonden, met de naam MSL.DLL.

De stappen die ik al heb ondernomen zijn;

> checken of er updates zijn van norton, de laatse zijn geinstalleerd.
> windows update is gedaan
> Ik heb in veilige mode een scan gedaan, niks gevonden.
> ik heb geprobeerd het te vinden, niks gevonden . Zelfs niet via dos.
> ik heb via Housecall en Symantec online gechecked, niks nakkus nada
> Tauscan clean.
> Adaware en S&D schoon. ( firefox rulez )

Elke keer als ik een programma start krijg ik de volgdne melding

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Backdoor.Trojan
File: C:\WINDOWS\System32\msl.dll
Location: C:\WINDOWS\System32
Computer: PATRICK
User: pancake
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Sunday, July 18, 2004 8:40:32 PM

"This is it....This is it " | Gianpiero Lambiase | Lap 54 12-12-2021

zondag 18 juli 2004 20:47

Acties:

Mike Jarod

Deze had je al gezien, maar heb je 'm ook geprobeerd?

[rml]Mike Jarod in "[ Malware] NAV: backdoor.trojan infectie ..."[/rml]

zondag 18 juli 2004 20:56

Acties:

backupdevice

No Risk , Full Push

Topicstarter

Mike Jarod schreef op 18 juli 2004 @ 20:47:
Deze had je al gezien, maar heb je 'm ook geprobeerd?

[rml]Mike Jarod in "[ Malware] NAV: backdoor.trojan infectie ..."[/rml]

$_/-\o_$

Wat is dat voor een ding??? weet iemand dat?

"This is it....This is it " | Gianpiero Lambiase | Lap 54 12-12-2021

zondag 18 juli 2004 21:10

Acties:

Mike Jarod

Blue_White_Army schreef op 18 juli 2004 @ 20:56:
$_/-\o_$

Wat is dat voor een ding??? weet iemand dat?

Die .dll bedoel je? Geen idee

Heb je 'm al verwijderd? (denk het wel) Ben wel benieuwd hoe andere virusscanners 'm noemen als je 'm door http://virusscan.jotti.dhs.org gooit

zondag 18 juli 2004 21:21

Acties:

Verwijderd

hoi, dit staat er op de site even eens checken.
Removal optie vind u onderaan, maar je zal wel even op deze site moeten gaan
http://securityresponse.s...ckdoor.trojan.client.html

Backdoor.Trojan.Client
Discovered on: July 24, 2001
Last Updated on: November 16, 2003 12:47:07 PM

Programs detected as Backdoor.Trojan.Client are utility applications that are used by hackers to control a Backdoor.Trojan.

Type: Trojan Horse
Infection Length: one file

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

Virus Definitions (Intelligent Updater) *
July 25, 2001

*
Intelligent Updater definitions are released daily, but require manual download and installation.
Click here to download manually.

**
LiveUpdate virus definitions are usually released every Wednesday.
Click here for instructions on using LiveUpdate.

Wild:

Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Easy
Threat Metrics

These utilities are non-viral and generally do not cause harm to the user (hacker) who deploys them. However, deployment of these utilities is usually harmful to the victims of the attacks, and they are usually considered a threat by network administrators.

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.

If you believe you have been infected, please download the latest virus definitions via LiveUpdate or from the Symantec Security Response Web site.

Click here for instructions on using LiveUpdate to retrieve virus definitions.
Click here to manually download and install virus definitions from the Symantec Security Response Web site.

zondag 18 juli 2004 21:41

Acties:

Verwijderd

A: Backdoor.Trojan zegt bijna niets..
Zonder specifieke naam weet je niets, erg leuk als je er eentje met destructive payload hebt.

De meeste andere vendors geven gelukkig wel fatsoenlijke namen aan backdoors/trojans.

B: Hoe kom je erbij dat dit over een client gaat

Het gaat natuurlijk om het servergedeelte..

Titelfix.

Jammer dat we nog niets verder zijn mbt. wat het ding nou écht doet/is...

zondag 18 juli 2004 22:18

Acties:

Verwijderd

met een degelijke firewall kun je zien naar waar deze connectie maakt, en dan
via Dshield.org deze opsporen....

zondag 18 juli 2004 22:19

Acties:

Verwijderd

Mja, en dan?
Wat zegt dat over de verdere werking van de malware? Niet heel veel..

zondag 18 juli 2004 22:23

Acties:

Verwijderd

tja, echt veel kun je niet doen.... opsporen en dan aangeven via Abuse@...

Wat het bestand doet..... daar kun je enkel over speculeren, misschien als
je een degelijk programeur bent kun je dit ontleden.

[ Voor 22% gewijzigd door Verwijderd op 18-07-2004 22:25 ]

zondag 18 juli 2004 22:25

Acties:

backupdevice

No Risk , Full Push

Topicstarter

Het is wel raar dat de locale virusscanner hem wel ziet, en de online versie van 2 verschillende merke niet..

Voor de rest, het enige wat ik gedownload heb voordat de problemen begonnen is een softwarepakketje van Sony ericsson en de updates voor mijn virussscanner.

[ Voor 43% gewijzigd door backupdevice op 18-07-2004 22:26 ]

"This is it....This is it " | Gianpiero Lambiase | Lap 54 12-12-2021

zondag 18 juli 2004 22:27

Acties:

Mike Jarod

Verwijderd schreef op 18 juli 2004 @ 22:23:
tja, echt veel kun je niet doen.... opsporen en dan aangeven via Abuse@...

Wat het bestand doet..... daar kun je enkel over speculeren, misschien als
je een degelijk programeur bent kun je dit ontleden.

Dat valt best mee. Je kan bv binnen VMware de situatie nabootsen en kijken wat er zoal aan files/registerdingen worden gemaakt/gewijzigd

_{hou ik me voor de rest niet mee bezig ofzo, maar het is een manier}

edit:
@hieronder, nee maar niet iedereen gaat ook uitzoeken hoe een virus werkt

[ Voor 8% gewijzigd door Mike Jarod op 18-07-2004 23:29 ]

zondag 18 juli 2004 22:27

Acties:

Verwijderd

Draai eens Ad-ware en kijk eens of het daarin voorkomt...

Inderdaad via VMware zou het lukken, maar niet iedereen beschikt
over dit toch wel duur programma

[ Voor 48% gewijzigd door Verwijderd op 18-07-2004 22:47 ]