Sorry voor de lengte van deze post, maar misschien hebben meer menser er iets aan:
Ik werd laatst door Xs4all geattendeerd op het feit dat ik spam zou versturen, al dan niet veroorzaakt door één of andere Trojaan. En of ik ff m'n systeem wilde scannen met een stuk of 7 trojan/virusscanners. Voor 't gemak hadden ze alvast een stel poorten op m'n IP dichtgegooid.
"Tuluk!", dacht ik nog.
"Zal toch niet?! Hebben jullie nooit gehoord van fake headers en IP-spoofing?" Bovendien heb ik een aktuele versie van McAfee VirusScan Enterprise. Naja, m'n firewall-log vermeldde wel wat vreemde entries, dus voor alle zekerheid toch maar een stel van die scanners op m'n systeem losgelaten, en behalve wat tracking-koekjes en 1 of ander script (of exe) dat ik zag wegflitsen vanuit de internet-cache (...) vonden ze eigenlijk niets belangrijks. Totdat ik [url=http://http://tds.diamondcs.com.au/] TDS-3 [/url]een full scan liet doen... Die vond in de system32 dir de signature van Afcore.gen in een dll genaamd smlogcfc.dll. Ff zoeken op het Net leverde wat info over Afcore waar ik niet vrolijk van werd: ik had een nasty levende spam-mailer op m'n kist! Hate it when I'm wrong. 
Enneh: TDS-3 kon 'm niet verwijderen.
M.b.v. Streams (Sysinternals) kwam ik erachter dat die smlogcfc.dll als verborgen ADS (alternate data stream) op m'n system32 directory liep. Gelukkig kan Streams die dingen ook verwijderen. Alleen: TDS-3 wilde de dll nog steeds niet deleten, hierna.
O.a. in de diverse artikelen hier op GoT wordt steeds gesproken over een link in het register:
Ff die key verwijderen had geen effect, want na een reboot was 'ie doodleuk terug... En explorer.exe is geen proces dat zich zomaar laat killen (herstart direkt weer), dus ik kon die .dll niet zomaar verwijderen (en al m'n virus/trojan-scanners evenmin). Wat uiteindelijk hielp was rebooten in safe mode (met prompt!), .dll deleten en het register schonen van alles wat maar leek op smlogcfc.
Hierna ben ik ermee gaan spelen.
Lijkt me een variant van de hier op het forum genoemde Afcore/Coreflood. Commando's (opties) die terug te vinden zijn in filebody zijn:
- DebugBreakpoint
- Service
- SpawnAndStart
- Start
- DllCanUnloadNow
- DllGetClassObject
En, jawel:
- Uninstall, en die lijkt nog te werken ook, kwam ik later achter
(zie posts van Schouw op GoT over Afcore).
Het ding maakt ook .dat filetjes aan onder dezelfde naam (parameters? log?)
Met het Start commando installeert 'ie zich echter niet als ADS - weet nog niet hoe dat werkt. Ik klooi er nog een beetje verder mee (uiteraard met firewill UP!) en als jullie het 'leuk vínden laat ik de resultaten nog wel weten.
Btw.: McAfee was héél snel met een nood- .DAT file toen ik ze dit ding mailde...
Ik werd laatst door Xs4all geattendeerd op het feit dat ik spam zou versturen, al dan niet veroorzaakt door één of andere Trojaan. En of ik ff m'n systeem wilde scannen met een stuk of 7 trojan/virusscanners. Voor 't gemak hadden ze alvast een stel poorten op m'n IP dichtgegooid.
"Tuluk!", dacht ik nog.
"Zal toch niet?! Hebben jullie nooit gehoord van fake headers en IP-spoofing?" Bovendien heb ik een aktuele versie van McAfee VirusScan Enterprise. Naja, m'n firewall-log vermeldde wel wat vreemde entries, dus voor alle zekerheid toch maar een stel van die scanners op m'n systeem losgelaten, en behalve wat tracking-koekjes en 1 of ander script (of exe) dat ik zag wegflitsen vanuit de internet-cache (...) vonden ze eigenlijk niets belangrijks. Totdat ik [url=http://http://tds.diamondcs.com.au/] TDS-3 [/url]een full scan liet doen... Die vond in de system32 dir de signature van Afcore.gen in een dll genaamd smlogcfc.dll. Ff zoeken op het Net leverde wat info over Afcore waar ik niet vrolijk van werd: ik had een nasty levende spam-mailer op m'n kist! Hate it when I'm wrong. Enneh: TDS-3 kon 'm niet verwijderen.M.b.v. Streams (Sysinternals) kwam ik erachter dat die smlogcfc.dll als verborgen ADS (alternate data stream) op m'n system32 directory liep. Gelukkig kan Streams die dingen ook verwijderen. Alleen: TDS-3 wilde de dll nog steeds niet deleten, hierna.
O.a. in de diverse artikelen hier op GoT wordt steeds gesproken over een link in het register:
code:
Iets dergelijks was bij mij niet te vinden. HijackThis vond echter wel het volgende:1
| O4 - HKLM\..\Run: [random] rundll32 C:\WINDOWS\System32:random.dll,Init 1 |
code:
Heel verdacht! (En nieuw, meen ik)Deze Trojaan installeert zicht dus niet alleen als ADS, maar injecteert zich dus ook als BHO in de memory-space van explorer.exe!1
| O2 - BHO: (no name) - {936C6ED7-5BDC-1DFE-B4FC-8983E7AB951E} - C:\WINDOWS\System32\smlogcfc.dll |
Ff die key verwijderen had geen effect, want na een reboot was 'ie doodleuk terug... En explorer.exe is geen proces dat zich zomaar laat killen (herstart direkt weer), dus ik kon die .dll niet zomaar verwijderen (en al m'n virus/trojan-scanners evenmin). Wat uiteindelijk hielp was rebooten in safe mode (met prompt!), .dll deleten en het register schonen van alles wat maar leek op smlogcfc.
Hierna ben ik ermee gaan spelen.
Lijkt me een variant van de hier op het forum genoemde Afcore/Coreflood. Commando's (opties) die terug te vinden zijn in filebody zijn:
- DebugBreakpoint
- Service
- SpawnAndStart
- Start
- DllCanUnloadNow
- DllGetClassObject
En, jawel:
- Uninstall, en die lijkt nog te werken ook, kwam ik later achter
(zie posts van Schouw op GoT over Afcore).code:
genereert een nieuwe kopie onder een andere file-name (sterk lijkend op een bestaande .dll in de system32 dir!) en injecteert 'm weer in explorer.exe1
| rundll32 smlogcfc.dll,Start |
Het ding maakt ook .dat filetjes aan onder dezelfde naam (parameters? log?)
Met het Start commando installeert 'ie zich echter niet als ADS - weet nog niet hoe dat werkt. Ik klooi er nog een beetje verder mee (uiteraard met firewill UP!) en als jullie het 'leuk vínden laat ik de resultaten nog wel weten.
Btw.: McAfee was héél snel met een nood- .DAT file toen ik ze dit ding mailde...
) Heeft Kaspersky ook een 
:strip_exif()/u/14937/cover.gif?f=community)
/u/43807/ZwartGat.png?f=community)
