[trojan/virus?] Firewall detecteert portscan naar poort 135 - Privacy en beveiliging

dinsdag 31 augustus 2004 00:01

Acties:

Het lekkerste zoutje

Topicstarter

Eergister kwam ik er opeens achter dat mijn firewall op mijn windows2000 server machine een hoop activiteit vertoonde. Blijkbaar scant mijn internet-ip het hele interne netwerk (192.168.*.*) op poort 135. Ik heb snel even gezorgd dat die scans er niet meer doorheen komen, maar dan blijf ik nog met het probleem zitten WAAROM het gebeurt ...

De logfile groeit en groeit maar met regels zoals deze:

code:

1 2	2004/08/30, 23:53:46.828, GMT +0200, 2007, Device 2, Blocked outgoing TCP packet, src=62.216.xxx.xxx, dst=192.168.4.171, sport=1328, dport=135

en dan moet je het dus zo zien dat er per seconde(!) wel 10 of meer van zulke regels bijkomen (het is niet te tellen iig), waarbij het 192.168-adres random lijkt te zijn op de eerste 2 getallen na. Virusscanners vinden nix (AVG en housecall geprobeerd) en er lijken ook geen rare processen te zijn geladen.

Ik heb al even op internet gezocht, en het lijkt op een MSblast infectie oid, maar dan zou de virusscan het toch moeten vinden? Tevens hoort daar een proces bij dat gewoonweg niet aanwezig is.

Ik begrijp er echt nix meer van, hoe kan dit? Iemand weleens hetzelfde gehad?

Permanent wintericon!

dinsdag 31 augustus 2004 00:05

Acties:

Puch-Maxi

Ben je mischien geroot ? en word er remote gescanned op poort 135,
lsass exploit

Zijn er geen verdachte ftp servers zoals serv-u actief op je pc ?
(meestal zetten ze hun spulletjes ergens in C:/winnt/system32/ daar een rond neusen.)

Maar dan is de vraag hoe zijn ze binenn gekomen je hebt alles geupdate ? en firewall gaf ook niets aan ?

[ Voor 71% gewijzigd door Puch-Maxi op 31-08-2004 00:13 ]

My favorite programming language is solder.

dinsdag 31 augustus 2004 00:10

Acties:

Wokkels

Het lekkerste zoutje

Topicstarter

Puch-Maxi schreef op 31 augustus 2004 @ 00:05:
ben je mischien geroot ? en word er remote gescanned op poort 135 ? lsass exploit

Geroot? nee, lijkt me niet. Zoals ik al zei zie ik geen rare processen draaien en voor zover ik kan zien is er niets veranderd. Alle mogelijke updates stonden er overigens al lang op voordat het gebeurde, dus de lsass exploit is volgens mij ook niet mogelijk. Tevens zou er dan een sasser of weet ik veel wat gevonden moeten worden door mijn virusscanner toch?

Puch-Maxi schreef op 31 augustus 2004 @ 00:05:
Zijn er geen verdachte ftp servers zoals serv-u actief op je pc ?
(meestal zetten ze hun spulletjes ergens in C:/winnt/system32/ daar een rond neusen.)

Maar dan is de vraag hoe zijn ze binenn gekomen je hebt alles geupdate ? en firewall gaf ook niets aan ?

Rondgeneusd, nix gevonden, geen ftp's behalve die die ik zelf draai.

Op de laatste vraag had ik al geantwoord

alles is echt up to date en mijn firewall heeft hiervoor gewoon normaal gewerkt...

[ Voor 34% gewijzigd door Wokkels op 31-08-2004 00:19 ]

Permanent wintericon!

dinsdag 31 augustus 2004 00:15

Acties:

Puch-Maxi

Tjah zou je denken he maar je kunt processen ook hidden laten lopen he.
Het lijkt mij niet echt een virus/worm maar het zou kunnen natuurlijk

het lijkt me niet dat ts zelf die backdoor gedownload heeft

[ Voor 27% gewijzigd door Puch-Maxi op 31-08-2004 00:20 ]

My favorite programming language is solder.

dinsdag 31 augustus 2004 00:18

Acties:

Verwijderd

Begin eens hier: Beveiliging en Virussen - Nieuw topic starten

Klinkt backdoorlike, niet het vakgebied van AVG/Trend.

dinsdag 31 augustus 2004 00:21

Acties:

Wokkels

Het lekkerste zoutje

Topicstarter

Verwijderd schreef op 31 augustus 2004 @ 00:18:
Begin eens hier: Beveiliging en Virussen - Nieuw topic starten

Klinkt backdoorlike, niet het vakgebied van AVG/Trend.

ah okee, tnx, ik ga meteen beginnen. Ik wist niet dat avg of housecall geen backdoors vinden

nouja, ik heb iig een start.

Puch-Maxi schreef op 31 augustus 2004 @ 00:15:
Tjah zou je denken he maar je kunt processen ook hidden laten lopen he.
Het lijkt mij niet echt een virus/worm maar het zou kunnen natuurlijk

mischien nieuwe exploit

Ja dat is ook wel zo. Nouja, ik laat het nog wel even weten als ik meer weet of juist niet

Permanent wintericon!

dinsdag 7 september 2004 11:30

Acties:

Wokkels

Het lekkerste zoutje

Topicstarter

*kick*

Okee, ik heb wat zoekwerk verricht waar het volgende is uitgekomen.

Op een van mijn pc's (het was dus niet mijn servertje zoals ik in eerste instantie dacht

) was een proces aanwezig wat de scan veroorzaakte. Het bestandje "sp2.exe" was de boosdoener. Dit bestand maakt na opstarten een connectie naar 69.50.188.249:6667 (een irc-server toch?) waar er natuurlijk van alles gedaan zou kunnen worden. Ik heb het vermoeden dat de scan ook vanaf deze server gestart wordt, aangezien de pc niet direct begint met scannen, maar dit pas na verloop van tijd gaat doen op niet vaste tijdstippen.

sp2.exe staat op verschillende plekken in het register zodat hij gestart wordt bij opstarten, inloggen etc. Hij staat op de volgende plaatsen:

code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\...\Software\Microsoft\Windows\CurrentVersion\Run

De naam die bij de key staat is "Microsoft Update Machine".

Het vervelende is dat trojan scanners als TrojanHunter en The Cleaner hem niet detecteren. Ook niet als hij is opgestart.

[ Voor 13% gewijzigd door Wokkels op 07-09-2004 16:41 . Reden: Schouw :Y) ]

Permanent wintericon!

dinsdag 7 september 2004 11:33

Acties:

Pakjebakmeel

probeer spy sweeper eens

HEEL goed programma oogt alleen een beetje davilex achtig

Vind op sommige pc's nog 200 entrys terwijl ik net spybot , cwshredder en adaware heb gedraaid

http://www.webroot.com/ph...php?bjpc=64000&vcode=DT02

dinsdag 7 september 2004 11:48

Acties:

Verwijderd

De geuploade file is corrupt.(Slechts paar bytes lang)
We zijn op GoT niet zo'n fans van linkjes naar malware, zou je aub eerst de file hier kunnen scannen om te zien of ons dat niet al genoeg verteld?

Het klinkt ago/rbot-achtig, zoals al verwacht.
spy sweeper(en soortegelijken) heeft/hebben niets te maken met backdoors, dat is voor ad/'spy'ware meuk, niet voor backdoors en dergelijke.
Het kan zijn dat ze sporadisch wat detecteren, maar daar blijft het dan bij.

dinsdag 7 september 2004 12:20

Acties:

Pakjebakmeel

Het klinkt ago/rbot-achtig, zoals al verwacht.
spy sweeper(en soortegelijken) heeft/hebben niets te maken met backdoors, dat is voor ad/'spy'ware meuk, niet voor backdoors en dergelijke.
Het kan zijn dat ze sporadisch wat detecteren, maar daar blijft het dan bij.

Tsja, het is er niet voor gemaakt; dat geef ik je wel na; maar met name Spy sweeper vind dingen die mijn norton antivirus niet vind hoor. In ieder geval kan het geen kwaad. Dan is je pc ook weer eens schoon van ad en spy ware

dinsdag 7 september 2004 16:47

Acties:

Wokkels

Het lekkerste zoutje

Topicstarter

Verwijderd schreef op 07 september 2004 @ 11:48:
De geuploade file is corrupt.(Slechts paar bytes lang)
We zijn op GoT niet zo'n fans van linkjes naar malware, zou je aub eerst de file hier kunnen scannen om te zien of ons dat niet al genoeg verteld?

Het klinkt ago/rbot-achtig, zoals al verwacht.
spy sweeper(en soortegelijken) heeft/hebben niets te maken met backdoors, dat is voor ad/'spy'ware meuk, niet voor backdoors en dergelijke.
Het kan zijn dat ze sporadisch wat detecteren, maar daar blijft het dan bij.

Hmm okee, ja Kapersky zegt het volgende: infected by Backdoor.Rbot.gen

Precies zoals je zegt dus eigenlijk

Raar wel dat Norton en Housecall er niets vreemds aan zien ... Mischien toch maar eens over op een andere virusscanner.

Bedankt iig.

edit:
ohja, ik heb mijn vorige bericht even ge-edit. sorrie voor het linkje

[ Voor 6% gewijzigd door Wokkels op 07-09-2004 16:47 ]

Permanent wintericon!

dinsdag 7 september 2004 17:04

Acties:

Verwijderd

Wokkels schreef op 07 september 2004 @ 16:47:
[...]

Hmm okee, ja Kapersky zegt het volgende: infected by Backdoor.Rbot.gen

Precies zoals je zegt dus eigenlijk Raar wel dat Norton en Housecall er niets vreemds aan zien ... Mischien toch maar eens over op een andere virusscanner.

Ago/rbots zijn zo goed als altijd met een crypter/packer gepackt, Norton en Trend(housecall) hebben daar slechts enkele van aan boord.

Packers/crypters zijn hot voor zulke meuk, helaas dat slechts enkele vendors de meeste ondersteunen.
En zonder unpackers werken je generic signatures ook maar zeer beperkt en aangezien die nogal nodig zijn - er zijn duizenden varianten van Ago/Rbots - is de effectiviteit van een AV met een paar unpackers slechts zeer beperkt.

dinsdag 7 september 2004 18:40

Acties:

frickY

Hoort de Bloodhound engine (NAV) hem dan niet alsnog te detecteren? Misschien niet als file maar wel als hij wordt uitgevoerd.

Met ZoneAlarm had je trouwens direct een popup gekregen als sp2.exe verbinding met het netwerk probeerde te maken.

dinsdag 7 september 2004 19:31

Acties:

Verwijderd

frickY schreef op 07 september 2004 @ 18:40:
Hoort de Bloodhound engine (NAV) hem dan niet alsnog te detecteren? Misschien niet als file maar wel als hij wordt uitgevoerd.

NAV's heuristics zijn redelijk strak ingesteld, enige wat nog eens zou kunnen zeggen zou die 'bloodhound.packed' detectie, maar die is ook niet echt consequent.
En ook heuristics hebben een geunpackte sample nodig.
packed/crypted meuk wordt geunpacked in memory, behalve dat nieuwere versies van NAV helemaal niet meer aan memoryscanning doen, heb je er sowieso een compleet andere soort engine voor nodig.

Met ZoneAlarm had je trouwens direct een popup gekregen als sp2.exe verbinding met het netwerk probeerde te maken.

Mwah, zonealarm @ default settings kan zonder al teveel moeite gebypassed worden.