Zoals een tijd geleden het geval was, zien we op het moment weer een nieuwe golf aan Afcorevarianten - en meer verontrustend - een aanzienlijk aantal meldingen hierover.
Important note:
Zeker de helft van de virusscanners kan niet goed met ADS overweg!!
Vandaar dit topic dus.
Aangezien er op het moment meer dan 40 varianten zijn, is het niet echt heel erg nuttig om hier 40 write-ups neer te zetten.
Globale omschrijving:
Afcore is een Backdoor trojan die zich als .dll file op het systeem manifesteert, de functies die de backdoor in zich heeft, geven de master bijna volledige controle over het systeem.
Er zal altijd een TrojanDropper en/of TrojanDownloader zijn die Afcore op het systeem moet installeren. Dit (o.a.) omdat de daadwerkelijk Afcore sample een .dll file is.
Afcore nestelt zich normaal gesproken in de %systemdir% directory.
(Doorgaans "C:\windows\system32" dus).
Uitleg over ADS:
Afhankelijk van de versie en het filesystem, zal Afcore zich in NTFS Alternative Data Streams nestelen.
O.a. dit is het gevaarlijke aan Afcore, omdat een hoog percentage virusscanners deze niet (fatsoenlijk) kunnen scannen.
Je kunt een ADS infectie aan het volgende herkennen:
In plaats van "\" wordt er ":" gebruikt.
Voorbeelden:
ADS appended to directory: "c:\windows\system32:abcdefg.dll"
ADS appended to file: "c:\windows\system32\svchost.exe:abcdefg.dll"
Meest voorkomende Afcore versie: ADS appended to directory.
Removal instructions:
Kijk met een util wat er allemaal opstart.(HijackThis, autostartexplorer, msconfig etc etc)
Hiermee vind je de exacte locatie van de file.
Open een command prompt.(start, run, cmd)
Type dan het volgende:
Als alles goed is gegaan, zie je een melding verschijnen in de trant van "AF has been removed".
Note:Spreekt natuurlijk voor zich dat het verstandig is om eens extra met een (andere) virusscanner je systeem te scannen, omdat er dus nog minstens één andere malicious file aanwezig moet zijn die eerst dus niet gedetecteerd werd, zij het door jezelf, zij het door je virusscanner.
Sources:
Mijn hoofd.
Backdoor.Afcore.q write-up
ADS leesvoer
Verder is er nog meer dan genoeg via google en dergelijke te vinden.
Disclaimer:
Foutjes voorbehouden.
Important note:
Zeker de helft van de virusscanners kan niet goed met ADS overweg!!
Vandaar dit topic dus.
Aangezien er op het moment meer dan 40 varianten zijn, is het niet echt heel erg nuttig om hier 40 write-ups neer te zetten.
Globale omschrijving:
Afcore is een Backdoor trojan die zich als .dll file op het systeem manifesteert, de functies die de backdoor in zich heeft, geven de master bijna volledige controle over het systeem.
Er zal altijd een TrojanDropper en/of TrojanDownloader zijn die Afcore op het systeem moet installeren. Dit (o.a.) omdat de daadwerkelijk Afcore sample een .dll file is.
Afcore nestelt zich normaal gesproken in de %systemdir% directory.
(Doorgaans "C:\windows\system32" dus).
Uitleg over ADS:
Afhankelijk van de versie en het filesystem, zal Afcore zich in NTFS Alternative Data Streams nestelen.
O.a. dit is het gevaarlijke aan Afcore, omdat een hoog percentage virusscanners deze niet (fatsoenlijk) kunnen scannen.
Je kunt een ADS infectie aan het volgende herkennen:
In plaats van "\" wordt er ":" gebruikt.
Voorbeelden:
ADS appended to directory: "c:\windows\system32:abcdefg.dll"
ADS appended to file: "c:\windows\system32\svchost.exe:abcdefg.dll"
Meest voorkomende Afcore versie: ADS appended to directory.
Removal instructions:
Kijk met een util wat er allemaal opstart.(HijackThis, autostartexplorer, msconfig etc etc)
Hiermee vind je de exacte locatie van de file.
Open een command prompt.(start, run, cmd)
Type dan het volgende:
code:
1
| rundll32.exe "path to file", Uninstall |
Als alles goed is gegaan, zie je een melding verschijnen in de trant van "AF has been removed".
Note:Spreekt natuurlijk voor zich dat het verstandig is om eens extra met een (andere) virusscanner je systeem te scannen, omdat er dus nog minstens één andere malicious file aanwezig moet zijn die eerst dus niet gedetecteerd werd, zij het door jezelf, zij het door je virusscanner.
Sources:
Mijn hoofd.
Backdoor.Afcore.q write-up
ADS leesvoer
Verder is er nog meer dan genoeg via google en dergelijke te vinden.
Disclaimer:
Foutjes voorbehouden.
Dit topic is gesloten.