Toon posts:

[d.net] Ongewenste client installaties

Pagina: 1
Acties:

zondag 17 oktober 2004 16:01

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Onlangs is hier een topic voorbij gekomen met meldingen van ongewenste client installaties. Ik heb er naar gekeken, en heb een paar openstaande vragen.

Ik wil wel benadrukken dat dit topic uitsluitend is om info te verzamelen. Het is niet te bedoeling hier speculaties te plaatsen.

In het voorgaande topic werden 2 dingen gemeld:
- een iosdt.exe
- een sims2 crack

iosdt.exe
Dit is gebaseerd op een trojan die al eerder voorbij is gekomen, nu schijnbaar met een ander e-mail adres.
Het is echter van belang te achterhalen waar de client vandaan komt, en de originele install te krijgen (reproduceerbaar, dus b.v. waar deze op de p2p netwerken te vinden is e.d.)

sims2 crack
Ik was in eerste instantie dus in de veronderstelling dat dat de installable van iosdt.exe zou zijn, maar voor zover ik kan zien is het dat niet.

Ik heb mijn virusscanner uitgeschakeld, en het geïnstalleerd.
Er wordt een mssvc32.exe geïnstalleerd in de windows\winsvc32 directory, die verborgen wordt (systemfolder)
Er wordt een proces gestart mssvc32.exe die 100% CPU pakt, maar er worden geen overige files geïnstalleerd (geen .ini, geen buffers)

Nu kan een client ook zonder deze files werken (buffer to memory, opdrachtregel vanuit register ipv .ini), maar ook in het register is er niets van te vinden.
Een mogelijkheid die ik openhoud is dat het 1) geen d.net client is. 2) het een client vanaf het internet binnenhaalt en die start zonder de files op de computer op te slaan.
De file heb ik hier staan voor degenen die ermee willen expirimenteren (eigen risico!) Pass: sims


Mensen die meer info hebben over de bovenstaande 2 verdachte pakketten worden verzocht contact op te nemen met de politie in hun woonplaats. eh... ik bedoel, met mij via Floppus bij distributeddotnet.

Info hier plaatsen kan ook, maar houd het dan alleen bij de info svp. :)

[ Voor 4% gewijzigd door Verwijderd op 17-10-2004 16:47 ]

zondag 17 oktober 2004 16:29

Acties:
  • 0 Henk 'm!
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 08-09 09:36

Haranaka

als je voor het instaleren even een programma als ethereal (netwerksniffer) aanzet dan kan je precies zien waarmee de computer connectie krijgt, en dus ook of hij blokjes wil fetchen bij dnet of een proxy.
Heb zelf geen tijd om hiermee te kutten, tentamens...

...

zondag 17 oktober 2004 17:12

Acties:
  • 0 Henk 'm!

Verwijderd

Zojuist aangifte gedaan bij de politie, maar die hebben geen idee waar ik het over heb :?

zondag 17 oktober 2004 17:32

Acties:
  • 0 Henk 'm!
  • Bastien
  • Registratie: Augustus 2001
  • Niet online

Bastien

Probleemeigenaar

Mbt het bestand in de zip:

Ik krijg een CRC error, hij maakt een bestand aan in de temp van de local settings in je profiel, zodra je 'm start. Er volgt een popup van de virusscanner. De virusscanner begint te piepen dat dit bestand (met een variabele naam van 8 letters.exe) een trojan bevat: Trojan Horse IRC/Backdoor.SdBot.52.P.

Maar meer doet ie hier niet, maakt volgens mij niets aan verder, en er draait ook niets anders in de task manager.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

zondag 17 oktober 2004 17:52

Acties:
  • 0 Henk 'm!
  • ParaNoiMia
  • Registratie: Mei 2000
  • Laatst online: 23-08 21:50

ParaNoiMia

Ik heb hem even door de Jotti Scan getrokken (http://virusscan.jotti.dhs.org/) en daarbij geeft Norman Virus Control de volgende info:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

Sandbox: W32/Backdoor; [ General information ]

* Accesses executable file from resource section.
* Display message box (CRC Failed) : Data Error - Invalid CRC. This File is corrupt.
* Creating several executable files on hard-drive.
* File length: 274394 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\mkmkjtbph.exe.
* Creates directory C:\WINDOWS\SYSTEM\WinSvc32.
* Creates file C:\WINDOWS\SYSTEM\WinSvc32\MsSvc32.exe.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders".
* Sets value "Common Startup"="C:\WINDOWS\SYSTEM\WinSvc32" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders".

[ Network services ]
* Connects to "wasdo7.ddo.jp" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname Exily.
* IRC: Uses username Robin.
* IRC: Sets the usermode for user Exily to +i.
* IRC: Joins channel #shywas1.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Attemps to NULL C:\WINDOWS\TEMP\mkmkjtbph.exe NULL.
* Enumerates running processes. (28.32 seconds taken)


Ik denk zelf niet dat dit de versie is waarmee een dnet client geinstalleerd wordt

zondag 17 oktober 2004 18:00

Acties:
  • 0 Henk 'm!
  • idef1x
  • Registratie: Januari 2004
  • Laatst online: 11-09 18:33

idef1x

Bij mij hetzelfde resultaat als Bastien....

Dank voor de verdere info ParaNoiMia....bij mij maakt ie idd ook niets aan, dus dit zal wel niet de juiste zijn

[ Voor 62% gewijzigd door idef1x op 17-10-2004 18:04 ]

zondag 17 oktober 2004 19:20

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Mooi...

Nu blijft dus de IOSDT.exe over

Als je googled op dat bestand, dan krijg je een behoorlijke waslijst. Het is alleen jammer dat het niet zo makkelijk te achterhalen is of dat over de eerdere versies ging (eind 2003) of over de huidige.

Helemaal top zou het zijn erachter te komen op welke manier het verspreid word.

maandag 18 oktober 2004 14:18

Acties:
  • 0 Henk 'm!
  • FlashBang
  • Registratie: Maart 2003
  • Laatst online: 11-09 20:27

FlashBang

Hoi.

[Oct 2003] A trojan claiming to be a "Product Activation" tool is in circulation. It installs in system32\iosdt\. The id is nordom@o2.pl. It emails it's log files through smtp.o2.pl. You will see a process, iosdt.exe, using taskman.
Das dus dezelfde maar dan met een ander email-adres als nu, dus als we er vanuit gaan dat alleen dat is aangepast, dan kan deze trojan gewoon vermomd als vanalles rondzwerven.

maandag 18 oktober 2004 15:13

Acties:
  • 0 Henk 'm!
  • Jive
  • Registratie: April 2000
  • Laatst online: 09-07 16:49

Jive

MooMooMastah

Tis denkik gewoon wachten tot er iemand een trojan client uitzet met als ID rc5@distributed.net
Dan is het leed helemaal niet meer te overzien.

Jive's Box
Jive @ DNET

maandag 18 oktober 2004 15:38

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Waarom?

rc5@ verschijnt sowieso al niet in de stats. Ook nu worden de blokjes die van trojans afkomen gewoon in de database verwerkt als blokjes die klaar zijn; er worden alleen geen punten voor gegeven.

Het zou het project helpen, maar verder heeft niemand er iets aan.

maandag 18 oktober 2004 15:50

Acties:
  • 0 Henk 'm!
  • SandStar
  • Registratie: Oktober 2002
  • Laatst online: 06:29

SandStar

DPC-Crew

Zandster

Verwijderd schreef op 18 oktober 2004 @ 15:38:
Waarom?

rc5@ verschijnt sowieso al niet in de stats. Ook nu worden de blokjes die van trojans afkomen gewoon in de database verwerkt als blokjes die klaar zijn; er worden alleen geen punten voor gegeven.

Het zou het project helpen, maar verder heeft niemand er iets aan.
Dan staat je project te boek als "Trojan project"... helpt de voortgang van het project wel maar of je die reputatie wilt...

maandag 18 oktober 2004 15:52

Acties:
  • 0 Henk 'm!
  • Jive
  • Registratie: April 2000
  • Laatst online: 09-07 16:49

Jive

MooMooMastah

Maar het camoufleert wel eventuele non rc5@ trojans ....
En niet iedereen do zo een trojan zou maken hoeft te gaan voor eigen scores of het project ...

Zo een trojan kan prima gebruikt worden om een ander team te pakken, of het hele project in discrediet te brengen.

[ Voor 66% gewijzigd door Jive op 18-10-2004 15:53 ]

Jive's Box
Jive @ DNET

maandag 18 oktober 2004 16:30

Acties:
  • 0 Henk 'm!
  • MarcyDarcy
  • Registratie: Juni 2000
  • Laatst online: 22:57

MarcyDarcy

SandStar schreef op 18 oktober 2004 @ 15:50:
[...]


Dan staat je project te boek als "Trojan project"... helpt de voortgang van het project wel maar of je die reputatie wilt...
Bij DF was er de mogelijkheid om door de DF crew remote de clients te killen en ze permanent uit te schakelen. Lijkt me wel zo fair, wel de trojans gebruiken voor het project is mijns inziens wat dubieus.

Algemene vraag: strekking van dit topic is hetzelfde als de vorige. Kan een modje deze 2 topics mergen en het slotje eraf halen. In dat andere topic stond al aardig wat info. (hier). Topicnaam dan wat algemener maken.

Floppus, hoe zit het met het 2e punt: het kapen van inactieve accounts van o.a. DPC'ers? Daar hoor ik je in dit topic niet over

maandag 18 oktober 2004 16:39

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
gekaapten zullen daar eigenlijk zelf een mail over moeten sturen naar help-me@ of abuse@ met in de mail bewijs dat het gekaapte account aan hen behoorde.

Sorry dat ik dat niet genoemd heb, maar dat leek me eigenlijk ook logisch :)
Een derde kan natuurlijk nooit claimen dat er accounts gestolen worden.

dinsdag 19 oktober 2004 13:11

Acties:
  • 0 Henk 'm!
  • MaVl
  • Registratie: Oktober 2002
  • Laatst online: 04-03-2024

MaVl

Zoals ik in mijn eigen topic al zei was deze pc van een klant, de pc zat zo dik onder de spyware dat ie niet meer vooruit te branden was.
Klant kon redelijk met de computer omgaan, maar echt verstand ervan had ie niet, hij kon mij dus helaas niet vertellen waar het vandaan kwam.
Dit was de enige iosdt.exe die mij onder ogen is gekomen, zoeken naar illegale bestanden op die pc had ook geen zin, pc verzoop in die troep.
Helaas dat die sims2 crack dus niet was wat wij zochten.
Klinkt een beetje vreemd, maar het is te hopen dat dat ding zich nog even doorverspreid zodat wij tweakers er nog 1 te pakken kunnen krijgen, met vermelding van bron.

dinsdag 19 oktober 2004 13:34

Acties:
  • 0 Henk 'm!

Verwijderd

Mm wel raar, dat die crack niks met die iosdt.exe te maken heeft.

Kennissen van mij hadden na het openen van een Sims 2 crack gedownload met kazaa ineens last van die iosdt.exe.

dinsdag 19 oktober 2004 13:40

Acties:
  • 0 Henk 'm!
  • ParaNoiMia
  • Registratie: Mei 2000
  • Laatst online: 23-08 21:50

ParaNoiMia

Verwijderd schreef op 19 oktober 2004 @ 13:34:
Mm wel raar, dat die crack niks met die iosdt.exe te maken heeft.

Kennissen van mij hadden na het openen van een Sims 2 crack gedownload met kazaa ineens last van die iosdt.exe.
Hebben ze de zipfile nog ? in principe, zo werkt de meeste spyware ook, kan er een dropper geinstalleerd worden, die vervolgens de iosdt.exe ophaalt en installeert. dan zit hij dus niet in de originele zip, maar komt daarna pas binnen...

woensdag 20 oktober 2004 13:31

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
*Schop*

Het virus in de Sims2 crack installeert volgens mij ook een backdoor; die zou dan weer gebruikt kunnen zijn voor het installeren van iosdt.exe

woensdag 20 oktober 2004 13:40

Acties:
  • 0 Henk 'm!

Verwijderd

Ik weet alleen dat het een .rar bestand was van Sims2 nocd crack deze opende zich niet maar je kon wel zien dat er wat gebeurde.


Jammer genoeg had ik te weinig tijd om alles goed na te lopen.

Oja naast de iosdt.exe vond ik ook een ini, een buffout en buffinn, alleen waren de namen iets anders.

[ Voor 22% gewijzigd door Verwijderd op 20-10-2004 13:41 ]

woensdag 20 oktober 2004 14:14

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
mja, die namen is nu juist waar het om gaat, hè? :P

woensdag 20 oktober 2004 15:35

Acties:
  • 0 Henk 'm!
  • Carp_Hunter
  • Registratie: November 2001
  • Laatst online: 29-05 19:55

Carp_Hunter

aka KiLLsLesS

Floppus heb je net een mail gestuurd en een kleine uitleg.

-KiLLALoT- -Guild Wars Player LLL en WauS- -System- & -Server

woensdag 20 oktober 2004 22:20

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
http://n0cgi.distributed.net/cgi/dnet-finger.cgi?user=bovine

woensdag 20 oktober 2004 22:57

Acties:
  • 0 Henk 'm!

Verwijderd

1. [Oct 2004] A trojan that is possible a variant of the iosdt a year ago has surfaced. It has been seen on peer-to-peer file sharing networks under the name "Sims2 Crack.exe" and when run it silently installs dnetc v2.9001-477 onto your computer. dnetc may have been renamed as iosdt.com or explorer.exe to hide its presence. The installer is compressed with UPX and contains the string "yeh, now we're ready to bring it on!" among other strings. This trojan appears to be Polish in origin and is running with participant id "grazpat@poczta.onet.pl"
Zoeken op die account geeft:
http://stats.distributed....hp?project_id=8&id=409649

Een van de subteams van die gekke polen die heel veel blokjes doen.

Floppus, wat gebeurt er met deze deelnemer of met het poolse team?

woensdag 20 oktober 2004 23:09

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
/me ziet een nieuwe reply vanuit zijn ooghoeken verschijnen, en legt de zwarte-piet schmink even neer.

"Even in het grote boek kijken, Sinterklaas!", en Piet-Floppus poetst alvast zijn roe. Sinterklaas kijkt om zich heen, maar ziet de stats-piet niet.

"Nou goed, we stoppen het blokkeer-bericht wel in zijn schoen", sprak sint, en duwde het briefje in de latex laarzen van de stats-piet.

"Die behandelen we vanavond wel, als stats-piet en ik er even flink met de zw... [CENSUUR]*This forum is marked for allowed viewing by public of all ages, offensive content has been removed*

woensdag 20 oktober 2004 23:16

Acties:
  • 0 Henk 'm!
  • DPCKippie
  • Registratie: Augustus 2002
  • Laatst online: 13-06-2023

DPCKippie

Team_Kwakende_kip

Hehehe....
Lol@Floppus :D :Y)

zondag 24 oktober 2004 00:11

Acties:
  • 0 Henk 'm!
  • MaVl
  • Registratie: Oktober 2002
  • Laatst online: 04-03-2024

MaVl

Bij mij op het werk hebben mijn collega's de klant nog een keer gesproken. Het blijkt dat de klant een dvd had met daarop deamon.exe en kennelijk vier cd images. Mijn collega's hebben gevraagd of deze dvd even bekeken mocht worden.
Het blijkt dat bij onze klant de client niet in de crack zat maar in deamon.exe, zodra het programma om de images te lezen wordt geinstalleerd, wordt iosdt ook geinstalleerd.
Ik heb deze dvd nog niet in handen mogen krijgen, maar zodra ik hem heb krijgt de crew zeker een mailtje met die deamon.exe.
Voor iedereen die denkt dat ie een kopie van deze dvd heeft, check het even en zoek een andere deamon.exe om je images uit te pakken ;)

edit:

kleine spellingscorrectie

[ Voor 5% gewijzigd door MaVl op 24-10-2004 00:12 ]

zondag 24 oktober 2004 19:57

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
gimmegimmegimme

Via Kazaa wel een deamon gevonden met virus, maar niet specifiek met deze.

woensdag 17 november 2004 09:11

Acties:
  • 0 Henk 'm!

Verwijderd

Sorry dat ik dit topic weer omhoog kick,

Maar ik heb vandaag mssvc32.exe ook geinstalleerd op mijn pc gevonden. Is dit nou zo'n rc5 client oid? En is die gewoon te verwijderen? Ik heb een aantal virusscanners gebruikt en ad aware, maar geen van alles zien het als een virus/trojan.

woensdag 17 november 2004 09:18

Acties:
  • 0 Henk 'm!
  • Robkazoe
  • Registratie: December 2002
  • Nu online

Robkazoe

Het programma zelf is geen virus/trojan. Tis alleen de manier waarop de client bij sommige PC's wordt geinstalleerd wat niet mag.

Meteen verwijderen zou ik niet doen omdat dan de dader neit meer achterhaalt kan worden.

woensdag 17 november 2004 09:19

Acties:
  • 0 Henk 'm!

Verwijderd

Laat maar weten wat ik moet doen om de dader te vinden

woensdag 17 november 2004 09:56

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
stuur die mssvc32.exe, waar waarschijnlijk dan ook een mssvc32.ini bijstaat die nog interessanter is, even naar Floppus:at:distributed:punt:net

Alvast bedankt!

woensdag 17 november 2004 10:03

Acties:
  • 0 Henk 'm!

Verwijderd

Ok, het wordt wel vanavond, want ik zit nu op m'n werk :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq