Installatie illegale dnet client - Dutch Power Cows

zondag 14 november 2004 16:12

Acties:

Verwijderd

Topicstarter

Toen ik vandaag keek waarom seti langzamer draaide dan normaal kwam ik een proces met de naam dnetc tegen dat veel van m'n cpu gebruikte.
Uit een zoekactie op m'n pc kwamen 2 bestanden waaronder een bestand met een config:

[parameters]
id=dpc_de@hotmail.com
[misc]
project-priority=RC5,OGR=0,DES=0,CSC=0

[networking]
keyserver=62.195.38.112:2064
nofallback=true
autofindkeyserver=no

[rc5]
preferred-blocksize=33
fetch-time-threshold=0
fetch-workunit-threshold=100
randomprefix=252

[ogr]
fetch-workunit-threshold=5

[buffers]
frequent-threshold-checks=0
checkpoint-filename=dpc

[logging]
log-file=koelog.txt
log-file-type=fifo

[triggers]
restart-on-config-file-change=yes

[display]
progress-indicator=on
detached=yes

Ik neem aan dat jullie met deze informatie de dader kunnen achter halen, graag hoor ik wat jullie hiermee willen doen.

zondag 14 november 2004 16:13

Acties:

SjOuKeS

HmmmmPie!!!!

Het is een chello klant die z'n eigen proxy draait, dat kan ik d'r uithalen maar denk niet dat je hier echt aan het goeie adres bent voor dit soort dingen..

Een beetje googlen had je deze link: http://www.distributed.net/trojans.php opgeleverd.
Trojan

#

[Apr 2002] A number of compromised Windows machines have been found with a copy of the dnetc client configured with the address dpc_de@hotmail.com. The affected machines were typically using a dnetc.ini that used a personal proxy server at address 62.195.38.112 (node-d-2670.a2000.nl). Although the email address implies a connection with the team "Dutch Power Cows", there is no official relationship between the two. It is believed that the trojan was distributed on the Kazaa filesharing network within a program claiming to be an MSN hacking utility.

Je hebt jezelf waarschijnlijk besmet met een heel oude trojan

(MSN Hacker..)

[ Voor 86% gewijzigd door SjOuKeS op 14-11-2004 16:16 ]

zondag 14 november 2004 16:16

Acties:

Exterazzo

Qeasy

Het is iig een client die volgens mij niet eens meer werkt, want RC5(-64) is afgelopen, OGR ook, en DES en CSC al helemaal.

Het email adres is van Division Eindhoven:

http://stats.distributed.net/participant/psearch.php?project_id=205&st=dpc_de@hotmail.com

[ Voor 56% gewijzigd door Exterazzo op 14-11-2004 16:17 ]

Audentia

zondag 14 november 2004 16:21

Acties:

pasta

Ondertitel

Daarbij bestaat Division Eindhoven niet meer, dat is overgegaan naar Division Brabant. Ik geloof dat toendertijd het betreffende uit het team is geschopt.

Ik heb overigens Witlof (Division Brabant Crewmember) deze kant uit geschopt, hij zal het verhaal wat beter kunnen uitleggen.

Signature

zondag 14 november 2004 16:22

Acties:

MarcyDarcy

kun je achterhalen sinds wanneer die D.NET client draait en waarmee hij is geinstalleerd? Bijv. recent een crack/no cd patch gedownload voor een of ander spel?

zondag 14 november 2004 16:22

Acties:

Verwijderd

Topicstarter

Exterazzo schreef op zondag 14 november 2004 @ 16:16:
Het is iig een client die volgens mij niet eens meer werkt, want RC5(-64) is afgelopen, OGR ook, en DES en CSC al helemaal.

Het email adres is van Division Eindhoven:

http://stats.distributed.net/participant/psearch.php?project_id=205&st=dpc_de@hotmail.com

Hij werkt nog wel als hij draait gebruikt ie cpu kracht en ook heb ik een logboek waarin staat wat hij wanneer heeft gedaan hieronder een kort voorbeeld:
3.01:10:41.62 - [86.44 kkeys/s]
[Nov 08 20:36:30 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 20:36:30 UTC] 672 RC5 packets (678 work units) are in buff-out.rc5

dnetc v2.8010-463-CTR-00071213 for Win32 (WindowsNT 5.1).
Using email address (distributed.net ID) 'dpc_de@hotmail.com'

[Nov 08 20:54:41 UTC] Recovered 1 checkpoint packet
[Nov 08 20:57:21 UTC] RC5: using core #6 (RG/HB ath).
[Nov 08 20:57:22 UTC] Loaded RC5 1*2^28 packet FDDB26C8:30000000 (23.60% done)
[Nov 08 20:57:22 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 20:57:23 UTC] 672 RC5 packets (678 work units) are in buff-out.rc5
[Nov 08 20:57:23 UTC] 1 cruncher has been started.
[Nov 08 21:35:54 UTC] Completed RC5 packet FDDB26C8:30000000 (1*2^28 keys)
0.00:38:31.64 - [88,648.42 keys/sec]
[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
[Nov 08 21:39:03 UTC] Summary: 1 RC5 packet (1*2^28 keys)
0.00:38:31.64 - [88.64 kkeys/s]
[Nov 08 21:39:03 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 21:39:03 UTC] 673 RC5 packets (679 work units) are in buff-out.rc5
[Nov 08 22:31:29 UTC] Completed RC5 packet FD285416:E0000000 (1*2^28 keys)
0.00:52:25.40 - [85,342.07 keys/sec]
[Nov 08 22:34:38 UTC] Loaded RC5 random 1*2^28 packet FDBDAB99:C0000000
[Nov 08 22:34:38 UTC] Summary: 2 RC5 packets (2*2^28 keys)
0.01:30:57.04 - [86.74 kkeys/s]
[Nov 08 22:34:38 UTC] 0 RC5 packets (0 work units) remain in buff-in.rc5
[Nov 08 22

zondag 14 november 2004 16:24

Acties:

Verwijderd

Topicstarter

MarcyDarcy schreef op zondag 14 november 2004 @ 16:22:
kun je achterhalen sinds wanneer die D.NET client draait en waarmee hij is geinstalleerd? Bijv. recent een crack/no cd patch gedownload voor een of ander spel?

De map waar alles instaat is aangemaakt op zo 17 okt het logbestand bevat info vanaf 7 nov ik ga nu effe zoeken waar t vandaan kan komen

zondag 14 november 2004 16:25

Acties:

pasta

Ondertitel

Mjah, hij laadt dus random pakketjes. Die telden toendertijd bij RC5-64 al niet mee. Hij valt gewoon uit te schakelen en te verwijderen dus. Misschien is het verstandig om wel nog even te traceren waar ie vanaf komt. (bij gevoegd bij welk programma)

Signature

zondag 14 november 2004 16:30

Acties:

Verwijderd

Topicstarter

pasta schreef op zondag 14 november 2004 @ 16:25:
Mjah, hij laadt dus random pakketjes. Die telden toendertijd bij RC5-64 al niet mee. Hij valt gewoon uit te schakelen en te verwijderen dus. Misschien is het verstandig om wel nog even te traceren waar ie vanaf komt. (bij gevoegd bij welk programma)

Dat is het probleem ik weet niet waar ik moet zoeken om dat nog na te gaan, Source: C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\WL6RWXMJ\DNETC-WIN32-X86-SETUP[1].EXE staat in het logbestand als de lokatie waar t bestand naartoe gedownload zoe zijn maar deze map schijnt helemaal niet te bestaan zelfs niet C:\WINDOWS\TEMPORARY INTERNET FILES.

zondag 14 november 2004 16:33

Acties:

Verwijderd

Topicstarter

SjOuKeS schreef op zondag 14 november 2004 @ 16:13:
Het is een chello klant die z'n eigen proxy draait, dat kan ik d'r uithalen maar denk niet dat je hier echt aan het goeie adres bent voor dit soort dingen..

Een beetje googlen had je deze link: http://www.distributed.net/trojans.php opgeleverd.
Trojan

[...]

Je hebt jezelf waarschijnlijk besmet met een heel oude trojan (MSN Hacker..)

Als dat zo is hoe komt t dan door m'n router firewall en virusscanner heen zonder dat deze een virus vinden?

zondag 14 november 2004 16:40

Acties:

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 16:33:
[...]

Als dat zo is hoe komt t dan door m'n router firewall en virusscanner heen zonder dat deze een virus vinden?

Denk niet dat dat aan mij is om dat uit tegaan leggen..
De Dnet client is niet een trojan opzich.. totdat iemand dat er van maakt dmv een exe packer oid.. en die hoeven niet allemaal als virus te worden gezien.
Gezond verstand gaat altijd nog boven een virusscanner..
Verder staat als het goed is in je firewall log dat je PC om dezoveel tijd verbinding probeert te maken met: 62.195.38.112:2064

[ Voor 20% gewijzigd door SjOuKeS op 14-11-2004 16:44 ]

zondag 14 november 2004 16:49

Acties:

MarcyDarcy

Verwijderd schreef op zondag 14 november 2004 @ 16:30:
[...]

Dat is het probleem ik weet niet waar ik moet zoeken om dat nog na te gaan, Source: C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\WL6RWXMJ\DNETC-WIN32-X86-SETUP[1].EXE staat in het logbestand als de lokatie waar t bestand naartoe gedownload zoe zijn maar deze map schijnt helemaal niet te bestaan zelfs niet C:\WINDOWS\TEMPORARY INTERNET FILES.

Het kan dat dat pad is ' afgeschermd' in Windows zelf. Probeer eens via een MS-Dos promt naar dat pad toe te gaan en kijken of het nog bestaat?

zondag 14 november 2004 16:56

Acties:

Kristof

is een Belgisch product

In Windows XP (windows200 etc gelijkaardig):
My Computer
menu tools > Folder Options
tabblad View
1) Vink uit: Hide protected Operation system files
2) verander de checkbox er iets boven naar: Show hidden files and folders

"You can get more with a kind word and a gun than you can with a kind word alone." - Al Capone

zondag 14 november 2004 17:15

Acties:

Verwijderd

Topicstarter

MarcyDarcy schreef op zondag 14 november 2004 @ 16:49:
[...]
Het kan dat dat pad is ' afgeschermd' in Windows zelf. Probeer eens via een MS-Dos promt naar dat pad toe te gaan en kijken of het nog bestaat?

Heb ik net geprobeerd maar het bestaat echt niet ( k heb een nederlandse windows xp versie ).
Ook kristof z'n oplossing heeft niet mogen helpen.
Allemaal bedankt alvast ik denk dat ik dit ip adres maar door ga geven aan een cracker dan kan die die gast t leven zuur maken.

zondag 14 november 2004 17:28

Acties:

Tjark

DON'T PANIC

Hmm, dus omdat jij zo dom bent geweest om een 'msn hacktool' te downloaden waarmee jij _jezelf_ besmet hebt ga je iemand pesten waarvan je niet eens zeker weet of hij nog wel dat ip adres heeft?

(ik ga er niet vanuit dat de orginele maker nog steeds dat chello ip heeft)

*insert signature here

zondag 14 november 2004 17:38

Acties:

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 17:15:
[...]

Heb ik net geprobeerd maar het bestaat echt niet ( k heb een nederlandse windows xp versie ).
Ook kristof z'n oplossing heeft niet mogen helpen.
Allemaal bedankt alvast ik denk dat ik dit ip adres maar door ga geven aan een cracker dan kan die die gast t leven zuur maken.

Wat wil je nu dat ik hier voor reactie op geef? behalve dan dat je zelf niet echt slim bezig bent...

zondag 14 november 2004 17:42

Acties:

Verwijderd

ik weet uit het verleden dat er een client is geweest waar Devision Eindhoven hemel en aarde hebben bewogen omdat uit te zoeken wie het deed.

dit was zeker niet met hun goedkeuring, ik zou even wachten op een reactie van bv Witlof die was toen ook erg actief om alles uit te zoeken

zondag 14 november 2004 17:58

Acties:

Verwijderd

Dit is inderdaad hééél erg oud.

Er is destijds een poging geweest om deze deelnemer in discrediet te brengen. Het is destijds al opgelost door een ander account in gebruik te nemen, en het oude te blokkeren.

Er zullen niet alsnog andere maatregelen genomen worden vanuit de projectorganisatie. Mocht informatie beschikbaar komen die erop wijst dat inderdaad hackpogingen worden ondernomen tegen het genoemde IP, dan zal ik de eerste zijn die al het mogelijke zal doen de verantwoordelijken op te sporen.

Het mag overigens een prestatie op zich genoemd worden een dergelijke trojan nog binnen te krijgen. Overigens belast de client inderdaad de CPU wel steeds, en poogt werk te doen, maar kan het werk verder toch niet kwijt omdat de projecten waar die client voor is allang zijn afgelopen.

De beste oplossing is even de cleaner te downloaden:
http://www.moosoft.com/

En daarna even de meest recente client downloaden:
http://http.distributed.n...lient/dnetc-win32-x86.zip
Om je CPU cycles alsnog nuttig in te zetten.

[ Voor 28% gewijzigd door Verwijderd op 14-11-2004 18:03 ]

zondag 14 november 2004 19:16

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op zondag 14 november 2004 @ 17:58:
Dit is inderdaad hééél erg oud.

Er is destijds een poging geweest om deze deelnemer in discrediet te brengen. Het is destijds al opgelost door een ander account in gebruik te nemen, en het oude te blokkeren.

Er zullen niet alsnog andere maatregelen genomen worden vanuit de projectorganisatie. Mocht informatie beschikbaar komen die erop wijst dat inderdaad hackpogingen worden ondernomen tegen het genoemde IP, dan zal ik de eerste zijn die al het mogelijke zal doen de verantwoordelijken op te sporen.

Het mag overigens een prestatie op zich genoemd worden een dergelijke trojan nog binnen te krijgen. Overigens belast de client inderdaad de CPU wel steeds, en poogt werk te doen, maar kan het werk verder toch niet kwijt omdat de projecten waar die client voor is allang zijn afgelopen.

De beste oplossing is even de cleaner te downloaden:
http://www.moosoft.com/

En daarna even de meest recente client downloaden:
http://http.distributed.n...lient/dnetc-win32-x86.zip
Om je CPU cycles alsnog nuttig in te zetten.

Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.

zondag 14 november 2004 19:18

Acties:

Verwijderd

Topicstarter

TjarkVerhoeven schreef op zondag 14 november 2004 @ 17:28:
Hmm, dus omdat jij zo dom bent geweest om een 'msn hacktool' te downloaden waarmee jij _jezelf_ besmet hebt ga je iemand pesten waarvan je niet eens zeker weet of hij nog wel dat ip adres heeft?
(ik ga er niet vanuit dat de orginele maker nog steeds dat chello ip heeft)

Heb geen id waar t vandaan komt zeker niet uit een msn hacktool die heb ik nergens op m'n pc

zondag 14 november 2004 19:55

Acties:

BwO

Up The Irons!

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]

Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.

[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
Als ie random pakketjes doet dan heeft hij dus geen werk binnengekregen via dat IP en dat kan ook niet want RC5-64 is allang afgelopen. Ik zou gewoon de client verwijderen en gewoon verder boincen. Vooral omdat het zo out-dated is.

<<Team BSD>> #22 OGR-24 - #12 OGR-25

zondag 14 november 2004 20:16

Acties:

SjOuKeS

HmmmmPie!!!!

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]

Ik draai al mee aan boinc een project waar gelukkig geen trojans van bestaan.
Dus op mijn hulp kan je alleen rekenen bij een ander dpc project.
De cleaner van moosoft werkt niet onder win xp dat heb ik al geprobeerd.
Als die d-net client contact maakt met het genoemde ip krijgt ie werk toegezonden dat betekent voor mij dat t ip nog in gebruik is.
Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.

offtopic:
Ga jij dan maar lekker DDoS'en

Als je er zoveel verstand van hebt waarom ben je ons dan nodig

.
En er staat met koeie letters in de log dat ie random keys berekend..

[ Voor 8% gewijzigd door SjOuKeS op 14-11-2004 20:18 ]

zondag 14 november 2004 20:16

Acties:

Verwijderd

Verwijderd schreef op zondag 14 november 2004 @ 19:16:
[...]

Als je meer weet over DDos weet je ook dat daders nooit te vinden zijn.

och... Dit topic geeft een goed idee waar te zoeken, niet?

Ik denk niet dat je je bij veel mensen hier geliefd maakt door met dingen als DDOS attacks te gaan dreigen omdat je toevallig ergens een IP adres in bent tegengekomen, en eigenlijk geen idee hebt hoe en wat. Er zit nogal een historie aan, en degenen wiens IP jij daar hebt staan bleek er in het geheel niets mee te maken te hebben.

Maar goed, laten we die client van je PC halen, en het daarbij laten.

Kijk in je services-lijst naar distributed.net client, en verander de opstart naar "uitgeschakeld". Stop tevens de service.
De client kan nu gewoon verwijderd worden.

Je kan alle files zichtbaar maken door in een command prompt ff het volgende vanuit de root directory te tikken:

attrib -r -s -h *.* /s /d

zondag 14 november 2004 20:27

Acties:

Pim.

Aut viam inveniam, aut faciam

Maar waarom onder DoS werken ??, windows is toch makkeijker (of linux) ???

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME

zondag 14 november 2004 22:16

Acties:

Verwijderd

Topicstarter

BwO schreef op zondag 14 november 2004 @ 19:55:
[...]

[Nov 08 21:39:03 UTC] Loaded RC5 random 1*2^28 packet FD285416:E0000000
Als ie random pakketjes doet dan heeft hij dus geen werk binnengekregen via dat IP en dat kan ook niet want RC5-64 is allang afgelopen. Ik zou gewoon de client verwijderen en gewoon verder boincen. Vooral omdat het zo out-dated is.

Dat heb ik ondertussen al gedaan, dat Ddos verhaal was om floppus te plagen

Nu ik toch jullie aandacht heb: dpc wordt binnen enkele dagen de top 25 uitgezet door een groepje italianen laten jullie dat gebeuren of zijn er hulptroepen onderweg?

maandag 15 november 2004 00:47

Acties:

BwO

Up The Irons!

Dat laten we gebeuren

(ik spreek voor m'n subteam dan)

<<Team BSD>> #22 OGR-24 - #12 OGR-25

maandag 15 november 2004 09:22

Acties:

Witlof

Dit is wel een hele oude koe die uit de sloot gehaald wordt

Maar uhm, het is dus een oude client die ooit verspreid is. Het is voor het RC5-64 project en flushed naar een IP-adres waar lang geleden een proxy draaide. Dit adres is allang niet meer ingebruik door iemand van ons team dus van mij mag je er mee doen wat je wilt

Denk dat er verder niet veel meer over gezegd hoeft te worden want Floppus heeft alles al uitgelegd. Jammer dat deze trojan weer opduikt

maandag 15 november 2004 13:28

Acties:

DSmarty

Gaat inmiddels nergens meer over.

Pagina: 1

Dit topic is gesloten.