[Malware] IRC Backdoor infectie

Weet iemand waar ik een virus sample naar toe kan sturen voor analyse. Ik heb namelijk sterk het vermoeden dat ik een trojan op mijn pc heb die niet herkent wordt door http://virusscan.jotti.dhs.org. Ik heb vanmiddag (met mijn stomme kop) een exe file gerund. Nadat ik zojuist mijn pc opnieuw heb opgestart verschijnt sygate personal firewall met de melding dat svchost.exe verbinding wil maken met het internet. Het betreft hier een svchost.exe die staat in:

F:\WINDOWS\system\svchost.exe (daar hoort die dus niet thuis).

Hij probeert te connecten naar:

Remote Name : princeton.nj.us.undernet.org
Remote Address : 209.67.60.33
Remote Port : 6667 (IRCU - IRCU)

Als ik alleen naar de naam undernet kijk rinkelt er al een belletje!!

Ik heb nu dus de toegang van dit bestand geblockeerd om op internet te gaan. Tot slot gebruik ik kaspersky antivirus personal en deze herkent heb niet. Ik zou dit bestand dus graag naar een AV sturen zodat hun deze trojan in hun detectie kunnen opnemen.

Bart1983 schreef op woensdag 17 november 2004 @ 20:13:
Weet iemand waar ik een virus sample naar toe kan sturen voor analyse. Ik heb namelijk sterk het vermoeden dat ik een trojan op mijn pc heb die niet herkent wordt door http://virusscan.jotti.dhs.org. Ik heb vanmiddag (met mijn stomme kop) een exe file gerund. Nadat ik zojuist mijn pc opnieuw heb opgestart verschijnt sygate personal firewall met de melding dat svchost.exe verbinding wil maken met het internet. Het betreft hier een svchost.exe die staat in:

F:\WINDOWS\system\svchost.exe (daar hoort die dus niet thuis).

Hij probeert te connecten naar:

Remote Name : princeton.nj.us.undernet.org
Remote Address : 209.67.60.33
Remote Port : 6667 (IRCU - IRCU)

Als ik alleen naar de naam undernet kijk rinkelt er al een belletje!!

Ik heb nu dus de toegang van dit bestand geblockeerd om op internet te gaan. Tot slot gebruik ik kaspersky antivirus personal en deze herkent heb niet. Ik zou dit bestand dus graag naar een AV sturen zodat hun deze trojan in hun detectie kunnen opnemen.

Ik zou eerst eens wat trials downloaden, misschien kan een andere virusscanner het wel herkennen. www.softpedia.com

Deze virusscanners herkennen hem niet:

AntiVir
Avast
BitDefender
ClamAV
Dr.Web
F-Prot Antivirus
Kaspersky Anti-Virus
mks_vir
NOD32
Norman Virus Control

Het bestand starte ook automatisch. Dit heb ik uitgezet onder msconfig

En heb je ook gecontroleerd op spyware? En de bestandsnaam opgezocht met Google?

Uit mijn hoofd ken ik twee adressen:

- newvirus@kaspersky.com (KAV, doh)
- virus_research_europe@avertlabs.com (NAI/McAfee).

De rest is ongetwijfeld op de diverse AV-sites wel te vinden.

Verwijderd schreef op woensdag 17 november 2004 @ 20:39:
Iets dat naar IRC connect heeft echt bijster weinig te maken met Spyware...
Het gaat gewoon om een onbekende Backdoor.

Adres van Kaspersky's viruslab is newvirus@kasp...com

Het is inderdaad goed mogelijk dat het hier een backdoor betreft, maar het connecten met IRC sluit spyware natuurlijk niet meteen uit. Zeker omdat het stukje software met geen enkele virusscanner wordt herkent is ook een spyware scan aan te raden.

Verwijderd schreef op woensdag 17 november 2004 @ 21:08:
[...]

Spyware - voor zover die term bestaansrecht heeft - is normaal gesproken Adware die naar huis belt om gegevens door te faxen.
Het connecten naar IRC sluit spyware wel uit, want dan zit je naar iets met Backdoor capaciteiten te kijken, geen 'spyware' meer dus.
En op het gebied van backdoors stellen de spywarescanners gewoon (nog) niet veel voor.

Als je iets onbekends tegen komt moet je alle opties open houden, het is niet echt slim om iets meteen uit te sluiten. Wie weet had dit stukje software wel meerdere functies en was het én spyware én een virus.

Ja het is jammer dat ik het originele bestand heb weggegooit. Dat was namelijk een exe file. Deze heeft voor zover ik weet 2 dingen gedaan.

1: een bestand genaamd svchost.exe aangemaakt in windows/system
2: een startup key gemaakt om die svchost.exe te starten.

Ik heb 2 nu in msconfig uitgezet en nu krijg ik geen meldingen meer in mijn logboek dat sygate een verbinding naar buiten heeft geblockeerd.

Verwijderd schreef op woensdag 17 november 2004 @ 21:40:
Zeker dat je bak verder clean is?
Detectie wordt iig toegevoegd als Backdoor.Win32.VB.ye.

Tja ik weet natuurlijk nooit 100% zeker of alles nu helemaal weg is. Naar aanleiding van mijn firewall melding heb ik het bestand svchost.exe in windows/system weggegooit en de startup sleutel uitgevinkt bij msconfig. Ik zal vandaag en morgen nog wel ff extra in de gate houden of er geen vreemde exe, dll etc bestanden toegang willen tot het internet.

Alvast bedankt!

ja klopt