1. Pas had ik een Backdoor trojan: Proxy Ranky in mijn pc. Dwars door een
commerciële firewall, door een spy- en adwaredetector, en door een router
heen!

2. Volgens de beschrijving van sites voor beveiliging, zou deze trojan een
verbinding leggen met een proxyserver, waarna de besmette pc gebruikt
kan worden, om allerlei zaken mee te verzenden. Zogenaamd dan
namens de eignenaar van de pc?

2. Al sinds maanden bleek ook nog, dat het extern zichtbare IP-adres (op
forums die dat tonen) steeds veranderde. Zonder aanleiding.

3. Later bleek dat ook de hostname, gekregen van de provider, bij bezoek
aan sites (extern te zien alleen dus) steeds anders was. Of was die
vreemde hostname achter het getoonde IP-adres te zien met analysers on
line.

4. Deze extern zichtbaar gemaakte adressen hadden niéts te doen met de
adresgegevens op de harde schijf van de pc!

5. Voor het voorgaande kwam geen verklaring van de provider. Na diverse
mails.

6. Vlak hiervóór had ik een virus opgelopen dat het moederbord torpedeert
als het doel treft. Dit virus was van het hoofgste risico.

7. Het heeft er alle schijn van dat het IP-adres gehijacked is, of het
modem? Mijn pc analyser toont de modem niet! Bij het blad met gegevens
over de internetverbinding, blijken nu andere gegevens te staan, dan sinds
2001 het geval was. Dit terwijl er niets is veranderd intern behalve de pc.
Ik weet niet hoe dit kan .

6. Installatie van een andere pc gaf ook al iets vreemds te zien: Er werd
niet meer gevraagd naar de aanlsuiting van een provider, en dergelijken.
Steeds werd vanzelf de internetverbinding tot stand gebracht: met of zonder
router! En zelfs als alles van de pc was afgekoppeld (modem, router e.d.)
zodat er geen detectie kon plaatvinden. Bij de (her) installatie en na
volledige recovery van de harde schijf. Dit heb ik in 6 jaar nog niet
meegemaakt op het web en ook niet over gehoord.

7. De hostname moest tot voor kort bij elke nieuwe aanmelding (na
recovery harde schijf of nieuwe pc) handmatig worden ingevoerd.
Anders kon je niet op internet komen. Dus hostname invullen als
computernaam.

8. Ik heb een heel andere hostname ook nog gevonden op een website
hangende achter mijn zoveelste andere IP op dat moment. En dit is
allermaal doorgegeven aan de provider. Die zei echter jl. zaterdag nog, dat
de privacy van deze virusverspreider en hijacker belangrijk is zodat ze niet
zeiden van wie dat CP-computernaam adres was. Wel wilden ze weten
hoe ik daar aan kwam! En intimideerde de provider min of meer dat de
provider de internetverbinding zou verbreken als ik dit struisvogelgedrag
van de provider op het web zou melden.

9. Wie weet meer van hijacking van IP, router of modem?

10. Wie weet hoe het kan dat de Vista systeemanalyser alle apparaten
gedetailleerd benoemt, behalve het modem, dat niet zou zijn te zien terwijl
ik gewoon op het web zit?

11. Er is hier ook al geen vaste telefoon. En nog nooit is er telefonisch
toegang hier geweest tot internet. Er is hier alleen sprake van een vaste
breedband kabelverbinding met 1 pc sinds 2001 en een router.

12. De vraag is wel of die router nog veilig is?

13. Wie wil verder meedenken om vast te stellen wat hier aan de hand kan
zijn? Vooral nu bij vergaande beveiliging met bekende merken, en
dagelijks opschonen van de pc, er toch ernstige zaken hebben
plaatsgevonden.

Graag jullie berichten,
non techneut

non techneut: dit is geen vraagbaak.

1 ) Welke variant van Proxy Ranky had je?. Hier zijn
diversen varianten van bekend.

Er van uitgaande dat je de eerste variant had. Je geeft aan
dat de ze door een
commerciele firewall heen is gekomen. Wat voor firewall is
dit?. Doet deze (slechts)
aan Statefull Inspection? of analyseerd deze verkeerstromen?
Wellicht helpt deze
link: http://en.wikipedia.org/wiki/Firewall_(networking).
Zit er in de firewall ook
iets van een IDS of IPS? Wellicht helpen die loggings ( als
ze aan staan? ).

Kijk eens goed naar je firewall rules of alles goed staat.

Ook geef je aan dat de infectie door Spy-en Adware detectors
gekomen is. Wat is het
patch level van de PC? Waren de signatures up-to date? Wat
is de gebruikte browser?
IE/Firefox/etc ?..

2 ) Kan, maar hoeft niet. Als de infectie puur bedoelt was
om meer zombie pc's te
vergaren, wat in dit geval mij het aannemelijkst lijkt, is
de pc slechts 'een nummer
in de lijst'

(externe) IP addressen?.. Dit klinkt als een dynamisch IP
addres en wordt veel gebruikt
door providers. ( kijk eens op
http://en.wikipedia.org/wiki/IP_address#Static_and_dynamic_IP_addresses
)

3 ) Dynamisch IP addres? Zie punt 2. Wellicht dat er ergens
eens iets mis is gegaan
in het DNS resolven, waardoor je een IP addres hebt gezien
ipv een hostname, welke
verwarring hebben veroorzaakt? ( kijk eens op
http://nl.wikipedia.org/wiki/Domain_Name_System )

4 ) Ik denk dat je hier een NAT translatie bedoelt. Kijk
eens op http://nl.wikipedia.org/wiki/Network_address_translation

5 ) wellicht dat bovenstaande je meer inzicht heeft gegeven.

6 ) Heb je een naam? .. hier kunnen we weinig mee..

7 ) het hyjacken van IP addressen op internet is een
behoorlijke onderneming. Voor het vergaren
van een zombie pc'tje lijkt me dit niet logisch. Als je PC
analyser je modem niet ziet is je
modem wellicht defect. Kijk eens onder het configuratie
scherm bij aparaat beheer.

6 ) - je nummering klopt niet ;) - Erg vreemd verhaal. Zit
er een wireless kaart in je PC?. Met
wat voor Windows versie installeerde je de PC ? Of was dit
een restore CD?. Je geeft aan de hele
harddisk recovered te hebben. Hoe heb je dit gedaan?. Weet
je zeker dat je backup geen malware bevat?

7 ) Stonden je DNS instellingen goed?

8 ) Wellicht dat er een strafrechtelijk onderzoek loopt naar
de betrokkene malware verspreider. Mocht
je ontevreden zijn over de internet provider, zou ik gewoon
een klacht indienen.

9 ) wat wil je weten? Kijk eens op :
http://nl.wikipedia.org/wiki/Internet_Protocol_Spoofing

10 ) heb je de manual al geprobeerd?
http://support.microsoft.com/

12 ) Wat voor router is het? Ik zou even goed alle
instellingen nalopen...


Hopelijk kan je hier wat mee..
soms een beetje techneut :)