Archief
- De topics van lang geleden
Sasser infectie opgelopen? Computer opnieuw installeren!
06-05-2004, 19:15 door Anoniem, 14 reacties
Het SANS instituut raadt iedereen aan om het computersysteem
opnieuw te installeren na een Sasser infectie. Omdat er sprake is
van het LSASS exploit, kunnen er in de loop van de tijd naast Sasser
ook achterdeurtjes in het systeem zijn binnengeslopen.
Achterdeurtjes die overigens niet worden opgemerkt door
beveiligingsoftware zoals antivirussoftware. Vaak wordt bij de worm
Sasser inderdaad zo’n achterdeurtje gevonden, zodat het systeem
ook nog eens openstaat voor hackers. Het SANS instituut heeft
vastgesteld, dat het voor antivirus software een vrijwel onmogelijke
klus is om alle ‘bots’ af te vangen. Dit komt doordat er zoveel
varianten van deze ‘bots’ in omloop zijn. Met andere woorden :
geen enkel antivirusproduct voldoet aan de eisen van een volledige
cleaning van het systeem bij een infectie d.m.v het LSASS-exploit.
Alleen een duur onderzoek uitgevoerd door een forensisch specialist
kan dan nog uitkomst brengen.
Om die reden wordt iedereen dringend aangeraden om het hele
computersysteem opnieuw te installeren. Hierbij dienen de
bijgeleverde opstart diskette/CD met Cd-rom’s van de computer te
worden gebruikt.
Doet men dit niet, dan is de kans vrij groot, dat het systeem
ongemerkt blijft openstaan voor hackers die dan in bestanden
kunnen ‘rondwandelen’. De originele tekst van het SANS staat
hieronder:
A reader asked why we recommend a complete rebuild of systems
infected with 'sasser', given that 'sasser' is rather easy to clean.
The problem with 'sasser' is that it is an indicator exploit. The fact
that you are infected with 'sasser' indicated that you where
vulnerable to the LSASS exploit. Before sasser, a large number of
bot variants exploited this vulnerability. We find that many systems
infected with 'sasser' are infected with one or more bots in addition
to 'sasser'.
Each day, we receive several distinct 'bot' samples. Anti virus
signatures are typically not able to keep up with all versions, and
many 'bots' include specific code to plant backdoors, disable
firewalls and anti virus products, or to add additional system
accounts.
Antivirus software is not able to reliable detect and clean all these
bots. As a result, it is impossible to tell if any of these bots is left on
your system. Only a through (and costly) forensics analysis by a
trained specialist will provide some comfort.
As a result: If you are infected by 'sasser', try to rebuild your system
from scratch.
opnieuw te installeren na een Sasser infectie. Omdat er sprake is
van het LSASS exploit, kunnen er in de loop van de tijd naast Sasser
ook achterdeurtjes in het systeem zijn binnengeslopen.
Achterdeurtjes die overigens niet worden opgemerkt door
beveiligingsoftware zoals antivirussoftware. Vaak wordt bij de worm
Sasser inderdaad zo’n achterdeurtje gevonden, zodat het systeem
ook nog eens openstaat voor hackers. Het SANS instituut heeft
vastgesteld, dat het voor antivirus software een vrijwel onmogelijke
klus is om alle ‘bots’ af te vangen. Dit komt doordat er zoveel
varianten van deze ‘bots’ in omloop zijn. Met andere woorden :
geen enkel antivirusproduct voldoet aan de eisen van een volledige
cleaning van het systeem bij een infectie d.m.v het LSASS-exploit.
Alleen een duur onderzoek uitgevoerd door een forensisch specialist
kan dan nog uitkomst brengen.
Om die reden wordt iedereen dringend aangeraden om het hele
computersysteem opnieuw te installeren. Hierbij dienen de
bijgeleverde opstart diskette/CD met Cd-rom’s van de computer te
worden gebruikt.
Doet men dit niet, dan is de kans vrij groot, dat het systeem
ongemerkt blijft openstaan voor hackers die dan in bestanden
kunnen ‘rondwandelen’. De originele tekst van het SANS staat
hieronder:
A reader asked why we recommend a complete rebuild of systems
infected with 'sasser', given that 'sasser' is rather easy to clean.
The problem with 'sasser' is that it is an indicator exploit. The fact
that you are infected with 'sasser' indicated that you where
vulnerable to the LSASS exploit. Before sasser, a large number of
bot variants exploited this vulnerability. We find that many systems
infected with 'sasser' are infected with one or more bots in addition
to 'sasser'.
Each day, we receive several distinct 'bot' samples. Anti virus
signatures are typically not able to keep up with all versions, and
many 'bots' include specific code to plant backdoors, disable
firewalls and anti virus products, or to add additional system
accounts.
Antivirus software is not able to reliable detect and clean all these
bots. As a result, it is impossible to tell if any of these bots is left on
your system. Only a through (and costly) forensics analysis by a
trained specialist will provide some comfort.
As a result: If you are infected by 'sasser', try to rebuild your system
from scratch.
Reacties (14)
niets nieuws dus....
er wordt al lang aangeraden (door experts) om je pc opnieuw te installeren
na getroffen te zijn door een virus.
er wordt al lang aangeraden (door experts) om je pc opnieuw te installeren
na getroffen te zijn door een virus.
Nee, dit wordt alleen aangeraden bij bepaalde lekken. Helaas heeft
Windows de afgelopen jaren een aantal lekken gehad, waardoor
wormen konden opstarten, maar niet alleen wormen konden dat
doen, ook zg. bots. In het geval van een LSASS-exploit was niet
alleen Sasser die binnen kon komen, ook backdoors konden dit via
deze exploit. Daarom moet het systeem opnieuw geinstalleerd
worden.
Windows de afgelopen jaren een aantal lekken gehad, waardoor
wormen konden opstarten, maar niet alleen wormen konden dat
doen, ook zg. bots. In het geval van een LSASS-exploit was niet
alleen Sasser die binnen kon komen, ook backdoors konden dit via
deze exploit. Daarom moet het systeem opnieuw geinstalleerd
worden.
Door Anoniem
Nee, dit wordt alleen aangeraden bij bepaalde lekken. Helaas heeft
Windows de afgelopen jaren een aantal lekken gehad, waardoor
wormen konden opstarten, maar niet alleen wormen konden dat
doen, ook zg. bots. In het geval van een LSASS-exploit was niet
alleen Sasser die binnen kon komen, ook backdoors konden dit via
deze exploit. Daarom moet het systeem opnieuw geinstalleerd
worden.
Nee, dit wordt alleen aangeraden bij bepaalde lekken. Helaas heeft
Windows de afgelopen jaren een aantal lekken gehad, waardoor
wormen konden opstarten, maar niet alleen wormen konden dat
doen, ook zg. bots. In het geval van een LSASS-exploit was niet
alleen Sasser die binnen kon komen, ook backdoors konden dit via
deze exploit. Daarom moet het systeem opnieuw geinstalleerd
worden.
17-05-2004, 07:57 door
[Account Verwijderd]
[Verwijderd]
je pc in de veilige modus scannen en als je xp hebt eerst je system restore
uitzetten
uitzetten
Door Anoniem
je pc in de veilige modus scannen en als je xp hebt eerst je system restore
uitzetten
sorry hoor maar sasser heeft weinig shade aangericht.........je pc in de veilige modus scannen en als je xp hebt eerst je system restore
uitzetten
over de hele wereld dan....
maar daaraantegen blaster tja die heeft duizenden miljoenen scahde
aangericht...
Door Anoniem
over de hele wereld dan....
maar daaraantegen blaster tja die heeft duizenden miljoenen scahde
aangericht...
Door Anoniem
je pc in de veilige modus scannen en als je xp hebt eerst je system restore
uitzetten
sorry hoor maar sasser heeft weinig shade aangericht.........je pc in de veilige modus scannen en als je xp hebt eerst je system restore
uitzetten
over de hele wereld dan....
maar daaraantegen blaster tja die heeft duizenden miljoenen scahde
aangericht...
Wat is dit nu weer voor opmerking?
Een virus of worm hoort niet in je bak einde verhaal!
Schade of niet.
De vraag die gesteld was: Hoe verwijder ik dat ding!
Misschien voor de vrager prettig als daar antwoord op gegeven wordt?
Download (eventueel op een andere pc) een firewall en installeer die op de
getroffen pc. Het is ook mogelijk om de standaard firewall van Windows XP te
gebruiken. Raadpleeg hiervoor de helpfunctie met als zoekterm 'firewall'
(zonder de ' tekens).
Directe link om Zone Alarm te downloaden:
http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_45_594_000.exe
Meer info over Zone Alarm:
http://www.zonelabs.com/store/content/home.jsp
Zorg er in daarna voor dat je Windowsversie up to date is. Dit kun je doen
door de WindowsUpdate uit te voeren en alle beveiligings updates te
downloaden en te installeren. Het is mogelijk dat je de WindowsUpdate
meerdere keren uit moet voeren om alles te kunnen installeren.
Om als laatste het virus van je pc te verwijderen moet je de volgende
stappen uitvoeren:
1 - Klik op de onderstaande link om een removal tool te downloaden. Dit is
een programmaatje wat je op moet slaan en waarmee je het virus van de pc
kunt verwijderen.
http://securityresponse.symantec.com/avcenter/FxSasser.exe
2 - Sluit alle programma's af en verbreek de verbinding met een lokaal
netwerk en/of het internet.
3 - Deze stap is alleen voor mensen die Windows Me of Windows XP
gebruiken. Zet de optie Systeem Herstellen uit. Dit kun je doen door de
onderstaande stappen te volgen:
Windows Me:
a - Klik 'start' en klik via 'instellingen' op 'configuratiescherm'.
b - In het configuratiescherm zit een bestand genaamd 'systeem'. Open dit
door er dubbel op te klikken.
c - Klik in het scherm wat verschijnt op het tabblad 'prestaties' (rechts
bovenin).
d - Klik op 'bestandssysteem' (links onderin)
e - Klik op 'probleem oplossing' (rechts bovenin)
f - Zet een vinkje bij 'De optie Systeem Herstellen uitschakelen'.
g - Klik op 'toepassen' en 'sluiten' en start de pc opnieuw op als dat
gevraagd wordt.
Windows XP:
a - Klik op 'start' (deze stap kun je overslaan als je 'deze computer' op je
bureaublad hebt staan)
b - Klik met de rechter muisknop op 'mijn/deze computer' en klik vervolgens
op 'eigenschappen'.
c - Klik op het tabblad 'system restore' of 'systeem herstellen'.
d - Zet een vinkje bij 'systeem herstellen uitschakelen' of 'turn off system
restore (on all drives)'.
e - Klik op 'toepassen' en 'ok' en start de pc opnieuw op als dat gevraagd
wordt.
4 - Ga naar de locatie waar je de removal tool hebt opgeslagen, open het
bestand en klik op start om het programmaatje zijn werk te laten doen. Als er
foutmeldingen optreden of de removal tool geeft aan dat een bepaald
bestand niet te verwijderen is dan moet je de pc opstarten in de veilige
modus en dan de removal tool gebruiken. Voor meer info over het opstarten
van een pc in de veilige modus kun je op de volgende link klikken:
http://www.virushelp.nl/veilige_modus.htm
Overigens moet je er op letten dat je als 'administrator' in moet loggen onder
Windows NT, 2000 en XP want anders zal de removal tool niet werken.
5 - Start de pc opnieuw op en herhaal stap 4 om er zeker van te zijn dat het
systeem virusvrij is.
6 - Windows Me en XP gebruikers kunnen door stap 3 te herhalen de optie
Systeem Herstellen weer aan zetten. Het vinkje moet dan weg gehaald
worden.
7 - Draai een volledige systeemscan met een up to date virusscanner
waarbij de virusscanner zo is ingesteld dat hij in ALLE bestanden zoekt of
voer een online virusscan uit door op de onderstaande links te klikken.
Link naar de online virusscanner van Symantec (Norton):
http://security2.norton.com/ssc/vc_about.asp?
langid=nl&venid=sym&plfid=20&pkj=DEDJGFRHUUEOLULNPWV
Link naar de online virusscanner van Trend Micro:
http://housecall.antivirus.com/housecall/start_corp.asp
Link naar pagina van Microsoft Nederland met meer info:
http://www.microsoft.com/netherlands/Security/sasser.asp
getroffen pc. Het is ook mogelijk om de standaard firewall van Windows XP te
gebruiken. Raadpleeg hiervoor de helpfunctie met als zoekterm 'firewall'
(zonder de ' tekens).
Directe link om Zone Alarm te downloaden:
http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_45_594_000.exe
Meer info over Zone Alarm:
http://www.zonelabs.com/store/content/home.jsp
Zorg er in daarna voor dat je Windowsversie up to date is. Dit kun je doen
door de WindowsUpdate uit te voeren en alle beveiligings updates te
downloaden en te installeren. Het is mogelijk dat je de WindowsUpdate
meerdere keren uit moet voeren om alles te kunnen installeren.
Om als laatste het virus van je pc te verwijderen moet je de volgende
stappen uitvoeren:
1 - Klik op de onderstaande link om een removal tool te downloaden. Dit is
een programmaatje wat je op moet slaan en waarmee je het virus van de pc
kunt verwijderen.
http://securityresponse.symantec.com/avcenter/FxSasser.exe
2 - Sluit alle programma's af en verbreek de verbinding met een lokaal
netwerk en/of het internet.
3 - Deze stap is alleen voor mensen die Windows Me of Windows XP
gebruiken. Zet de optie Systeem Herstellen uit. Dit kun je doen door de
onderstaande stappen te volgen:
Windows Me:
a - Klik 'start' en klik via 'instellingen' op 'configuratiescherm'.
b - In het configuratiescherm zit een bestand genaamd 'systeem'. Open dit
door er dubbel op te klikken.
c - Klik in het scherm wat verschijnt op het tabblad 'prestaties' (rechts
bovenin).
d - Klik op 'bestandssysteem' (links onderin)
e - Klik op 'probleem oplossing' (rechts bovenin)
f - Zet een vinkje bij 'De optie Systeem Herstellen uitschakelen'.
g - Klik op 'toepassen' en 'sluiten' en start de pc opnieuw op als dat
gevraagd wordt.
Windows XP:
a - Klik op 'start' (deze stap kun je overslaan als je 'deze computer' op je
bureaublad hebt staan)
b - Klik met de rechter muisknop op 'mijn/deze computer' en klik vervolgens
op 'eigenschappen'.
c - Klik op het tabblad 'system restore' of 'systeem herstellen'.
d - Zet een vinkje bij 'systeem herstellen uitschakelen' of 'turn off system
restore (on all drives)'.
e - Klik op 'toepassen' en 'ok' en start de pc opnieuw op als dat gevraagd
wordt.
4 - Ga naar de locatie waar je de removal tool hebt opgeslagen, open het
bestand en klik op start om het programmaatje zijn werk te laten doen. Als er
foutmeldingen optreden of de removal tool geeft aan dat een bepaald
bestand niet te verwijderen is dan moet je de pc opstarten in de veilige
modus en dan de removal tool gebruiken. Voor meer info over het opstarten
van een pc in de veilige modus kun je op de volgende link klikken:
http://www.virushelp.nl/veilige_modus.htm
Overigens moet je er op letten dat je als 'administrator' in moet loggen onder
Windows NT, 2000 en XP want anders zal de removal tool niet werken.
5 - Start de pc opnieuw op en herhaal stap 4 om er zeker van te zijn dat het
systeem virusvrij is.
6 - Windows Me en XP gebruikers kunnen door stap 3 te herhalen de optie
Systeem Herstellen weer aan zetten. Het vinkje moet dan weg gehaald
worden.
7 - Draai een volledige systeemscan met een up to date virusscanner
waarbij de virusscanner zo is ingesteld dat hij in ALLE bestanden zoekt of
voer een online virusscan uit door op de onderstaande links te klikken.
Link naar de online virusscanner van Symantec (Norton):
http://security2.norton.com/ssc/vc_about.asp?
langid=nl&venid=sym&plfid=20&pkj=DEDJGFRHUUEOLULNPWV
Link naar de online virusscanner van Trend Micro:
http://housecall.antivirus.com/housecall/start_corp.asp
Link naar pagina van Microsoft Nederland met meer info:
http://www.microsoft.com/netherlands/Security/sasser.asp
29-05-2004, 19:01 door
c.s
laat Eerst die persoon maar even dat Virus er maar uit halen he .en dan de
software er in zetten .eer dat die persoon dadelijk nog meer in paniek?is [of
dat zo zal zijn ?] . en dan die ook er 1 firewal in zetten :
software er in zetten .eer dat die persoon dadelijk nog meer in paniek?is [of
dat zo zal zijn ?] . en dan die ook er 1 firewal in zetten :
29-05-2004, 19:03 door
c.s
zo te zien Oud bericht van , donderdag 06 mei 2004 19:15 , maar ach ja .is
gebeurt:
gebeurt:
Heb je geen anti-virus ???
Windows niet uptodate ???
- Als je gebruik maakt van Windows XP kunt je het steeds
opnieuw starten van de computer tegenhouden door:
start > uitvoeren > en dan invoeren Shutdown -a en klik 'OK'
- Doe nu een online virusscan:
http://housecall.trendmicro.com/housecall/start_corp.asp
- Haal nu eerst alle essentieele Windows-updates
- Download en installeer een gratis antivirus, bv. aVast:
http://www.avast.com/eng/down_home.html
suk6, Jan :-)
Windows niet uptodate ???
- Als je gebruik maakt van Windows XP kunt je het steeds
opnieuw starten van de computer tegenhouden door:
start > uitvoeren > en dan invoeren Shutdown -a en klik 'OK'
- Doe nu een online virusscan:
http://housecall.trendmicro.com/housecall/start_corp.asp
- Haal nu eerst alle essentieele Windows-updates
- Download en installeer een gratis antivirus, bv. aVast:
http://www.avast.com/eng/down_home.html
suk6, Jan :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
