Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Conficker worm gezocht

19-02-2009, 15:30 door Anoniem, 34 reacties
Grz all,

Wie van jullie is ooit al eens besmet geraakt door de worm en/of heeft een exemplaar. Exemplaar zal enkel gebruikt worden voor experimentele gesloten testdoeleinden.

Mvg
Reacties (34)
19-02-2009, 18:32 door Anoniem
Zet gewoon een ongepatch systeem op het internet en hij komt vanzelf langs.
19-02-2009, 19:03 door Anoniem
Is dit voor zakelijk of particulier gebruik ?
19-02-2009, 19:40 door Fabienne
Wat is er moeilijk aan om een niet up to date Windows systeem direct aan het net te hangen? Hij komt dan (samen met wat vriendjes) vanzelf bij je langs en dan hoef je niet van die (naar mijn mening) vreemde vragen te stellen op een security forum.

Gr Fabienne.
19-02-2009, 20:13 door [Account Verwijderd]
[Verwijderd]
19-02-2009, 20:28 door Anoniem
Voor welk OS moet die worm zijn?
19-02-2009, 20:51 door [Account Verwijderd]
[Verwijderd]
19-02-2009, 21:24 door Anoniem
Voor dit soort vragen kun je beter naar http://www.offensivecomputing.net/ gaan.
19-02-2009, 21:31 door _nip3r
Compile m zelf..misschien heb ik de source ervan......en gebruik altijd VMware, om te testen...
ik geef je de source code later..
19-02-2009, 23:10 door [Account Verwijderd]
[Verwijderd]
20-02-2009, 08:07 door Bitwiper
Door $nip3ren gebruik altijd VMware, om te testen...
Ik heb ergens (weet niet meer waar) gelezen dat de code detecteert of deze binnen VMWare draait. Gedrag zal dan waarschijnlijk anders zijn.
20-02-2009, 09:49 door Anoniem
Het is niet echt gepast dat dit forum zich leent voor oproepen tot uitwisseling van malware, en nog wel op de voorpagina van de site geplaatst. Verwijderen dit topic, en het beleid bij security.nl aanpassen!
20-02-2009, 09:53 door Anoniem
Door Bitwiper
Door $nip3ren gebruik altijd VMware, om te testen...
Ik heb ergens (weet niet meer waar) gelezen dat de code detecteert of deze binnen VMWare draait. Gedrag zal dan waarschijnlijk anders zijn.
hij gaat dan slapen.


Mensen willen deze NETWORK aware worms liever niet publiek hebben.

Wie zeg dat jij hem niet even bij je school los laat of bij een bibliotheek?
20-02-2009, 10:45 door Dr.Wh4x
http://www.offensivecomputing.net/?q=node/1031

Met wat beter zoeken. justfuckingoogleit
20-02-2009, 12:12 door _nip3r
lmao, het is open source, en ik zal m gewoon hier posten.
ik ben een black hat, voor degene die het nog niet weten.
kom anders naar www.darkmindz.com
betreden op eigen risico
20-02-2009, 12:14 door _nip3r
klopt, er zit een anti sandboxie, anti-VMware en anti-virtualPC op..maar als je m zelf compiled, dan kun je die opties uitschakelen.en kun je zn gedrag analyseren.
Door Bitwiper
Door $nip3ren gebruik altijd VMware, om te testen...
Ik heb ergens (weet niet meer waar) gelezen dat de code detecteert of deze binnen VMWare draait. Gedrag zal dan waarschijnlijk anders zijn.
20-02-2009, 12:22 door [Account Verwijderd]
[Verwijderd]
20-02-2009, 13:05 door [Account Verwijderd]
[Verwijderd]
20-02-2009, 13:43 door Anoniem
ja..een echte muts ben je, als je niet weet wat een black hat is....lol
20-02-2009, 14:43 door Anoniem
Door Anoniemja..een echte muts ben je, als je niet weet wat een black hat is....lol

en jij snapt m duidelijk niet, haha

nooit van een tinfoilhat gehoord ?
20-02-2009, 16:12 door Dr.Wh4x
Door $nip3rIk vind het te link om conficker hier te posten.....
Ik heb nu zelf een worm geschreven zodat je die kan bestuderen.
LET OP...alleen om te bestuderen, de gevolgen zijn niet voor mij...


Ach een darkmindz hackertttt. Jij bent echt cool dat je de conficker worm hebt. Echt mucho respecto..... NOT

Ga vissen ofzo
20-02-2009, 16:42 door Redactie
@ $nip3r

Een link naar je eigen pagina is prima, maar het plaatsen van broncode is niet de bedoeling.
20-02-2009, 18:07 door _nip3r
@redactie
ok, will not happen again...want ik kom hier graag....
grtz
20-02-2009, 22:57 door [Account Verwijderd]
[Verwijderd]
20-02-2009, 23:40 door _nip3r
@spirtit en Dr.Wh4x ..Deze pagina is ook niet van jullie...ik kom hier mijn kennis delen met jullie, en blijkbaar waarderen jullie dat niet...
ik heb nu al 3 negatieve berichten gehad...dus shut the fuck up, als je niet weet waar het over gaat..
20-02-2009, 23:42 door [Account Verwijderd]
[Verwijderd]
21-02-2009, 16:58 door Anoniem
Ey scriptkiddie... Ik heb eens op je "darkmindz" site gekeken.. nou zoveel is daar niet aan zeg... entry level hacker wannabe's !
21-02-2009, 20:09 door [Account Verwijderd]
[Verwijderd]
23-02-2009, 12:06 door Anoniem
Had hem even nodig voor wat testjes.
Hoewel ik geen security-uno ben krijg ik wel menig computers clean.

Mijn belangrijkste vraag werd over het hoofd gezien, wie heeft deze al eens gehad?

Beetje rare vraag inderdaad, maar ik ben verantwoordelijk voor bijna 200+ ketens met computers. Wekelijks kan ik pc's opschonen. Maar nog nooit dit virus gezien, dus ik wil:
1) Zeker weten dat het bestaat
2) Mezelf voorbereiden op handelingen voor disinfectie

Owjah, waarom ik het vraag op security.nl en niet even zelf ga googlen?
Juist omdat security portals leden geacht zouden hebben die hiervan kennis opgenomen zouden hebben.
Miljoenen computers zijn er besmet, waarom kwam ik er dan nog nooit 1 tegen?
23-02-2009, 13:34 door Anoniem
nou hij bestaat echt hoor
en omdat jij hem nog nooit hebt gezien betekent dat niet dat het niet zo is.
pffffft
veel succes met je 200+ ketens
23-02-2009, 14:43 door Dr.Wh4x
Door $nip3r@spirtit en Dr.Wh4x ..Deze pagina is ook niet van jullie...ik kom hier mijn kennis delen met jullie, en blijkbaar waarderen jullie dat niet...
ik heb nu al 3 negatieve berichten gehad...dus shut the fuck up, als je niet weet waar het over gaat..

Botnets zijn voor echte jongens ik ben inderdaad stil...............
23-02-2009, 15:09 door Reverze
Gezellig flamen op elkaar, slotje graag ?
24-02-2009, 12:27 door Anoniem
Door $nip3rlmao, het is open source, en ik zal m gewoon hier posten.
ik ben een black hat, voor degene die het nog niet weten.
kom anders naar www.darkmindz.com
betreden op eigen risico

Ik heb er geen problemen mee.
10-02-2010, 20:13 door Anoniem
Conficker wordt in sommige gevallen door de detectie tools van grote antivirus software aanbieders gedetecteerd en in sommige gevallen ook verwijderd. Helaas komt het maar al te vaak voor waardoor er resten achter blijven in het register in
HKLM/software/microsoft/windowsNT/currentversion/svchost, dubbelklik op netsvcs. Daar zie je welke services er geladen worden tijdens het opstarten. Als er services met vreemde lettercombinaties bij staan zoals enkkhj of gherre e.d. dan zitten er nog resten van conficker in die pc en dat leidt tot vertraging in de werking van die pc, het niet meer toepassen van policies en het niet meer toepassen van updates, en nog veel meer.

Ik heb een tool gemaakt waarmee je computers in verschillende ip ranges kan scannen op de aanwezigheid van die vreemde lettercombinaties in het register. Daarnaast heb ik ook een tool die deze verwijzingen naar die services verwijdert. Zodra je deze tools hebt gebruikt is het een kwestie van opnieuw opstarten en de pc werkt weer naar behoren.

Indien je geinteresseerd ben in de technieken die ik gebruik om in grote netwerk omgevingen alle pc's confickervrij te maken dan kan je me altijd bellen op nummer 06 416 35 760. Vraag naar Dhr Veldkamp.
13-02-2010, 22:07 door Bitwiper
Door Anoniem: Conficker wordt in sommige gevallen door de detectie tools van grote antivirus software aanbieders gedetecteerd en in sommige gevallen ook verwijderd. Helaas komt het maar al te vaak voor waardoor er resten achter blijven in het register in
HKLM/software/microsoft/windowsNT/currentversion/svchost, dubbelklik op netsvcs.
Aanvulling hierop: onder die key (dat ding eindigend op svchost) bestaat zowel een subkey genaamd netsvcs (in het linker deel van het venster, vergelijkbaar met de directory tree in explorer), als een value name genaamd netsvcs, om die te zien moet links SvcHost geselecteerd zijn. Dhr. Veldkamp bedoelt die laatste.

Voor een leek zullen veel van de namen in de ntsvcs registerwaarde als "vreemde lettercombincaties" overkomen (bijv. Ias, Iprip, Nla, TrkWks, WZCSVC, WmdmPmSp, wscsvc, xmlprov, wuauserv, WmdmPmSN, hkmsvc - wat is vreemd?). Bovendien zou een toekomstige Conficker variant best minder willekeurige namen kunnen gebruiken (er bestaat andere malware genaamd Agobot die als scvhost i.p.v. svchost te zien kan zijn in taakbeheer - zelfs een ervaren sysadmin kijkt daar gemakkelijk overheen).

In http://support.microsoft.com/kb/962007 (NL: http://support.microsoft.com/?scid=kb%3Bnl%3B962007&x=14&y=10) kun je vinden welke services hier standaard genoemd horen te worden. Ga daarvoor naar de "Services table" (NL: "De tabel Services") en kies "Expand this table" (Deze tabel uitklappen).

Om te zien welke services er daadwerklijk draaien, en welke daarvan onder svchost.exe vallen, tik je achter een commandprompt: Tasklist /SVC gevolgd door Enter (bron en meer info: http://support.microsoft.com/kb/314056).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.