Bestand uploadenbij http://www.virustotal.com

Ik weet niet of je een 'lief' antwoord gaat krijgen van SirDice, die is niet meer zo enthousiast over WinME en Win98 :-)

Een bestand genaamd 'Kernle32.dll' (je noemt het 2x dus ga ik niet uit van een tikfout) is bijna zeker malware. Hetzelfde geldt voor andere verkeerd gespelde bestandsnamen zoals [url=http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100611]scvhost.exe[/url].

Het bestand 'Kernel32.dll' staat bij Win98SE (en dus waarschijnlijk ook bij WinME) in de map C:WindowsSystem

N.B. Kleine/hoofdletters in mappen en bestandsnamen maken niet uit onder Windows.

Hallo Niels en Eric,

'Kenle32.dll' is wel degelijk een tikfout (OOPS) ;)
Het had dus idd 'Kernel32.dll' moeten zijn (shame on me).

Ik verwacht overigens geen 'lief' antwoord van SirDice hoor :)

Ik heb er alleen moeite mee dat hij er zo lichtzinnig over
denkt.

Kijk, als een of andere flapdrol dit doet, dan accepteer ik
dit. Maar SirDice is geen flapdrol IMHO.

Ik heb er dus wel moeite mee als een competente professional
als SirDice & co hier zo lichtzinnig over denkt.

In principe heb ik dus het onweerlegbare bewijs dat Windows,
zelfs op kernel niveau spyware is (right out of the box). En
ik maak mij er ontzettend druk over dat Microsoft hiervoor
niet aansprakelijk wordt gesteld.

Niels schreef al dat SirDice niet meer zo onder de indruk
van Windows 9x/Me is (knap dat je dat weet overigens) :) en
SirDice schijnt niet te willen reageren, waaruit ik dus mijn
logische conclusies trek :p

Begrijp mij alsjeblieft niet verkeerd: dit is geen aanval op
SirDice, in tegendeel. SirDice vraagt echter altijd naar
bewijzen en dumps. Wat ik nu zo graag zou willen, is dat
SirDice mij kan overtuigen van mijn ongelijk.

Ik ben echter bang dat SirDice Microsoft op een of andere
manier wil beschermen en daar ben ik het dus absoluut niet
mee eens.

Met vriendelijke groeten,

Marti van Lin
Maastricht

Citaat 1:
What is kernel32.dll? Is kernel32.dll spyware or a virus?
--------------------------------------------------------------------------------
Process name: Win32 Kernel core component

Product: Windows

Company: Microsoft

File: kernel32.dll

Security Rating:
The Kernel32.dll file is a 32-bit dynamic link library file in Windows
95,98,Me. The Kernel32.dll file handles memory management,
input/output operations, and interrupts. When you start Windows,
Kernel32.dll is loaded into a protected memory space so that other
programs do not take over that memory space.

Note: Any malware can be named anything - so you should check where
the files of the running processes are located on your disk. If a "non-
Microsoft" .exe file is located in the C:Windows or C:WindowsSystem32
folder, then there is a high risk for a virus, spyware, trojan or worm
infection! Check it out!
Einde citaat 1.
Bron: http://www.neuber.com/taskmanager/process/kernel32.dll.html

Citaat 2:
Kernel32.dll is the 32-bit dynamic link library found in the Windows
operating system kernel. It handles memory management, input/output
operations, and interrupts. When Windows boots up, kernel32.dll is
loaded into a protected memory space so other applications do not take
that space over.

On occasion, though, users may encounter the "invalid page fault" error.
This error occurs when a program or application tries to access
kernel32.dll's protected memory space. Sometimes the error is caused by
one particular program or application, and other times it is provoked by
multiple files and applications.

If the problem results from running one application, then the application
needs to be replaced. If the problem occurs when accessing multiple files
and applications, the corruption is probably caused by faulty hardware.
Einde citaat 2.
Bron: http://www.webopedia.com/TERM/K/kernel32_dll.html

Info over "Kernel32.exe" (Let op: het bestand heeft extensie EXE).
Het gaat NIET over het Windowsbestand Kernel32.DLL.

Citaat:
kernel32.exe - kernel32 - Process Information
Process File: kernel32.exe or kernel32
Process Name: Floodnet virus

Click Here to Run a Free Scan for kernel32.exe Related Errors

Description:
kernel32.exe is a Floodnet virus and attempts to send e-mails to everyone
using Outlook aliases. This process is a security risk and should be
removed from your system.
Click Here to Scan Your PC including kernel32.exe to Detect any Security
Threat

Recommendation for kernel32.exe:
DISABLE AND REMOVE kernel32.exe IMMEDIATELY. This process is
most likely a virus or trojan. It is highly recommended to Run a Free
Performance Scan to automatically optimize memory, CPU and Internet
settings.
Einde citaat.
Bron:
http://www.liutilities.com/products/wintaskspro/processlibrary/kernel32/

Okay. Die maakt voor zover ik weet geen verbindingen met internet. Wel zou malware gebruik kunnen maken van injection technieken ([url=http://opensores.thebunker.net/pub/mirrors/blackhat/presentations/bh-usa-06/BH-US-06-Tereshkin.pdf]BlackHat 06 PDF voorbeeld, zeer technisch[/url]) waardoor het lijkt alsof kernel32.dll ervoor verantwoordelijk is. Dit is exact de reden waarom personal firewalls die uitgaand verkeer checken te makkelijk te omzeilen zijn en de verkoop (en inzet) ervan grotendeels gebaseerd zijn op [url=http://www.urbandictionary.com/define.php?term=fud]FUD[/url].
Nee zeker niet, hij is een zeer ervaren IT-er waar ik veel respect voor heb (dat wil niet zeggen dat we het altijd met elkaar eens zijn :)
SirDice denkt niet 'lichtzinnig' maar gaat af op zijn ervaring. Meestal klopt dat.
Met alle respect maar ik geloof niets van onweerlegbaar bewijs. Als je dat wel hebt kun je zo naar de rechter stappen. Of het aan Neelie melden.
Nee dat schreef ik. Zie onderaan [url=http://www.security.nl/article/13788/1/Ernstig_nieuw_lek_in_Excel_ontdekt.html]deze page[/url] waarom ik dat denk.
Als dat zo is moet Marti van Lin eerst maar eens beter kijken en exact omschrijven (en termen als 'onweerlegbare bewijs' nog maar even weglaten).

Sheesh, je mag niet eens even een break nemen ;)

En nee, ik ben niet meer onder de indruk van windows 9x, dat heb ik sinds XP uitkwam nooit meer gebruikt.

Verder hoef ik er eigenlijk niet zo veel meer aan toe te voegen, het meeste is al gezegd voor me ;)

Het enige wat ik nog wil zeggen is hoe moet ik "bewijzen" dat kernel32.dll geen spyware is als ik niet weet wat voor data die dll bij jou probeert te versturen. Het enige wat ik wel kan zeggen is dat Windows altijd nogal luid zichzelf staat te verkondigen op een netwerk (en het internet is ook een netwerk). Ik durf m'n handen in het vuur te steken dat dat is wat je ziet. Met al die personal firewalls van tegenwoordig is er een soort paniek reactie ontstaan. Zodra dat ding begint te piepen wordt er gelijk de conclusie getrokken dat het malware MOET zijn. Terwijl het in 999 van de 1000 gevallen om "normaal" verkeer gaat.

Hang een sniffer aan die machine en laat het verkeer door. Dan zie je vanzelf wel wat het is.

Als laatste wil ik er nog aan toevoegen, ik ben absoluut geen fan van de boys uit Redmond. Maar ongefundeerde beschuldigingen verwijs ik naar het land van de urban legends. Hoevaak er wel al niet geroepen is dat MS stiekem achterdeurtjes inbouwt of informatie verzamelt.. Niemand heeft dat ooit nog echt hard kunnen maken. Met zoveel mensen, velen daarvan technisch veel beter dan ik, die er naar gekeken hebben denk je niet dat als het inderdaad zo zou zijn dat het dan inmiddels niet allang en breed gevonden en wereldkundig gemaakt moet zijn?

Tot slot wil ik mijn welgemeende excuses aanbieden.

Ik heb getwijfelt aan de kennis van SirDice.

Ik heb SirDice openlijk uitgedaagd en ben tot de conclusie
gekomen, dat ik volstrekt fout was.

Ik wil mij bij deze dan ook openlijk aan de schandpaal
nagelen, omdat ik simpelweg fout was. Ik hoop dat SirDice
mijn excuses bij deze dan ook wil aanvaarden. Wat de rest er
van denkt, zal me eerlijk gezegd worst wezen :)

Met vriendelijke groeten,

Marti van Lin (alias the ML2MST)
Maastricht (NL)

|_|0|_| Registered Linux user #394093
|_|_|0| http://counter.li.org
|0|0|0| http://ml2mst.topcities.com

Excuus aanvaard (geldt voor de rest ook wel denk ik zo) :)

En ik heb niet de waarheid in pacht.. Ook ik ben maar een
mens.. Heb wel veel ervaring, met computers en met mens zijn ;)

Overigens ben ik nog steeds benieuwd wat voor verkeer je nu
eigenlijk gezien hebt.. hehe..

Dat wil ik ook wel eens weten..

Dank je wel, want wederzijds respect is het enige wat telt
IMHO, ook als we het een keer volstrekt met elkaar oneens
zijn ;)

Ik heb geen zin meer om deze onzinnige discussie nog verder
te voeren.

Wie nog steeds van mening is, dat ik uit mijn nek heb zitten
lallen, kan altijd zelf Microsoft Windows 9x/Me en
vervolgens (op dit "schone systeem") de Sygate Personal
Firewall installeren...

ROFL!

Veel liefs, uit het zonnige (na jah) zuiden...

|_|0|_| Registered Linux user #394093
|_|_|0| http://counter.li.org
|0|0|0| http://ml2mst.topcities.com

Helemaal mee eens. En zoals ik al zei, ik weet ook niet alles en maak ook wel eens fouten.

Ik heb vast nog ergens een oud win98 cd'tje liggen. Even in vmware knallen ;)