Enig idee hoe het de windows firewall omzeilt? Of werkt dat alleen als iemand IRC al doorgelaten heeft?

Dagelijkse M$ humor :)

Ook interessant leesvoer ivm de laatste Virut variant door Nicolas Brulez:
http://securitylabs.websense.com/content/Blogs/3300.aspx

"Vorige: Microsoft: Anoniem zoeken kan alleen bij ons"

"Volgende: Microsoft: Nieuw: dergelijke virussen kunnen ook alleen bij ons..." ;-)

Volgens TrendMicro zijn alleen de volgende platformen van belang in de besmetting:

Windows 98, ME, NT, 2000, XP, Server 2003

Van Windows Vista, Windows Zeven, en Server 2008 is kennelijk niets bekend of de besmetting treedt daar niet op.

(XP zonder SP's t&m SP1) Zijn systemen die standaard niet uitgerust zijn met een firewall. Goeie vraag, ga ik uitzoeken... Uit de tweede alinea in het artikel kan je trouwens al een heleboel opmaken. ;-)

Voor 2K is er na registratie de gratis voor persoonlijk gebruik [url=http://www.eeye.com/html/products/blink/download/index.html]eEye Blink[/url] met firewall. Erg streng, zeer degelijk. Ook voor [url=http://support.microsoft.com/kb/322389/nl]XP, anders SP3[/url], beter iets dan niets.

IE in XP is toch niet geblokkeerd door de firewall. Ik zie het zo: website injecteert de code.Eénmaal geïnjecteerd en onder rechten draaiend van de gebruiker heeft dat spul vrij spel. Dit kan redelijk transparant onder XP want iedereen werkt met admin rechten. Bij Vista is dat anders - tenzij UAC is uitgeschakeld. Alle verkeer in IE7 kan zonder een UAC verwittiging niet eleveren. De titel van dit artikel is niet relevant. Er is geen uitgaande firewall in XP. Belangerijker is dat de die variant WFP uitschakelt wat een goed idee is om system-files permanent te besmetten. Indien ze \windows\system32\dllcache ook besmetten moeten ze die WFP niet eens uitschakelen.

Volgens mij doet COMODO het ook op 2k. Een zeer uitgebreide en erg goed dicht te timmeren firewall en eveneens gratis.

Kennelijk is de term "bypasses" hier vertaald met "omzeilen", beide (met name de NL) termen zouden een bug kunnen suggereren - daar is echter geen sprake van.

Volgens deze [url=http://vil.nai.com/vil/content/v_154029.htm]McAfee writeup[/url] is daar echter geen sprake van. Wat het virus doet (nadat een systeem besmet is!) is dat deze in de register-instellingen van de Microsoft Windows firewall (die onder XP alleen inkomend verkeer monitort en by default tegenhoudt) een uitzondering gemaakt wordt voor het Winlogon.exe proces. Het gevolg is dat als Winlogon op een TCP of UDP poort gaat luisteren, van buiten komende connecties naar die poort(en) niet door de firewall zullen worden geblokkeerd. Doordat het virus zichzelf injecteert in het winlogon proces kan het dus zelf ook poorten openzetten.

Opmerkingen:
- Dit is dus geen aanvalsvector, d.w.z. een niet besmette PC kan niet door de Windows firewall te "omzeilen" worden besmet

- Als je een NAT-modem/router hebt heeft het openzetten van poorten op je PC geen zin, de NAT router houdt verbindingen van buiten naar binnen sowieso tegen. Dit heeft natuurlijk geen invloed op het update-proces van het virus, het kan wel updates of aanvullingen downloaden. Ook kan het van binnenuit verbinding zoeken met bijv. IRC servers en zo instructies ophalen.

- Als je een andere firewall gebruikt zul je waarschijnlijk een melding krijgen dat Winlogon.exe op een poort probeert te luisteren. Omdat dit niet verdacht klinkt zullen gebruikers dit mogelijk toestaan.

- Als je als [url=http://www.security.nl/artikel/27053]non-admin[/url] op je PC inlogt kan dit virus waarschijnlijk weinig kwaad (wijzigen van de genoemde register-instellingen en het HOSTS bestand zijn dan in elk geval niet mogelijk).

- Op de PC waarop ik dit tik heb ik bestandssysteem permissies gewijzigd. Gewone gebruikers (ik dus) hebben bijv. zelf geen schrijfrechten in C:\ en C:\Windows\Temp\; in de laatste map zal dit virus extra bestanden proberen te downloaden. Dit zijn typische defense-in-depth maatregelen, ik heb bijv. wel schrijfrechten in D:\ maar door af te wijken van de gemiddelde gebruiker bouw je een beetje extra veiligheid in. Natuurlijk heb ik wel schrijfrechten in %TEMP% (welke onder XP mapped op C:\Documents and Settings\Bitwiper\Local Settings\Temp\) maar dat is natuurlijk een persoonlijke map.

Alleen geloof ik niet dat in C:\Documents and Settings\Bitwiper\Local Settings\Temp\ ook echt Bitwiper staat, maar goed, dat is maar een detail zou ik zeggen.

Overigens zou het geen gek idee zijn Bitwiper om wat meer van jouw schrijfsels hier te zien, zeker als het om security op systemen e.d. gaat. Ik vind je uitleg over de Firewall wel een hele goeie. Ik vroeg mij al af hoe het kon dat een computervirus in staat was om een Firewall te bypassen. Het is nu tenminste een stuk duidelijker, maar ik kijk er nu van op dat dit virus ook backdoor capabilities heeft.

Ja, dat is een leugentje...

Dank je wel, dit soort reacties zijn zeer motiverend. De reden dat ik dit doe is dat ik het leuk vind om anderen te helpen, maar vooral dat het je aanzet tot het goed uitzoeken van dingen waar je zelf tegenaan zou kunnen lopen - en dat is zeer leerzaam. Ik wou dat ik wat meer tijd had...

Overigens ben ik niet de enige die dit kan. Ik zie op dit forum veel mensen tijd verspillen met het opschrijven van meningen waarom besturingssysteem 1 beter zou zijn dan besturingsysteem 2, en denken dat ze dit in een paar regels kunnen samenvatten: zinloos in mijn optiek.

Bij deze een oproep aan die mensen: concentreer je eens op een bepaald aspect, Google je suf en schrijf eens een samenvatting (met verschillende inzichten). Daarmee overtuig je veel meer mensen!

Virut made my day (3 dagen) Ben al drie dagen bezig om het Virut virus te verweideren, het infecteerd all mijn bestanden in de system32 folder, internet toegang is niet meer mogelijk, virus scanner ziet all .exe files als virus, verwijderd deze dan stopt service.exe en einde winxp pro..

Nieuwe schone installatie, format c:.
Install virus scanner, scan p.c. verwijder geinfecteerde bestanden.
verder met installatie van drivers en software.
Virus is weer terug. zelfde verhaal als hier boven en dit al drie dagen...

Tof man...

Windows Live OneCare heeft uiteindelijk Virut verwijderd van m'n pc. Kostte een aantal dagen met telkens rebooten.
Dit haalt de string <iframe src="http://********.pl/rc/"width=1height=1style="border:0"></iframe> niet uit je HTML en PHP files.
Het deel ************* varieert.
Vervolgens met gratis tool Autoreplace (http://www.trustmeher.net/freeware/prexa/prexa2.htm) een algehele find/replace op alle HTML en PHP files uitgevoerd. Autoreplace kan beveiligde bestanden niet aanpassen, dus als je de find/replace nog een keer uitvoert en hetzelfde file nogmaals ziet, dan moet je het commando attrib -r *.htm* /s uitvoeren.
Na 6 dagen eindelijk virutvrij (hoop ik)...

Wel ik heb Windows vista home premium en ik ben geïnfecteerd dus ja het komt voor bij vista :S

geraak er niet van af, zal binnenkort herinstalleren

greetz

dit is echt geen fabel, heb er zelf ook erg veel last van.als iemand een oplossing weet?????