Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Spybot
26-06-2011, 01:50 door Anoniem, 6 reacties
Zojuist een bot gehad op mijn PC (Windows 7) en ik hoop dat ik hem verwijderd. Bij het starten van een twijfelachtig programma kreeg ik direct de melding van SymantecEndpointProtection 11 dat een programma op poort 22 (SSH) naar buiten wilde.
Dit stond ik niet toe en dacht de kous af was maar niet dus en toen ik opnieuw startte wederom een programma die via SSH eruit wilde. Via taakbeheer de locatie van het bestand opgezocht en nadat ik de map eigenschappen had aangepast kon ik het bestand ook zien.
Dus gescand met SEP 11 maar die zag er geen kwaad in dus maar de Msert van Microsoft opgehaald en die vond het ook allemaal goed. Dan maar handmatig en eerst in de registry de twee startregels verwijderd die naar het bestand stonden en daarna het bestand zelf verwijderd buiten de vuilnisbak om.
Het log van SEP had ik opgeslagen en ik gezocht op het IP adres waar dus bot naartoe wilde die bleek op Seychellen zitten en via Google vond ik Sharemoneyforfriends and s3ybot was.
Gelukkig het ik mijn netwerk zo ingericht dat elk programma handmatig goedkeuring moet hebben het netwerk/internet in te kunnen en is er een update van een programma dan krijg ik de vraag of het juist is dat het programma is bijgewerkt als die bijgewerkte versie voor de eerste keer het netwerk/internet wil ingaan.
Het log van SEP11:
File Version: 0.0.0.0
File Description: (J5llOqK32j3u.exe)
File Path: C:\Users\admin\AppData\Roaming\J5llOqK32j3u.exe
Digital Signature:
Process ID: 0xfc4 (Hexadecimal) 4036 (Decimal)
Connection origin: local initiated
Protocol: TCP
Local Address: 192.168.21.23
Local Port: 1040
Remote Name:
Remote Address: 193.107.16.55
Remote Port: 22 (SSH - SSH Remote Login Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 66)
Destination: bc-05-43-23-8c-
Source: 02-50-8d-98-a2-
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x89d5 (Correct)
Source: 192.168.21.23
Destination: 193.107.16.55
Transmission Control Protocol (TCP)
Source port: 4100
Destination port: 5632
Sequence number: 2036534996
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x406b (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: BC 05 43 23 8C D0 02XXXXXXXXXXXXXXX
Mijn les weer geleerd en twijfelachtige bestanden direct verwijderen want ook al heb je bijgewerkte bescherming er achteraan lopen doen ze allemaal. ;-)
Dit stond ik niet toe en dacht de kous af was maar niet dus en toen ik opnieuw startte wederom een programma die via SSH eruit wilde. Via taakbeheer de locatie van het bestand opgezocht en nadat ik de map eigenschappen had aangepast kon ik het bestand ook zien.
Dus gescand met SEP 11 maar die zag er geen kwaad in dus maar de Msert van Microsoft opgehaald en die vond het ook allemaal goed. Dan maar handmatig en eerst in de registry de twee startregels verwijderd die naar het bestand stonden en daarna het bestand zelf verwijderd buiten de vuilnisbak om.
Het log van SEP had ik opgeslagen en ik gezocht op het IP adres waar dus bot naartoe wilde die bleek op Seychellen zitten en via Google vond ik Sharemoneyforfriends and s3ybot was.
Gelukkig het ik mijn netwerk zo ingericht dat elk programma handmatig goedkeuring moet hebben het netwerk/internet in te kunnen en is er een update van een programma dan krijg ik de vraag of het juist is dat het programma is bijgewerkt als die bijgewerkte versie voor de eerste keer het netwerk/internet wil ingaan.
Het log van SEP11:
File Version: 0.0.0.0
File Description: (J5llOqK32j3u.exe)
File Path: C:\Users\admin\AppData\Roaming\J5llOqK32j3u.exe
Digital Signature:
Process ID: 0xfc4 (Hexadecimal) 4036 (Decimal)
Connection origin: local initiated
Protocol: TCP
Local Address: 192.168.21.23
Local Port: 1040
Remote Name:
Remote Address: 193.107.16.55
Remote Port: 22 (SSH - SSH Remote Login Protocol)
Ethernet packet details:
Ethernet II (Packet Length: 66)
Destination: bc-05-43-23-8c-
Source: 02-50-8d-98-a2-
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x89d5 (Correct)
Source: 192.168.21.23
Destination: 193.107.16.55
Transmission Control Protocol (TCP)
Source port: 4100
Destination port: 5632
Sequence number: 2036534996
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x406b (Correct)
Data (0 Bytes)
Binary dump of the packet:
0000: BC 05 43 23 8C D0 02XXXXXXXXXXXXXXX
Mijn les weer geleerd en twijfelachtige bestanden direct verwijderen want ook al heb je bijgewerkte bescherming er achteraan lopen doen ze allemaal. ;-)
Reacties (6)
26-06-2011, 21:34 door
Bitwiper
193.107.16.55 behoort AS41947 oftewel webalta.ru. Staat op blocklist van Spamhaus (zie http://www.spamhaus.org/sbl/listings.lasso?isp=webalta.ru).
IP-adressen in de buurt werden in maart geassocieerd met Palevo oftewel Mariposa (zie http://amada.abuse.ch/palevotracker.php?host=ircr0x.drshells.net).
Begin juni was er ook andere malware die vanaf genoemd IP-adres (hostname true.cyberhost.kz resolved momenteel nog hierop) via http aanvullende malware en/of instructries ophaalde (zie http://www.threatexpert.com/report.aspx?md5=4f2dda59a0fc4a2b52b24d175304973d).
IP-adressen in de buurt werden in maart geassocieerd met Palevo oftewel Mariposa (zie http://amada.abuse.ch/palevotracker.php?host=ircr0x.drshells.net).
Begin juni was er ook andere malware die vanaf genoemd IP-adres (hostname true.cyberhost.kz resolved momenteel nog hierop) via http aanvullende malware en/of instructries ophaalde (zie http://www.threatexpert.com/report.aspx?md5=4f2dda59a0fc4a2b52b24d175304973d).
Hier de zelfde bestandsnaam gehad die toegang wilde. Ik had echter ruim vijf registry sleutels. Ik heb jouw stappen plan gevolgd en alles verwijderd. Bedankt voor de melding. Mijn besmetting is w.s gekomen door het openen van een exe bestandje dat ik van usenet had gehaald. Te snel geklikt ;)
Kijk dat maakt mijn dag weer goed als ik iemand zo heb kunnen helpen!!!!
Hey, ik heb dezelfde bestandsnaam in dezelfde map (Roaming) maar ik kan het bestand niet zien. Hoe zorg ik ervoor dat het bestand zichtbaar wordt zodat ik het kan verwijderen? Alvast heel erg bedankt.
Welke windows versie gebruik je? Je moet namelijk de map en zoekopties aanpassen! Het vinkej weghalen bij verborgen mappen en bestanden laten zien en de optie systeem bestanden verbergen. In win 7 doe je dat in de verkenner bij organiseren--> map en zoekopties --> weergave
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
