Security Professionals
- ipfw add deny all from eindgebruikers to any
Verwijderen van Torpig trojan/rootkit dmv drivewipe?
Hallo allemaal.
Mijn schoonmoeder wilde laatst haar bankzaken doen (bij de Rabobank) en op het moment dat zij wilde inloggen zag ze heel even een 2e schermpje openen en gelijk sluiten. Wat voor scherm het precies was wist ze niet, maar ze was zo slim om niet verder te gaan en belde de bank.
De Rabobank medewerker vertelde haar gelijk dat ze dan de Torpig trojan op haar pc zou hebben en dat ze niet meer mocht bankieren met die pc. Daarnaast vertelde de bankmedwerker dat deze trojan niet door reguliere antvirus herkend werd en/of weggehaald kon worden.
Nu kwam zij vervolgens bij mij om te vragen of ik hier wat mee kon.
Na wat zoeken op internet lijkt die Torpig een vervelend ding te zijn omdat het gebruik maakt van zgn rootkit eigenschappen en zou zich dus oa op de MBR van een schijf nestelen.
Ik heb verschillende (linux) antivirus bootdisks gedraait op haar systeem en die vonden van alles en nog wat, maar niet specifiek Torpig.
Omdat ik dus nu niet kan garanderen dat de boel schoon is wil zij de oude schijf weggooien en een nieuwe kopen om helemaal opnieuw te beginnen. Datzelfde wil ze ook doen met haar USB schijf waar ze regelmatig backups mee maakte, want ook die zat vol met meuk.
Lang leve Esset NOD32... :(
Ik vind het gelijk maar aanschaffen van een nieuwe HD en USB schijf wel een erg kostbare zaak en lijkt me misschien wat overdreven...
Nu heb ik de volgende vragen...
1)
Is Torpig idd zo'n trojan/rootkit welke av's niet kunnen detecteren of verwijderen? Of heeft NOD32 gewoon keihard gefaald? Dat ding moet toch op de een of andere manier zijn binnen gekomen... "driveby download" ofzo?
Ik snap dat als het eenmaal aktief is als rootkit, dat het dan een heel ander verhaal word, maar de boel moet toch eerst zijn binnen gekomen op een "normale" manier?
2)
Kan ik dmv een drivewipe via bv DBAN (Darik's Boot and Nuke) of andere tools de data op de HD zo vernietigen dat ook deze trojan/rootkit weg is? Ze vind het tenslotte toch niet erg om helemaal opnieuw te beginnen.
Mijn schoonmoeder wilde laatst haar bankzaken doen (bij de Rabobank) en op het moment dat zij wilde inloggen zag ze heel even een 2e schermpje openen en gelijk sluiten. Wat voor scherm het precies was wist ze niet, maar ze was zo slim om niet verder te gaan en belde de bank.
De Rabobank medewerker vertelde haar gelijk dat ze dan de Torpig trojan op haar pc zou hebben en dat ze niet meer mocht bankieren met die pc. Daarnaast vertelde de bankmedwerker dat deze trojan niet door reguliere antvirus herkend werd en/of weggehaald kon worden.
Nu kwam zij vervolgens bij mij om te vragen of ik hier wat mee kon.
Na wat zoeken op internet lijkt die Torpig een vervelend ding te zijn omdat het gebruik maakt van zgn rootkit eigenschappen en zou zich dus oa op de MBR van een schijf nestelen.
Ik heb verschillende (linux) antivirus bootdisks gedraait op haar systeem en die vonden van alles en nog wat, maar niet specifiek Torpig.
Omdat ik dus nu niet kan garanderen dat de boel schoon is wil zij de oude schijf weggooien en een nieuwe kopen om helemaal opnieuw te beginnen. Datzelfde wil ze ook doen met haar USB schijf waar ze regelmatig backups mee maakte, want ook die zat vol met meuk.
Lang leve Esset NOD32... :(
Ik vind het gelijk maar aanschaffen van een nieuwe HD en USB schijf wel een erg kostbare zaak en lijkt me misschien wat overdreven...
Nu heb ik de volgende vragen...
1)
Is Torpig idd zo'n trojan/rootkit welke av's niet kunnen detecteren of verwijderen? Of heeft NOD32 gewoon keihard gefaald? Dat ding moet toch op de een of andere manier zijn binnen gekomen... "driveby download" ofzo?
Ik snap dat als het eenmaal aktief is als rootkit, dat het dan een heel ander verhaal word, maar de boel moet toch eerst zijn binnen gekomen op een "normale" manier?
2)
Kan ik dmv een drivewipe via bv DBAN (Darik's Boot and Nuke) of andere tools de data op de HD zo vernietigen dat ook deze trojan/rootkit weg is? Ze vind het tenslotte toch niet erg om helemaal opnieuw te beginnen.
Reacties (13)
Sommige malware varianten proberen de AV/firewall uit te schakelen. Meeste malware komt binnen door onvoorzichtigheid en door het niet updaten van het besturingssysteem. Dat hoeft niet te wijten te zijn aan de viruskiller en zegt dus niets over NOD32 hoewel geen enkele voor 100% zal beschermen. Gebruik zelf Eset smart security (nod32 incl firewall) en nooit problemen gehad,maar dat terzijde..
Omdat malware verwijderen nogal complex kan zijn verwijs ik naar > http://forums.malwarebytes.org/index.php?showtopic=69723
Daar kun je info vinden en er is ook de mogelijkheid om hulp te krijgen van experts via datzelfde forum.
suc6
Omdat malware verwijderen nogal complex kan zijn verwijs ik naar > http://forums.malwarebytes.org/index.php?showtopic=69723
Daar kun je info vinden en er is ook de mogelijkheid om hulp te krijgen van experts via datzelfde forum.
suc6
09-09-2011, 12:01 door
X-max
1) Rootkits zijn inderdaad lastig te detecteren door een reguliere AV scanner, en ook vaak niet te verwijderen.
Hiervoor heb je speciale tools nodig.
2) Een nieuwe HD aanschaffen is wel een erg rigoureuze oplossing, een MBR fix is in de meeste gevallen voldoende.
Volg anders dit stappenplan, dan kunnen we eens verder kijken.
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=4793
Hiervoor heb je speciale tools nodig.
2) Een nieuwe HD aanschaffen is wel een erg rigoureuze oplossing, een MBR fix is in de meeste gevallen voldoende.
Volg anders dit stappenplan, dan kunnen we eens verder kijken.
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=4793
09-09-2011, 12:02 door
Spiff has left the building
Door Thasaidon: Ik heb verschillende (linux) antivirus bootdisks gedraait op haar systeem en die vonden van alles en nog wat, maar niet specifiek Torpig.
De betreffende malware wordt ook benoemd met andere namen, Sinowal en Anserin.Mogelijk dat de anti-malware applicaties melding maakten onder een van die namen?
Daarnaast dragen de te verwijderen items niet die bestandsnamen, dus je zult ze niet onder die bestandsnaam op het systeem of in de lijst van verwijderde bestanden vinden.
Mogelijk heb je de betreffende malware wel degelijk verwijderd, zonder dat je het herkende als Torpig.
Omdat ik dus nu niet kan garanderen dat de boel schoon is wil zij de oude schijf weggooien en een nieuwe kopen om helemaal opnieuw te beginnen.
[...]
Ik vind het gelijk maar aanschaffen van een nieuwe HD en USB schijf wel een erg kostbare zaak en lijkt me misschien wat overdreven...
[...]
Kan ik dmv een drivewipe via bv DBAN (Darik's Boot and Nuke) of andere tools de data op de HD zo vernietigen dat ook deze trojan/rootkit weg is?
Garanties dat je alle malware hebt opgeruimd heb je uiteraard nooit, zeker niet in onoverzichtelijke situaties met meervoudige infecties.[...]
Ik vind het gelijk maar aanschaffen van een nieuwe HD en USB schijf wel een erg kostbare zaak en lijkt me misschien wat overdreven...
[...]
Kan ik dmv een drivewipe via bv DBAN (Darik's Boot and Nuke) of andere tools de data op de HD zo vernietigen dat ook deze trojan/rootkit weg is?
De volledige schijf goed wipen en het systeem herinstalleren is te overwegen. Of dat nodig is, die afweging moet je uiteraard zelf maken.
TDSSkiller herkent volgens mij ook Torpig (Mebroot) infecties. Je kunt het programma downloaden en vanuit veilige modus draaien. Daarna voor de zekerheid nog een FixMBR vanuit de RecoveryConsole van Windows en het virus zou verwijderd en de MBR hersteld moeten zijn.
aswMBR kan ook gebruikt worden om dit vervelende virus aan te pakken. Programma downloaden en vanuit een volledig opstarte Windows sessie eenmalig draaien om de meest recente virustabellen van Avast te downloaden. Vervolgens machine opstarten in veilige modus zonder netwerk ondersteuning en aswMBR gebruiken om een Full Scan te draaien. Vervolgens de gevonden infecties opruimen en vanuit de Recovery Console van Windows via FixMBR voor de zekerheid de MBR opnieuw plaatsen. Daarna zou het virus volledig opgeruimd moeten zijn al weet je dat met dit soort geavanceerde en hardnekkige virussen nooit helemaal zeker. Dus een volledige diskwipe en herinstallatie is een optie maar ook een afweging die je zelf moet maken.
Je weet nooit 100% zeker of de pc in kwestie weer helemaal schoon is,dusik raadt aan om het apparaat niet meer te gebruiken voor internetbankieren (ik raaadt internetbankieren zowiezo af).Er zit dus wellicht niets anders op dan of niet meer te i-bankieren of een nieuwe pc aan te schaffen.Gaat u toch met de besmetten pc i-bankieren (als de bank niet al het apparaat de toegang tot de site heeft ontzegt (althans het betaalgedeelte ervan),dan loopt u kans dat bij problemen uw gestolen geld niet (zondermeer) wordt vergoedt,immers de bank heeft u gezegt dat u niet meer met de betreffende pc mag i-bankieren.Nogmaals, ondergetekende raadt u af om te internetbankieren,het is gewoon nog steeds niet veilig,zie ook de problemen met DigiD en DigiNotar.
11-09-2011, 04:15 door
_____
Heb je nog de logjes van de scans die je hebt gedaan?
Indien een rootkit aanwezig was (is) lijkt het mij verstandig de HD van het systeem te wissen en OS opnieuw te installeren.
Backuppen daarna op een nieuwe externe HD en de "oude HD" niet gebruiken op een systeem waar financiële transacties worden gedaan. (liefst ook wipen, partitioneren en opnieuw formatteren).
Indien een rootkit aanwezig was (is) lijkt het mij verstandig de HD van het systeem te wissen en OS opnieuw te installeren.
Backuppen daarna op een nieuwe externe HD en de "oude HD" niet gebruiken op een systeem waar financiële transacties worden gedaan. (liefst ook wipen, partitioneren en opnieuw formatteren).
11-09-2011, 08:52 door
Thasaidon
Iedereen bedankt voor de reacties.
Ik zal gewoon beide schijven wipen en helemaal opnieuwe beginnen (dat had ik tenslotte ook gemoeten met nieuwe schijven).
Nou maar hopen dat het geen variant van deze is...
https://secure.security.nl/artikel/38436/1/Trojaans_paard_infecteert_computer_BIOS.html
:D
Ik zal gewoon beide schijven wipen en helemaal opnieuwe beginnen (dat had ik tenslotte ook gemoeten met nieuwe schijven).
Nou maar hopen dat het geen variant van deze is...
https://secure.security.nl/artikel/38436/1/Trojaans_paard_infecteert_computer_BIOS.html
:D
11-09-2011, 09:06 door
Euro10000
Een virusscanner en firewall is niet genoeg om veilig te internetten.
Wat een gebruiker doet is zeer belangrijk, dus opleiding is nodig voor de gebruiker.(bijv deze forum blijven lezen).
Bijv software installeren, doe dit downloaden van bijv alleen de originele site.
In de forum word hier over gesproken wat je moet/kunt doen, om beter te beveiligen, en ja dit is nodig.
http://security.nl/artikel/36776/1/Hoe_houd_je_rootkit_blijven_van_je_systeem%3F.html
Met dban is je hd weer schoon, en virusvrij.
Via windows cd gaat ook, is sneller, google hier op.
Indien je van alles af wilt kun je ook linux ubuntu gaan gebruiken ipv windows.
Geen firewall en geen virusscanner nodig, bij gewoon desktop gebruik.
Alle software zit al in ubuntu, dus virus vrij en spyware vrij.
Ik gebruik het al 4 jaar en geen problemen, geen virus scanner en spyware scanner op de achtergrond, geen wekelijkse scan van de hele pc. Geen virus scanner en spyware scanner kopen.
Tip voor veilig internet bankieren:
Een oude pc gebruiken alleen voor geldzaken, dus internet bankieren, creditcard, paypal, ideal etc.
Hier ubuntu op installeren, hierdoor kom je niet op veel site's die je pc hacken, je hebt geen spyware/virussen geinstallleerd, die meekijken of je naar verkeerde site stuur(dus niet naar je bank stuurd met telebankieren).
Op een windows pc is niet tegen te houden dat er spyware etc geinstalleerd is, dus onveilig voor telebankieren.
Ook een update draaien en dan pas geldzaken doen.
Je zou nog ubuntu op een externe hd kunnen installeren en met opstarten de externe hd kiezen om van te booten. En dan geldzaken gaan doen.
Wat een gebruiker doet is zeer belangrijk, dus opleiding is nodig voor de gebruiker.(bijv deze forum blijven lezen).
Bijv software installeren, doe dit downloaden van bijv alleen de originele site.
In de forum word hier over gesproken wat je moet/kunt doen, om beter te beveiligen, en ja dit is nodig.
http://security.nl/artikel/36776/1/Hoe_houd_je_rootkit_blijven_van_je_systeem%3F.html
Met dban is je hd weer schoon, en virusvrij.
Via windows cd gaat ook, is sneller, google hier op.
Indien je van alles af wilt kun je ook linux ubuntu gaan gebruiken ipv windows.
Geen firewall en geen virusscanner nodig, bij gewoon desktop gebruik.
Alle software zit al in ubuntu, dus virus vrij en spyware vrij.
Ik gebruik het al 4 jaar en geen problemen, geen virus scanner en spyware scanner op de achtergrond, geen wekelijkse scan van de hele pc. Geen virus scanner en spyware scanner kopen.
Tip voor veilig internet bankieren:
Een oude pc gebruiken alleen voor geldzaken, dus internet bankieren, creditcard, paypal, ideal etc.
Hier ubuntu op installeren, hierdoor kom je niet op veel site's die je pc hacken, je hebt geen spyware/virussen geinstallleerd, die meekijken of je naar verkeerde site stuur(dus niet naar je bank stuurd met telebankieren).
Op een windows pc is niet tegen te houden dat er spyware etc geinstalleerd is, dus onveilig voor telebankieren.
Ook een update draaien en dan pas geldzaken doen.
Je zou nog ubuntu op een externe hd kunnen installeren en met opstarten de externe hd kiezen om van te booten. En dan geldzaken gaan doen.
11-09-2011, 11:34 door
Spiff has left the building
Door Thasaidon: Nou maar hopen dat het geen variant van deze is...
https://secure.security.nl/artikel/38436/1/Trojaans_paard_infecteert_computer_BIOS.html
Dat betreft de Mebromi trojan.https://secure.security.nl/artikel/38436/1/Trojaans_paard_infecteert_computer_BIOS.html
In het geval dat jij beschreef ging het om Torpig (Sinowal, Anserin), gaf je aan.
Maar uiteraard kan het nooit kwaad (voor elke computer) de schone BIOS-file ergens safe te bewaren, voor het geval dat het ooit nodig mocht zijn het BIOS te flashen.
Wipen vanaf een bootable cd-rom is verstandig (de meeste hd fabrikanten hebben hier tooltjes voor op hun website). Dus alles met nullen overschrijven. Hierna kan Windows opnieuw worden geïnstalleerd. Pas op met de backup hd ivm met autorun en andere kwetsbaarheden. Anders staat het virus opnieuw op je computer. Zo-wie-zo de backup hd niet aansluiten voor het systeem helemaal gepatched en veilig is! (met de patches van a.s. dinsdag erbij bij wijze van spreken).
Een MBR virus laadt zichzelf van de bootsector van je harddisk. Dus start in je bios op van cd, en niet van hd. Als je van hd opstart is alle moeite voor niets omdat het virus zich kan laden, en daarna van cd zou kunnen starten. Je bios kan dit immers ook, dus een virus kan dit ook.
Ik zou de backup scannen met meerdere av en anti-malware programma's voor dat je er iets van terug zet. Dingen als foto's en mp3's zouden in principe niet geïnfecteerd hoeven zijn. Maar weet hierbij wat je doet! Zie ook o.a. http://security.nl/artikel/38442/1/Detailweergave_redt_Windows-gebruikers.html
Een MBR virus laadt zichzelf van de bootsector van je harddisk. Dus start in je bios op van cd, en niet van hd. Als je van hd opstart is alle moeite voor niets omdat het virus zich kan laden, en daarna van cd zou kunnen starten. Je bios kan dit immers ook, dus een virus kan dit ook.
Ik zou de backup scannen met meerdere av en anti-malware programma's voor dat je er iets van terug zet. Dingen als foto's en mp3's zouden in principe niet geïnfecteerd hoeven zijn. Maar weet hierbij wat je doet! Zie ook o.a. http://security.nl/artikel/38442/1/Detailweergave_redt_Windows-gebruikers.html
11-09-2011, 17:40 door
Thasaidon
Ik heb in de bios booten van HD uit gezet, geboot met Hiren's bootcd en vervolgens de gehele schijf met DBAN een wipe gegeven (7x overschreven met random data).
Daarna heb ik de schijf losgekoppeld, en vervolgens de usb schijf uit zijn behuizing gehaald en aangesloten als "fixed drive" in het systeem en daarmee hetzelfde gedaan.
Beide zouden nu dus schoon moeten zijn.
Daarna heb ik de schijf losgekoppeld, en vervolgens de usb schijf uit zijn behuizing gehaald en aangesloten als "fixed drive" in het systeem en daarmee hetzelfde gedaan.
Beide zouden nu dus schoon moeten zijn.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
