Security Professionals - ipfw add deny all from eindgebruikers to any

Informatie over Flamer

26-06-2012, 08:18 door Anoniem, 7 reacties
Hallo allen,

Ik heb laatst wat vreemde windows update meldingen, en met wat google werk lijkt het erop dat ik flamer te pakken heb.

mijn opstelling:
kabel modem -> router-> host pc
win 7 64bit
host machine met comodo internet security/microsoft security essentials
een VM (win7 32bit)voor internet met comodo internet security/microsoft security essentials firefox (noscript+request policy) en flash.

In mijn VM voor internet ging comodo af met een melding over WUSetupV.exe (in C:\Windows\SoftwareDistribution\SelfUpdate\Handler). waar op een lege machine bv niets instaat en op mijn werk alleen WuSetupHandler.cab instaat.
Zodra deze melding afgegaan was (ondanks dat ik deze blokkeerde) kreeg ik op mijn shutdown button het restart om up te daten icoon. zonder enige goedkeuring van mijn zijde.

Ook zag ik het windows update notification icoon verschijnen. Waarin ik een anders dan normale melding te zien kreeg (iets van je moet eerst windows update updaten om weer verder te kunnen gaan)

WuSetupV lijkt op flamer (volgens google), maar bitdefender flamer removal tool/ microsoft removal tool geeft een all clear. Ook gaan de virus scanners niet af.

Ik ben dus nu wat paranoia aan het worden gezien dat ik het gevoel heb dat ik toch behoorlijke security heb en ik ben een voorzichtig internetter over het algemeen.

Mijn host heeft de wusetupv niet in de bovengenoemde map.

Ik heb al wat lopen testen en ook in mijn vorige state van mijn VM internet kreeg ik de melding over WUSetupV. In beide states had ik utorrent geinstalleerd.
Ik heb een clean VMmachine geinstalleerd waar ik geen update melding kreeg. Maar zodra ik utorrent erbij haalde leek het dat het daaruit kwam.

Het probleem is dat ik het niet met zekerheid kan zeggen. En ik bang ben dat mijn host en of de hardware (kabel model/router) geinfecteerd is en zich als Windows update server voordoet.

Wat ik graag zou willen weten:
-Weet iemand waar ik de echte ip(s) van microsoft update kan krijgen en hoe ik kan controlleren of mijn machines wel met de juiste server verbinden?
-weet iemand hoe ik de certificate revoke van de gekaapte microsoft certificaten van te voren kan installeren?
-weet iemand hoe ik de echte anti flamer update van microsoft kan herkennen en Asap installeren? En waar ik info daarover kan vinden(ter controle)

Maw ik wil clean installen maar niet 6 uur bezig zijn en dan erachter komen dat ik weer flamer opgelopen heb.

alvast bedankt
Reacties (7)
26-06-2012, 09:26 door Anoniem
in plaats van dat je hier een verhaal post zou ik de file ter analyse aanbieden aan een antivirus bedrijf
26-06-2012, 09:51 door User2048
Misschien heb je hier last van:
https://secure.security.nl/artikel/41999/1/Windows_Update_update_veroorzaakt_problemen.html

De meeste AV software herkent Flame inmiddels wel, dus als je AV zegt dat je "clean" bent, dan zal dat wel zo zijn.
26-06-2012, 12:05 door Anoniem
"Ik heb laatst wat vreemde windows update meldingen, en met wat google werk lijkt het erop dat ik flamer te pakken heb."

Dat lijkt mij wel heel erg sterk. Immers is flamer enkel gebruikt voor zeer gerichte aanvallen, en het replicatie mechanisme is uitgeschakeld. Inmiddels is bovendien de malware van de doelwitten verwijderd via een kill commando door de makers. De kans dat jouw computer geinfecteerd kan zijn met flamer zo goed als uitgesloten.

Wat eventueel mogelijk zou zijn is dat je besmet bent met andere malware, die mogelijk gebruik maakt van dezelfde zwakheden in windows. Na alle berichtgeving over zo'n virus krijg je immers vaak copycats die methodes of code van dergelijke malware voor eigen doeleinden hergebruiken.

Ook zou het kunnen zijn dat Comodo ten onrechte je WuSetupV als verdacht aanmerkt (false positive). Vergeet niet dat WuSetupV een standaard windows bestand is, dat op iedere windows pc terug te vinden is; in het geval van flamer gaat het om een aangepaste versie van dit bestand.

"Het probleem is dat ik het niet met zekerheid kan zeggen. En ik bang ben dat mijn host en of de hardware (kabel model/router) geinfecteerd is en zich als Windows update server voordoet. "

Flamer is een windows virus. Een kabel modem of router kan niet door een windows virus worden geinfecteerd.
26-06-2012, 14:05 door burne101
Gevalletje digitale hypochondrie?
26-06-2012, 14:44 door Anoniem
Door burne101: Gevalletje digitale hypochondrie?
Dat denk ik ook.
27-06-2012, 08:11 door Anoniem
Bedankt voor de reacties, ik wist niet dat microsoft stealth updates uitvoerde zonder explicitie toestemming van mij als gebruiker. Wat in dit geval bij mij inderdaad een 'Gevalletje digitale hypochondrie?' opleverde.

WuSetupV staat blijkbaar dus niet op elke PC, na installatie wordt het bestand blijkbaar ook weer verwijderd (mijn werk pc heeft bv al update agent 7.6.7600.256 maar heeft WuSetupV niet meer.

Ik has zelf ook een vergelijking tussen directories getrokken (host/netbook/werk) waar ik dat bestand dus niet aantrof wat onderandere voor de alarmbellen bij mij zorgde
02-07-2012, 12:11 door Anoniem
Ja bijna een week oud, bump, maar om te TS even te helpen...
Uhmmm, niet om alle anderen te dis-respecteren, maar gaan we niet even voorbij aan het feit dat je TWEE ACTIEVE AV's draait op je systeem ???

Ik zou eerst dat hele MSE er eens af gooien, dan je PC opschonen en dan nog eens scannen met MBAM of zoiets.
Zelf heb ik best goede ervaring met Comodo IS, vooral omdat het een alles-in-één toepassing is die echt volledig uit te schakelen is, al draai ik nu Avira met Outpost... Comodo is in ieder geval beter dan MSE, daar is eigenlijk iedereen het wel over eens :p

Als je echt para bent, kun je je modem / router allebei resetten en de firmware handmatig flashen, maar dat lijkt me echt volstrekt overbodig, zonde van alle tijd en moeite en misschien niet zo handig bovendien aangezien je mogelijk moeite krijgt om alles goed opnieuw in te stellen.., dus 'bezint eer u begint' lijkt me van toepassing hier.

Daarna MS update er nog eens overheen gooien, en als blijkt dat er "mislukte" en/of "verdachte" (al heb ik dat 2e nog NOOIT gehad) update's zijn, kun je deze makkelijk individueel Googlen. Alle KB's zijn terug te vinden op Microsoft.com, inclusief een uitgebreide (Engelstalige) beschrijving van het hoe en waarom van deze update.
PS: Blijf weg van de MS Fix-It's, ik heb er nog geen een gezien die (probleemloos) werkt.


By the way, JE HEBT GÉÉÉN FLAMER !!! Nee en ook geen Duqu, en zelfs geen Stuxnet. Ze zijn overigens ook allemaal 'overleden' verklaard, maar dat even ter zijde, hahahah (:
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.