Trojan waarschuwing!!

S

Satslope

Voor degenen die weleens files uit üpload"sites halen let op!

Er worden de laatste tijd pogingen gedaan trojans te verspreiden. er is een italiaans progje wat allerlei belangrijke windows files en dirs renamed en weggooit.

Voorbeeld: MoscAS20.zip zit een editor bij, later vind ik een programma met een heel verhaal in het italiaans over de relatie van Event-ID, masterkey en serienummer. Pure bullshit en er zit weer hetzelfde trojan filetje bij.

Advies: virusscanners zien dit soort dingen niet, dus wat je doen kunt is de executable in een hexeditor bekijken en let dan vooral op text. zoek bijv. op C:\ , win.ini, *.ini

Je ziet gauw genoeg of het een stomme grap is.

De bewuste file is 30.840 bytes groot.

En nee: mij hebben ze niet gefopt :tong:

 
Thx voor de waarschuwing!

Ik was al op de hoogte van de trojans waarmee sommige sites besmet waren.

Je hoeft alleen maar in te loggen en je heb een trojan binnen.

L**rals is er zoéén.

 
Ziehier de noodzaak van een goede virusscanner.Dan heb je hier over het algemeen geen of minder last van. :)

 
ben er dus wel ingetrapt en zoals satslope al zij virus scanners helpen bij dit soort proggies niet omdat ze te kleinschallig of te nieuw zijn voor de virus scanners.

ben gister 2 uur bezig geweest om al de in .vir veranderde .dll bestanden weer te renamen

groeten blokker

 
Hoi,

Een VirusScanner ziet ze mischien niet altijd...

Maar een fatsoenlijke FireWall zeker en vast wel altijd.

En anders even het volgende testje doen:

Verbinding maken met Internet, en dan in een dos venster typen:

Netstat.exe -an

Hiermee krijg je het overzicht van de op dat moment openstaande netwerk verbindingen.

Als je rare kost-gangers op je PC hebt, zie hier meteen......

Groetjes,

Erik.

 
weet niet of hij goed is of slecht maar ik heb zonealarm en die zag hem ook niet

 
@DRZ, dat wist ik niet van Laurals. Kun je eens vertellen welk Trojan die site op je pc zet en eventueel hoe deze te verwijderen is?

Dit gezien het feit dat het een nogal bekende site is en toch redelijk bezocht is.

Ook door ondergetekende wel eens.;)

 
10-10-01 10:23 Infected maarten C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\7PQF4TUJ\MAIN2[2].HTM Unsafe JS

10-10-01 10:23 Deleted maarten C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\7PQF4TUJ\MAIN2[2].HTM Unsafe JS

Hier is, of was de boosdoener.

Overigens is Laurals er ook achter gekomen en heeft zijn server ontsmet.

Het is misschien raadzaam om je temporary internetfiles even te scannen.

 
Oh, en je kan hem gewoon met McAfee deleten, by the way.

 
Tsja nu halen jullie 2 dingen door elkaar.

Ik bedoel met trojans programmas die zich "voordoen" als een of ander leuke tool of een "uitgelekt" geheim programmatje door bijvoorbeeld de beschrijving die erbij zit. Ondertussen start je in plaats van een leuke keyeditor een of ander progje op wat een helehoop op je HD gaat zitten klooien. Of erger.

Dat "JS-seeker" ding is een of ander java achtig ding wat in je temp. internet files folder komt te staan en ervoor gaat zorgen dat als je volgende keer explorer start je zonder dat je ook maar 1 site hebt bezocht ineens popups krijgt. Een zeer smerige manier van reklame maken, en dit wordt (terecht) door McAfee als een virus gezien. Maar: dit heb je niet zelf opgestart.

Een echt trojaans paard is dus geen virus maar gewoon een programma wat alleen wat anders doet dan ze je doen geloven.

Soms is dat erg doorzichtig, maar in het geval van die MoscAs20 file hebben ze het slim aangepakt.

 
Kijk wat er op Laurals is is dus een virruss met de naam JC SEEKER d'as dus inderdaad een dikke trojan en wat deze doet is dus kijken waar je allemaal op internet .

 
JS/Seeker.gen

Date Discovered: 10/26/2000

Date Added: 11/3/2000

Origin: Unknown

Length: N/A

Type: Trojan

SubType: -

DAT Required: 4102

js.seeker, JS_SEEKER.A, JS_SEEKER.B

AVERT has seen an increase in the number of encoded JS/Seeker samples since the release of the 4.1.50 scan engine. This is due to new decoding methods used by the engine. The majority of these samples also exploit a Microsoft virtual machine vulnerability.

http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP

 
Met dit soort trojaanse paarden is het een kleine moeite om alle "illegale" sites te traceren.

Het zal mij niets verbazen als C+ en zijn cornuiten hier gebruik van zou willen maken :)

Met deze metode hoef je niet eens meer een attachment open te maken of te activeren om op het internet getraceert te worden.

Ze komen gewoon tijdens het surfen binnensluipen.

 
Ik heb Laurels al eens een mailtje gestuurd over het feit dat iedere keer als ik zijn site bezocht ik geconfronteerd werd met het JS Seeker scriptje.

Helaas heeft ie nooit gereageerd en mijd ik z'n site sinds die tijd.

Wat JS Seeker o.a. doet is een de "search" button van bekende zoekengine als altavista, yahoo en google afvangen.

Er wordt dan een "waitstate" ingebouwd van ongeveer 15 seconde. Waardoor het erg lang duurt eer je zoekopdracht wordt uitgevoerd. Je ervaart dit alsog Windows dan tijdelijk hangt.

Mocht je geinfecteerd zijn dan is dit o.a. te merken aan het bovenstaande en aan het feit dat de button "optisch" niet meer ingedrukt wordt zodra je er met de muis op klikt.

Ik kan jullie allemaal de laatste versie van F-Secure aanbevelen.

Deze scanner is al vaker door de vakbladen verkozen boven McAfee en Norton AV als beste scanner voor zowel off-line als online zaken.

Van het moment van installeren heb ik al talloze site bezocht die schijnbaar en wellicht onbedoeld het Java script op je loslaten maar telkens werd de file herkend op het moment dat het in je TEMP internet bestanden dir. terecht kwam en werd ie gewist. (uiteraard incl. de waarschuwing)

Adios

Ron

 
F-prot is al langer mijns inziens de beste virusscanner die er is, al in de tijd toen hoofdzakelijk nog McAfee en Thunderbyte gebruikt werd (ja de dos tijd dus).

F-secure is de windows opvolger ervan. Deze heb ik een tweetal keren geinstalleerd gehad in verschillende periodes, hij was, goed, maar had als nadeel dat hij mijn 98se pc nogal eens regelmatig in de soep liet lopen of andere dingen nogal onstabiel maakte waardoor ik hem steeds moest uitschakelen als ik bepaalde dingen ging doen. Idem met MacAfee die ook nog telkens opnieuw elke file scande die ik benaderde en hierdoor nogal erg de zaak vertraagde.

Dat is een voordeel van Norton, die scant zodat je een directory in gaat, maar gaat dan bij het aanklikken van een file die niet nog eens scannen, ook niet bij het downloaden (zoals McAfee deed) maar hij wacht tot de download klaar is en scant dan pas, dat scheelt enorm.

Voor mij blijft dus Norton de beste momenteel, temeer daar hij ook meer vind en sneller dan MacAfee.

Maar voor mensen met een systeem waar F-Secure op draait vind ik dat zeker een aanrader.

Doch net als Norton kost deze nogal geld, en dan is de AGV of hoe heet die scanner ook alweer een bijzonder goed (gratis) alternatief.

 



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan