web analytics

Een trojaanse paardenstal op een Windows 7 laptop

Print Friendly, PDF & Email

Oké, we weten allemaal dat Windows nu niet precies het meest veilige besturingssysteem is en een geliefd doelwit is voor allerlei malafide hack- en besmetpogingen. Daarom doen Windows gebruikers er alles aan om hun systeem te vrijwaren van die rotzooi en is er een bloeiende markt van anti-virus bedrijfjes die zowel gratische als betalende oplossingen aanbieden. En het werkt, zij het niet voor 100%, maar toch wel in die mate dat je veilig met je Windows PC op het Internet kan en daar je ding doen.

Maar wat als je er nu van uit gaat dat je systeem goed beschermd is, en blijkt dat je virusscanner het niet doet?

Wel, je kunt dat plots te weten komen als je een schermpje gepresenteerd krijgt van ‘de Politie’ waarin je leest dat je iets ‘illegaal’ gedaan hebt en je een boete moet betalen om weer toegang te krijgen tot je systeem.

Politie-Nederland-virusIk werd gecontacteerd door een ouder koppel die een soortgelijke politie-ransomware besmetting op hun laptop hadden en er maar niet vanaf geraakten. Meer nog, de man stelde me voor om te betalen, maar ik heb hem dit gelukkig uit zijn hoofd kunnen praten.
Toen ik daar toe kwam, bleek hun laptop inderdaad muurvast te zitten. Booten ging nog wel, maar veel meer kon je niet doen alvorens dat ransomware scherm op de proppen kwam.

http://www.deletevirus.net/illegale-activiteit-gedetecteerd-virus-politie-ransomware/

Nadat ik via mijn Ubuntu Live Cd op hun laptop kwam, heb ik eerst online gezocht of dat een simpel iets was om van die ransomware af te geraken. Probleem is dat de meeste oplossingen er van uitgaan dat je Windows gebruikt (bv. in veilige mode) om het probleem op te lossen. Daar had ik helemaal geen zin in, en ik heb de Avira Live CD gebruikt om deze malware uit te schakelen.

Avira maakt dagelijks een .exe en een .iso beeldbestand, waardoor de CD die je brandt up to date is naar virussignaturen toe en je dus ook geen internet verbinding moet hebben om updates te downloaden. Download de ISO vanaf http://www.avira.com/en/download/product/avira-antivir-rescue-system.

Ik had de Avira Live CD thuis al gebrand en kon er dus direct mee aan de slag.

Tijd om een potje koffie te drinken terwijl Avira zijn werk deed.

Toen we na een tijdje terugkeerden om eens te zien of Avira de politie-ransomware al gevonden had, viel mijn mond open van verbazing. Hieronder het log van het scannen:

Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set: 8.2.10.120
VDF Version: 7.11.37.222
Scan start time: Fri Jul 27 21:43:08 2012
configuration file: /etc/avira/scancl.conf

ALERT: [APPL/KillApp.A] /media/Devices/sda2/HP/Bin/EndProcess.exe.vir <<< Contains signature of the application APPL/KillApp.A [deleted]

ALERT: [JS/Dldr.Expack.AY.3] /media/Devices/sda2/Users/Myriam/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/M53TEA6P/main[1].htm.vir <<< Contains signature of the Java script virus JS/Dldr.Expack.AY.3 [deleted]

ALERT: [JS/Blacole.HA.1] /media/Devices/sda2/Users/Myriam/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/3MCFWS7J/main[1].htm <<< Contains signature of the Java script virus JS/Blacole.HA.1 [deleted]

ALERT: [HTML/ExpKit.Gen3] /media/Devices/sda2/Users/Myriam/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/66Z2I6Y3/index[1].htm <<< Contains signature of the HTML script virus HTML/ExpKit.Gen3 [deleted]

ALERT: [TR/Reveton.C.2] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/0_0u_l.exe <<< Is the Trojan horse TR/Reveton.C.2 [deleted]

ALERT: [EXP/JAVA.Ternub.Gen] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/L.class <<< Contains signature of the exploits EXP/JAVA.Ternub.Gen [deleted]

ALERT: [EXP/11-3544.CI.2] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/M.class <<< Contains signature of the exploits EXP/11-3544.CI.2 [deleted]

ALERT: [TR/Dldr.Agent.65536.22] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/BE5E.tmp <<< Is the Trojan horse TR/Dldr.Agent.65536.22 [deleted]

ALERT: [EXP/CVE-2010-0840] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/jar_cache4790798334004533250.tmp –> pmvwfs/lirso.class <<< Contains signature of the exploits EXP/CVE-2010-0840 [archive scan abort]

ALERT: [EXP/CVE-2010-4452] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/jar_cache7645114857805968523.tmp –> ckhqden.class <<< Contains signature of the exploits EXP/CVE-2010-4452 [archive scan abort]

ALERT: [EXP/CVE-2010-4452] /media/Devices/sda2/Users/Myriam/AppData/Local/Temp/jar_cache8448712813537552664.tmp –> ffgtr.class <<< Contains signature of the exploits EXP/CVE-2010-4452 [archive scan abort]

ALERT: [EXP/11-3544.CG.2] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/12/74c3f9cc-72d8f7e2 –> a/b.class <<< Contains signature of the exploits EXP/11-3544.CG.2 [archive scan abort]

ALERT: [EXP/JAVA.Ternub.Gen] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/35/2b825ee3-15d5df0c –> pira/a2.class <<< Contains signature of the exploits EXP/JAVA.Ternub.Gen [archive scan abort]

ALERT: [EXP/2008-5353.AI.3] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/36/189106e4-4e52d958 –> gfsprpp/bepwrbcguwgb.class <<< Contains signature of the exploits EXP/2008-5353.AI.3 [archive scan abort]

ALERT: [TR/Agent.1522] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/37/43cccaa5-648c29f8 –> mail/Cid.class <<< Is the Trojan horse TR/Agent.1522 [archive scan abort]

ALERT: [EXP/2008-5353.CN] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/41/29e0529-76cfcbbd –> q_a/q_a.class <<< Contains signature of the exploits EXP/2008-5353.CN [archive scan abort]
ALERT: [EXP/12-0507.BD.1.C] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/44/3e59312c-3b3a3fbf –> a/A.class <<< Contains signature of the exploits EXP/12-0507.BD.1.C [archive scan abort]

ALERT: [EXP/CVE-2012-1723.AN] /media/Devices/sda2/Users/Myriam/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/56/1e5efef8-43d3d615 –> Kioa/Kiob.class <<< Contains signature of the exploits EXP/CVE-2012-1723.AN [archive scan abort]

ALERT: [TR/Kazy.82414.9] /media/Devices/sda2/Users/Myriam/AppData/Roaming/rty0_7z.exe <<< Is the Trojan horse TR/Kazy.82414.9 [deleted]

ALERT: [TR/Fraud.Gen8] /media/Devices/sda2/Users/Myriam/Downloads/setup.zip –> setup.exe <<< Is the Trojan horse TR/Fraud.Gen8 [archive scan abort]

ALERT: [TR/Vundo.Gen] /media/Devices/sda2/ProgramData/ms00C6789C.dat <<< Is the Trojan horse TR/Vundo.Gen [deleted]

Ik bekeek die lijst en kan me niet van het idee ontdoen dat er meer aan de hand moet zijn dan een gewoon malware trojaans paard dat tussen de mazen van het Anti-virus net geslopen was, maar de opkuis scheen gelukt te zijn, daar na het herstarten Windows 7 probleemloos opstartte.

Nu wou ik toch weten of ze een anti-virus hadden op die computer. Ja, zeiden ze me, de verkoper – de laptop was maar 6 maand oud – had gezegd dat er een anti-virus op stond en dat die al actief was. Bleek dat er een 3 maand trial version van ESET op geïnstalleerd was, maar de eigenaars hadden verzuimd om ofwel over te gaan op de betalende versie en dachten, ten onrechte blijkbaar, dat die virusscanner heb ten eeuwige tijde zou beschermen. Meer nog, toen ik de services bekeek, bleek die zelfs helemaal niet te draaien. Wat er juist voorgevallen was kon ik niet achterhalen, maar ik heb de ESET verwijderd en er een AVG Free op gezet, die na het scannen een clean systeem rapporteerde.

Tot op heden blijkt alles op die laptop normaal te verlopen, er was geen data verloren gegaan, noch vercijferd. They were very lucky !!!

Beoordeling

Geef een reactie

%d bloggers liken dit: