Mijn FAT32-mem-stick besmet door een trojan op het werk

Kom binnen en praat hier gezellig met mede Mint-gebruikers over alles en nog wat
Wamukota
Nieuweling
Nieuweling
Berichten: 0
Lid geworden op: Vr 09 Okt 2009, 12:52

Mijn FAT32-mem-stick besmet door een trojan op het werk

Berichtdoor Wamukota » Do 29 Okt 2009, 18:34

Tja,

we werken daar met XP. Blijkt dat er op het bedrijfsnetwerk een beestje is binnengeslopen dat zich met veel plezier op mijn mem-stick (en op alle 250 PC's van het unsecure network) geïnstalleerd heeft deze morgen.

Er was natuurlijk grote paniek bij de IT-mensen  ;D en het hele netwerk moest plat.

Ik heb zonet mijn mem-stick effe in mijn Mint box gestoken om effe te zien wat de snoodaard er heeft op gezet.

In de root vind ik een 'autorun.inf' met volgende code:

Code: Selecteer alles

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1
en ja hoor, in de recycler map staan mooi 2 bestanden:

Code: Selecteer alles

$ tree /media/BAUDREZ/RECYCLER/
/media/BAUDREZ/RECYCLER/
`-- S-1-6-21-2434476521-1645641927-702000330-1542
    |-- Desktop.ini
    `-- redmond.exe

1 directory, 2 files
$ ls -l -h
totaal 320K
-rwxr-xr-x 1 alain root  511 2009-10-29 12:15 Desktop.ini
-r-xr-xr-x 1 alain root 315K 2009-10-29 10:15 redmond.exe
$
Na wat gegoogle blijkt het te gaan om een trojan, Trojan.Buzus.avwn
Trojan.Buzus.avwn arrives on a system as a file dropped by other malware, or downloaded by an unsuspecting user when visiting malicious Web sites. It spreads using removable drives also.
   
Malware Type : Trojan
Alias : TR/Buzus.avwn.1 [Avira], Generic.dx!w trojan [McAfee]
System Affected : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Risk Rating : Low
   
Description

When Trojan.Buzus.avwn is executed, it performs the following activities:

After execution it creates below files:

%System%\javaloadr.exe
%System%\zarukige
%System%\yozugifi.dll
%System%\enanowan.ini
%System%\javacq.exe
%System%\tomewope.dll
%System%\kizevati.dll
%System%\yofiyuya.dll
%System%\rudajeki.dll
%System%\yimogate.dll
%System%\ginuzefa.dll
%System%\itavezik.ini
%userprofile%\Application Data\Microsoft\Network\Downloader\qmgr0.dat
%userprofile%\Application Data\Microsoft\Network\Downloader\qmgr1.dat

Most of the dll files are injected in to the running processes.

It creates below files on to removable drives only:

%Driveletter%\autorun.inf
%Driveletter%\RECYCLER\{string}\Desktop.ini
%Driveletter%\RECYCLER\{string}\redmond.exe

It drops "autorun.inf" for auto execution of "redmond.exe", When the
drive is accessed. It contain below string:

[autorun]
open=RECYCLER\{string}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{string}\redmond.exe
shell\open\default=1

It drops a non malicious "desktop.ini", which contain below string.
In effect the folder gets the icon of recycler folder.

[.ShellClassInfo]
CLSID={6F5F1430-5092-102A-9F08-05BB012F954E}

It creates/modifies below registry entries for auto execution:

SunJavaUpdateSched v3.5 = "%System%\javacq.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

%System%\javacq.exe = "%System%\javacq.exe:*:Enabled:Explorer"
HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List

CPM93eafacd = "Rundll32.exe "%System%\yozugifi.dll",a"
90d9c951 = "rundll32.exe "%System%\nawonane.dll",b"
moyubazime = "Rundll32.exe "%System%\dotudoyi.dll",s"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AppInit_DLLs = "%System%\johakehe.dll %System%\yozugifi.dll"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

UpdatesDisableNotify = "1"
HKLM\Software\Microsoft\Security Center

Notification Packages = "scecli%System%\johakehe.dll"
HKLM\System\CurrentControlSet\Control\Lsa

The below domain is requested to know the IPAddress of affected machine:

* http://whatismyip.com

The below domain is asked after execution:

* [xxxx]gto.net.om
* [xxxx]non-online.com.lb
* [xxxx].buysoft.co.kr

It connects to the remote smtp servers and send an emails.
   
Payload

* Downloads malicious files.

Solution

Disable System Restore.

    * Disable System Restore under Windows Me:

      Point to Start, Settings, and Control Panel. Double-click 'System', then click on the 'Performance' tab. Click 'File System' then click the 'Troubleshooting' tab. Select 'Disable System Restore' and click 'Apply'. Restart your system.

    * Disable System Restore under Windows XP:

      Point to Start, Control Panel, Performance and Maintenance. Double-click “System”, then select the System Restore tab. Select the 'Turn off System Restore” on all drives box. Click Apply. Click Yes. Restart your system.

Quick Heal users are requested to update your Anti-Virus with the latest signature pattern definitions and perform a system scan using Quick Heal Scanner.
En ik maar in mijn vuistje lachen...
midas

Re:Mijn FAT32-mem-stick besmet door een trojan op het werk

Berichtdoor midas » Do 29 Okt 2009, 18:54

Waarom lach je daar in je vuistje Wamu? D'r komen steeds meer malicious codes die platformonafhankelijk werken. Ja, de producten van MS zijn nog steeds virusvangers van jewelste. Voordat een virus of trojan op unix iets kan uitrichten moeten er heel wat hindernissen genomen worden...maar om nu te zeggen dat wij volkomen immuun zijn? Maar het is waar...mijn bankzaken zou ik absoluut niet doen op een MS-product. Mij te link...
Wamukota
Nieuweling
Nieuweling
Berichten: 0
Lid geworden op: Vr 09 Okt 2009, 12:52

Re:Mijn FAT32-mem-stick besmet door een trojan op het werk

Berichtdoor Wamukota » Do 29 Okt 2009, 19:12

Je moet nu ook niet 'te' paranoïa zijn hé.

Ieder platform kan idd. gecracked worden, maar wie zou er baat bij hebben om bij die paar tienduizenden (meestal arme LOL) Linux gebruikers te proberen vitale data te ontfutselen via een trojan, die geen wortel kan schieten omdat ie om te beginnen geen uitvoerrechten heeft en enkel UID = 0 hem die kan geven. Ik heb het hier wel niet over rootkits, maar die spelen in een andere afdeling ook.

Nee, ik vrees geen remote aanval hoor. Natuurlijk iemand die fysieke toegang heeft tot het systeem kan meer schade aanrichten, maar dan spreken we natuurlijk niet meer over een 'gewoon virus' ...

Platform onafhankelijke codes draaien ook niet zomaar, maar moeten via een browser hun werk doen, en dan hang je in grote mate af van hoe goed je je systeem update en zo. Ik durf gerust te stellen dat we met onze standaard Linux distro nog vrij goed beschermd zijn.
midas

Re:Mijn FAT32-mem-stick besmet door een trojan op het werk

Berichtdoor midas » Do 29 Okt 2009, 19:38

Met linux moet je inderdaad het meest oppassen wanneer als su of sudo een pakket wordt geïnstalleerd. Niets installeren buiten de officiele repo's zou de standaard werkwijze moeten zijn. Het gekke is dat bij windowgebruikers het veiligheidsgevoel vaak toeneemt wanneer de antivirus-software kwaadaardige codes heeft gevonden (en verwijderd). Kijk, hij heeft weer iets gedetecteerd....we zijn weer verlost van alle kwaadspoed! Bij linux heb je niets dat het false veiligheidsgevoel kan versterken...maar moet je wel zorgen een aantal voorzorgsmaatregelen te nemen. Bij su of sudo betekent het altijd goed opletten.

Waarom kunnen rootkits trouwens wél iets uitrichten? Hoe komen die binnen en waarom zijn die ook gevaarlijk voor ons, arme linuxgebruikers ;)
wanda
Nieuweling
Nieuweling
Berichten: 3
Lid geworden op: Vr 09 Okt 2009, 13:06

Re:Mijn FAT32-mem-stick besmet door een trojan op het werk

Berichtdoor wanda » Do 29 Okt 2009, 20:32

Typ bij Google eens in >  rootkit linux
Veel lees plezier. :D

Terug naar “Het Mint café”

Wie is er online

Gebruikers op dit forum: Google [Bot] en 9 gasten