Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Vraag & Antwoord

OS Windows

!! VIRUS Waarschuwing !!

None
1 antwoord
  • Na het bekijken van mijn firewall log files viel het me op dat er honderden scans in stonden op port udp/137 (Netbios) dit weekend.

    Poort 137 wordt gebruikt voor de status van netbios. Het commando nbtstat doet dus een aanvraag op deze poort.

    Na wat zoeken op internet blijkt dat wereldwijd dit fenomeen te zien is waarbij honderden aanvragen op deze poort binnenkomen.

    Omdat het nog een vroeg stadium is zijn er al enkele zaken bekend geworden namelijk:

    Wanneer bekend is dat de windows poort 139 openstaat (na 137 te hebben geraadpleegd) zal er een bestand op de computer geinstalleerd worden. Er worden verschillende bestanden gemeld over dit virus, maar informatie is allemaal nog in begin stadium. De varianten die ik tot nu toe gevonden heb zijn:

    [b:4e7c6e429f]scrsvr.exe[/b:4e7c6e429f] - Dit virus heet backdoor.opasoft en is een tijd weg geweest maar is nu enorm aan het verspreiden.

    De tekst die in dit bestand staan zijn met het programma strings van http://www.sysinternals.com te bekijken en zijn de volgende:

    [code:1:4e7c6e429f]
    Strings v2.04
    Copyright (C) 1999-2001 Mark Russinovich
    Systems Internals - http://www.sysinternals.com

    RegisterServiceProcess
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Software\Microsoft\Windows\CurrentVersion\Internet Settings
    ScrSvr
    ScrSvrOld
    ProxyEnable
    ProxyServer
    \ScrSvr.exe
    ScrSin.dat
    ScrSout.dat
    scrupd.exe
    www.opasoft.com
    GET /scheduler.php?ver=01&task=newzad&first=0 HTTP/1.1
    Host:
    GET /work/lastver HTTP/1.1
    Host:
    GET /work/scrsvr.exe HTTP/1.1
    Host:
    POST
    /work/scheduler.php?
    ver=01&plain=0123456789ABCDEF&cipher1=0123456789ABCDEF&c
    mpmask=FFFFFFFFFFFFFFFF&key=123456&res=0 HTTP/1.1 Host:
    OK
    PLAIN
    CIPHER1
    KEY
    WINDOWS\scrsvr.exe
    WINDOWS\win.ini
    c:\tmp.ini
    c:\windows\scrsvr.exe
    windows
    run
    CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    [/code:1:4e7c6e429f]

    Ook wordt er melding gemaakt van het virus wat vandaag ontdekt is en op dezelfde methode werkt:

    [b:4e7c6e429f]Bugbear[/b:4e7c6e429f]

    Voor meer informatie over dit virus kijk op:

    http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html

    [b:4e7c6e429f]Zorg er in ieder geval voor dat je een firewall hebt zonealarm o.i.d. en controleer je computer op deze bestanden en controleer of de inhoud van het bestand scrsvr.exe mocht het op je harddisk staan overeen komt met de gegevens. Hou ook de virus sites in de gaten omdat het hier een vrij grote verspreiding betreft wat over de hele wereld te merken is ….[/b:4e7c6e429f]

    Grtz

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.