Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Windows

!! VIRUS Waarschuwing !!

None
1 antwoord
  • Na het bekijken van mijn firewall log files viel het me op dat er honderden scans in stonden op port udp/137 (Netbios) dit weekend.

    Poort 137 wordt gebruikt voor de status van netbios. Het commando nbtstat doet dus een aanvraag op deze poort.

    Na wat zoeken op internet blijkt dat wereldwijd dit fenomeen te zien is waarbij honderden aanvragen op deze poort binnenkomen.

    Omdat het nog een vroeg stadium is zijn er al enkele zaken bekend geworden namelijk:

    Wanneer bekend is dat de windows poort 139 openstaat (na 137 te hebben geraadpleegd) zal er een bestand op de computer geinstalleerd worden. Er worden verschillende bestanden gemeld over dit virus, maar informatie is allemaal nog in begin stadium. De varianten die ik tot nu toe gevonden heb zijn:

    [b:4e7c6e429f]scrsvr.exe[/b:4e7c6e429f] - Dit virus heet backdoor.opasoft en is een tijd weg geweest maar is nu enorm aan het verspreiden.

    De tekst die in dit bestand staan zijn met het programma strings van http://www.sysinternals.com te bekijken en zijn de volgende:

    [code:1:4e7c6e429f]
    Strings v2.04
    Copyright (C) 1999-2001 Mark Russinovich
    Systems Internals - http://www.sysinternals.com

    RegisterServiceProcess
    SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Software\Microsoft\Windows\CurrentVersion\Internet Settings
    ScrSvr
    ScrSvrOld
    ProxyEnable
    ProxyServer
    \ScrSvr.exe
    ScrSin.dat
    ScrSout.dat
    scrupd.exe
    www.opasoft.com
    GET /scheduler.php?ver=01&task=newzad&first=0 HTTP/1.1
    Host:
    GET /work/lastver HTTP/1.1
    Host:
    GET /work/scrsvr.exe HTTP/1.1
    Host:
    POST
    /work/scheduler.php?
    ver=01&plain=0123456789ABCDEF&cipher1=0123456789ABCDEF&c
    mpmask=FFFFFFFFFFFFFFFF&key=123456&res=0 HTTP/1.1 Host:
    OK
    PLAIN
    CIPHER1
    KEY
    WINDOWS\scrsvr.exe
    WINDOWS\win.ini
    c:\tmp.ini
    c:\windows\scrsvr.exe
    windows
    run
    CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
    [/code:1:4e7c6e429f]

    Ook wordt er melding gemaakt van het virus wat vandaag ontdekt is en op dezelfde methode werkt:

    [b:4e7c6e429f]Bugbear[/b:4e7c6e429f]

    Voor meer informatie over dit virus kijk op:

    http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html

    [b:4e7c6e429f]Zorg er in ieder geval voor dat je een firewall hebt zonealarm o.i.d. en controleer je computer op deze bestanden en controleer of de inhoud van het bestand scrsvr.exe mocht het op je harddisk staan overeen komt met de gegevens. Hou ook de virus sites in de gaten omdat het hier een vrij grote verspreiding betreft wat over de hele wereld te merken is ….[/b:4e7c6e429f]

    Grtz

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.