Vraag & Antwoord

OS Windows

!! VIRUS Waarschuwing !!

1 antwoord
  • Na het bekijken van mijn firewall log files viel het me op dat er honderden scans in stonden op port udp/137 (Netbios) dit weekend. Poort 137 wordt gebruikt voor de status van netbios. Het commando nbtstat doet dus een aanvraag op deze poort. Na wat zoeken op internet blijkt dat wereldwijd dit fenomeen te zien is waarbij honderden aanvragen op deze poort binnenkomen. Omdat het nog een vroeg stadium is zijn er al enkele zaken bekend geworden namelijk: Wanneer bekend is dat de windows poort 139 openstaat (na 137 te hebben geraadpleegd) zal er een bestand op de computer geinstalleerd worden. Er worden verschillende bestanden gemeld over dit virus, maar informatie is allemaal nog in begin stadium. De varianten die ik tot nu toe gevonden heb zijn: [b:4e7c6e429f]scrsvr.exe[/b:4e7c6e429f] - Dit virus heet backdoor.opasoft en is een tijd weg geweest maar is nu enorm aan het verspreiden. De tekst die in dit bestand staan zijn met het programma strings van http://www.sysinternals.com te bekijken en zijn de volgende: [code:1:4e7c6e429f] Strings v2.04 Copyright (C) 1999-2001 Mark Russinovich Systems Internals - http://www.sysinternals.com RegisterServiceProcess SOFTWARE\Microsoft\Windows\CurrentVersion\Run Software\Microsoft\Windows\CurrentVersion\Internet Settings ScrSvr ScrSvrOld ProxyEnable ProxyServer \ScrSvr.exe ScrSin.dat ScrSout.dat scrupd.exe www.opasoft.com GET /scheduler.php?ver=01&task=newzad&first=0 HTTP/1.1 Host: GET /work/lastver HTTP/1.1 Host: GET /work/scrsvr.exe HTTP/1.1 Host: POST /work/scheduler.php? ver=01&plain=0123456789ABCDEF&cipher1=0123456789ABCDEF&c mpmask=FFFFFFFFFFFFFFFF&key=123456&res=0 HTTP/1.1 Host: OK PLAIN CIPHER1 KEY WINDOWS\scrsvr.exe WINDOWS\win.ini c:\tmp.ini c:\windows\scrsvr.exe windows run CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA [/code:1:4e7c6e429f] Ook wordt er melding gemaakt van het virus wat vandaag ontdekt is en op dezelfde methode werkt: [b:4e7c6e429f]Bugbear[/b:4e7c6e429f] Voor meer informatie over dit virus kijk op: http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.html [b:4e7c6e429f]Zorg er in ieder geval voor dat je een firewall hebt zonealarm o.i.d. en controleer je computer op deze bestanden en controleer of de inhoud van het bestand scrsvr.exe mocht het op je harddisk staan overeen komt met de gegevens. Hou ook de virus sites in de gaten omdat het hier een vrij grote verspreiding betreft wat over de hele wereld te merken is ....[/b:4e7c6e429f] Grtz

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.