Abusemail fra bluecom

[Eryk]

Fikk denne 20.9.07 -- fikk ikke sjekket mailen på en stund, så jeg oppdaget den først i skrivende stund.

 

Hei!

 

En eller flere maskiner på

 

IP-adresse: 81.191.xx.xx

 

ser ut til å være infisert av skadelig programvare. Første uautoriserte trafikk ble oppdaget

 

og rapportert til oss den 18.september 2007 .

 

Det dreier seg her om programvare misbrukt til å foreta et såkalt DDoS angrep. Denne

 

programvaren er dessverre såpass aggressiv at det finnes en risiko for at du må avinstallere

 

og re-installere ditt operativsystem for å være sikker på at trusselen er fjernet.

 

Dersom problemet ikke blir tatt hånd om, kan dette føre til at andre kunder vil bli utsatt

 

for den skadelige programvaren, eller oppleve problemer med f.eks. epost. Om problemet ikke

 

blir tatt hånd om, vil vi i siste instans se det som nødvendig å sperre linjen for all

 

trafikk.

 

For beskyttelse mot og fjerning av skadelig programvare anbefaler vi bruk av fullstendig

 

oppdatert antivirus og brannmur på samtlige maskiner med tilgang til nett. Det anbefales å

 

koble maskinen fra nett mens søk etter den skadelige programvaren pågår.

 

-----

 

 

Den inneholdt også et mangfold av diverse gratisprogrammer jeg kunne foreta søk etter påstått "ddos-programvare".

 

Har aldri sett noe til mistenkelige programmer som kunne ha gjort noe slikt, ei heller på pappas pc, som sjelden er koblet opp mot nett.

 

Og nei, jeg har ikke ddoset noe som helst. Litt kjipt fra en 2MBit linje sikkert, uansett.

 

Tips til hva jeg burde gjøre, evt om jeg burde foreta meg noe som helst; om de ikke har latt høre fra seg på tyve dager ~ er det vel ikke noe problem lenger?

[steveak]

Kan jo være noe du/dere har fått på e-post eller fra en nettside.

 

Oppdater virusprogram og kjør test.

 

Her er noen fine gratis i tilfelle du ikke har noen nye:

 

AVG: www.grisoft.com

 

Ad-Aware

 

Spybot search and destroy

 

----

 

Fikk denne 20.9.07 -- fikk ikke sjekket mailen på en stund, så jeg oppdaget den først i skrivende stund.

 

Hei!

 

En eller flere maskiner på

 

IP-adresse: 81.191.xx.xx

 

ser ut til å være infisert av skadelig programvare. Første uautoriserte trafikk ble oppdaget

 

og rapportert til oss den 18.september 2007 .

 

Det dreier seg her om programvare misbrukt til å foreta et såkalt DDoS angrep. Denne

 

programvaren er dessverre såpass aggressiv at det finnes en risiko for at du må avinstallere

 

og re-installere ditt operativsystem for å være sikker på at trusselen er fjernet.

 

Dersom problemet ikke blir tatt hånd om, kan dette føre til at andre kunder vil bli utsatt

 

for den skadelige programvaren, eller oppleve problemer med f.eks. epost. Om problemet ikke

 

blir tatt hånd om, vil vi i siste instans se det som nødvendig å sperre linjen for all

 

trafikk.

 

For beskyttelse mot og fjerning av skadelig programvare anbefaler vi bruk av fullstendig

 

oppdatert antivirus og brannmur på samtlige maskiner med tilgang til nett. Det anbefales å

 

koble maskinen fra nett mens søk etter den skadelige programvaren pågår.

 

-----

Den inneholdt også et mangfold av diverse gratisprogrammer jeg kunne foreta søk etter påstått "ddos-programvare".

 

Har aldri sett noe til mistenkelige programmer som kunne ha gjort noe slikt, ei heller på pappas pc, som sjelden er koblet opp mot nett.

 

Og nei, jeg har ikke ddoset noe som helst. Litt kjipt fra en 2MBit linje sikkert, uansett.

 

Tips til hva jeg burde gjøre, evt om jeg burde foreta meg noe som helst; om de ikke har latt høre fra seg på tyve dager ~ er det vel ikke noe problem lenger?

[enden]

Det aller første du gjør er å ringe abuse hos ISP for å forsikre deg om at dette er en reell henvendelse. De pleier nemlig å være litt krassere, og slett ikke tilby forslag til løsninger eller linker til programvare som kan løse problemet. Innholdet er kort oppsummert:

 

Det er oppdaget skadelig trafikk på din nettlinje (evt utdyping av hva slags trafikk). Rett problemet eller så stenger vi aksessen din. Vennligst informer abuse om når problemet er rettet.

 

At det i det hele tatt har gått så lang tid, og linja fortsatt er oppe er enda et tegn på at dette er bullshit. Det er tross alt ikke så vanskelig for noen av kompisene dine å spoofe en mail-adresse.

[Jarmo]

Har aldri sett noe til mistenkelige programmer som kunne ha gjort noe slikt, ei heller på pappas pc, som sjelden er koblet opp mot nett.

Rootkits er ikke så lett å oppdage..

[Largie]

Rootkits er ikke så lett å oppdage..

 

"Safemode"

[Eryk]

Mailen kom fra [email protected], så jeg antar den var legitim?

Skal gjøre et mer omfattende søk på begge maskiner oppkoblet nett, selv om det var kun min IP som var nevnt i eposten.

Endret 13. oktober 2007 av Eryk

[[StK]Bountyhunter(BF:V)]

den adressen så ikke veldig troverdig ut...

 

Ville gjettet den var noe sånn som: [email protected]

 

Bountyhunter

[nightzirch]

Mailen kom fra [email protected], så jeg antar den var legitim?

Skal gjøre et mer omfattende søk på begge maskiner oppkoblet nett, selv om det var kun min IP som var nevnt i eposten.

 

Det er ikke noe problem å sende mail fra en fake adresse. Vet om en side som gjør at du kan sende mail til [mail-adr] fra [mail-adr]. Altså du velger selg hvilken mailadresse du skal sende fra.

Dette er vel ulovelig tenker jeg, men bare så du er klar over det.

[Eryk]

kq.no er registrert hos ventelo, og bluecom er ventelo.

Men om det er så lett å sende falsk mail kan en vel ikke være sikker.

 

På en annen side, å google på [email protected] gir null resultat, mens

[email protected] gir plenty. Mulig det kun er en fjott som har sendt.

Endret 13. oktober 2007 av Eryk

[Eryk]

OK. Zonealarm har blokkert ikke mindre enn 2900 angrep på ti minutter.

I alle dager, ikke sett på maken jeg. Er det normalt?

[Toast Is Pimp!]

Nei hva tror du.

 

Søk: Ad-Aware og Spybot fjerner en del. Også prøv AVG sin Adaware scanner.

 

De skal ta det meste

Endret 13. oktober 2007 av Deimos87

[Gordion]

Det er aldeles ikke normalt. Tror forresten den mailen du fikk er 'the real deal', iallfall etter at jeg fikk vite at ZoneAlarm rapporterer såpass mange angrep (Nesten 5. Angrep pr sec)

Endret 13. oktober 2007 av Gordion

[radivx]

Grunnen til at du får den er at Uninett eller andre store nettverk som analyserer trafikk har oppdaget at maskinen din kontakter kjente botnet. Det betyr i prinsippet at noen med din IP er infisert av en orm eller noe. Det er ikke sikkert at noe AV tar disse, da de kan være custom programmert og i et antall som er så lite at AV-firmaene ikke har oppdaget dem.

 

Sjekk for typiske virus programmer som "svdhost.exe" i stedet for "svchost.exe" ol. Bruk TCPView for å sjekke etter uregelmentær trafikk (ikke bruk nettet selv... og se hva som dukker opp).

 

Til syvende og sist er det egentlig dusten som har laget trojaneren som avgjør hvor vanskelig deter for deg å fjerne den.

[sumptrollet]

Mailen kom fra [email protected], så jeg antar den var legitim?

Skal gjøre et mer omfattende søk på begge maskiner oppkoblet nett, selv om det var kun min IP som var nevnt i eposten.

 

Les headerne så har du en god indikasjon på hvor eposten kommer fra.

[Eryk]

Fatter ittno' je, oppe i 30 000 angrep nå. De blir jo blokkert, men hva i alle..

Både AVG og en online-skanner konkluderte med at jeg er fri for virus, og ad-aware fant ikke noe av signifikans. Dør vel ut etter hvert..

[norbat]

Post gjerne en HJT-logg. Den kan kanskje fortelle litt mer....

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster.

 

Edit: Hvilke program var det som var anbefalt å prøve?

Endret 13. oktober 2007 av norbat

[myhken]

Vet ikke om jeg ville ha satset på at det dør ut av seg selv...jeg hadde tilsvarende problem på en Windows web server jeg hadde borte i USA, og der måtte jeg reinstallere hele Windows før det ble borte. Kjørte en rekke AV programmer og spyware/adware, men problemet er nok et rootkit eller lignende, og de er nesten (eller helt) umulig å fjerne uten å formatere og legge inn alt på nytt.

Jeg trodde jeg hadde fjernet alt et par ganger, men likevel kom det tilbake.

Så ikke ta sjansen. Synd om linjen din blir kuttet, for da blir det mye jobb med å få internet tilkoblet igjen.

[Largie]

Les hva som står i Abuse mailen: Det anbefales å koble PC-en fra nett mens du finner ut av problemet. Gjør dette men følg steppene under først.

 

For å slippe å avinstallere ville jeg gjort følgende:

1. Last ned http://www.microsoft.com/technet/sysintern.../psservice.mspx

2. Start om PC-en i sikkerhetsmodus

3. Kjør "psservice.exe config >C:\servicelist.txt", sjekk igjennom c:\servicelist.txt om du finner servicer som du ikke kjenner igjen (ved option config får du vite alt som trengs)

4. Bruk msconfig.exe og deaktiver elementer du ikke går god for.

 

Rootkits "patcher" kernelen når de kjører og filtrer ut data, men i sikkerhetsmodus skal ikke det forekomme (selv om det finnes). Hvis du har trådløst nettverk bytt passord på ruteren så er du ganske sikker på at det ikke er nabo'n som har et kit installert

 

Hvis du ikke skjønte bæret av hva jeg pratet om over, reinstaller

 

Edit: Zonealarm gir ingen beskyttelse hvis programmet har blitt godtatt å kjøre, men den er bedre enn ingenting

Endret 14. oktober 2007 av Largie