Ik kopieer maar even mijn reactie op [url=http://www.security.nl/artikel/29130/1/Nieuw_Gumblar_domein_actief.html]Peter's voorgaande onderwerp hierover[/url]:

Voor degenen die alleen de Windows Firewall gebruiken & dus niet dat IP of domein kunnen invoeren: de meeste browsers hebben in de Opties een afdeling Restricted Sites. Aldaar kan je of het [color=red]IP[/color] invoeren of [color=red]*.martuz.cn[/color] (asterix zorgt ervoor dat ook alles voor de domeinnaam geweigerd word, bv: [color=red]*.cn[/color] = heel China geblokkeerd), Apply, Ok. Browser herstarten.

Op die manier worden die domeinen onder deze registersleutel ingevoerd:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Met een backup in deze registersleutel:
HKEY_USERS\S-<---heel-erg-lang-nummer-met-veel-streepjes---->\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

Peter: Waarom heb je het vorige bericht niet gewoon aangevuld & daarna zelf een reactie op bij geplaatst? Komt het vanzelf weer bovenaan te staan hoor... ;-)

In het Webwereld artikel word gerefereerd aan de SHA1-checksum's van sqlsodbc.chm waarvan de lijst op het blog ScanSafe is te vinden. Daarbij word FileAlyzer ter controle word aangeraden.

Voor niet-beveiligings-specialisten is dat misschien wat te zwaar (& vice versa voor wel-beveiligings-specialisten weer te licht). Ook moet je 2x de checksum naar je kladblok kopieeren & dan zelf controleren.
Mensen zijn niet echt gemaakt om dat soort cijferreeksen op het oog te controleren.

Vandaar deze alternatieven:

[list][*]Haal 1st even bij [url=http://www.nullriver.com/downloads/Install-winMd5Sum.exe]Nullriver WinMD5Sum[/url] op & installeer het. Handige calculator als je veel download & de meegeleverde Md5 wilt controleren. Het zet een shortcut in de map %userprofile%\SendTo waarmee je het geselecteerde te controleren bestand via het Send To context menu naar de calculator stuurt. Kopieer de meegeleverde Md5 in het onderste vak & klik Compare.

[*]Haal dan bij [url=http://sourceforge.net/projects/winsha1sum]Sourceforge.net WinSHA1Sum[/url] op van mintsoft.net. Dit is in beta maar werkt goed echter de Send To functionaliteit mist nog.
[*]Pak de WinSHA1Sum.zip *.exe uit in dezelfde programmamap als WinMD5Sum.
[*]Kopieer de WinMD5Sum.lnk in de %userprofile%\SendTo naar dezelfde map.
[*]Hernoem "Copy of WinMD5Sum" naar "WinSHA1Sum".
[*]Richt de shortcut via Eigenschappen naar WinSHA1Sum.exe.
[*]Verander desgewenst het icoon.
[*]Kopieer desgewenst de shortcut naar het Startmenu (bv.map WinMD5Sum).[/list]

Er zijn verder zat van dit soort calulatoren\generatoren, alleen zijn deze klein, snel & handig.

De domeinlijst op het [url=http://blog.scansafe.com/journal/2009/5/28/gumblar-companion-finally-shutting-down.html]ScanSafe Blog[/url] is ondertussen bijgewerkt & uitgebreid. Blijkbaar word er ook gewerkt aan methoden om Gumblar's hosting kogelvrij te maken.
Kijk ook even aldaar naar de voorgaande blog over de variant beladen.net die gesignaleerd is op Linux.

Kopie vanuit vorige topic.

De geobfuscate javascript code zou je kunnen debuggen met Spidermonkey.

Als je dat zou willen doe op ubuntu/debian het volgende:

Maak een bootstrap.js aan, met de volgende inhoud:

Om dan de code vervolgens te debuggen, gebruik het volgende commando:

Zo zou je Gumblar zijn obfuscated javascript code mogelijk kunnen ontrafelen.

Je zou vervolgens bootstrap.js kunnen aanpassen om verdere info te filteren.

En is er ook een uitleg voor mensen die niet zo bedreven zijn hierin? want alles wat ik hier lees is chinees voor me.
En hoe weet je of je pc besmet is aangezien beveiligings-software het nog niet herkend?

Het vreemde is als ik de 3 domeinen blokkeer ( martuz.cn, liteautotop.cn, autobestwestern.cn ) in mijn firewall dan kan ik bepaalde websites niet meer bereiken. En het zijn allemaal websites die geen *.cn domein hebben.

Voorbeelden: www.rapidshare.com of www.24framespersecond.net

Nadat ik deze domeinen uit mijn blocked networks had gehaald kon ik deze domeinen weer wel bereiken. Betekent dat inderdaad dat ik geïnfecteerd zou kunnen zijn zonder dat ik dat weet? Het bevreemd mij dat de websites die ik niet kan bereiken echter niets met de daadwerkelijke domeinen van doen hebben.
Ik gebruik overigens Comodo Firewall Pro (gratis versie).
Is er een manier om erachter te komen of ik inderdaad geïnfecteerd ben?

[edit] hmm, ipv martuz.cn, liteautotop.cn, autobestwestern.cn heb ik overal nu een * voorgeplaatst, i.e: *.martuz.cn en nu blijven de websites wel werken. [/edit]

Ah, je hebt mijn éérste reactie met de asterix gevonden! ;-)
In mijn tweede reactie staat de methode om de infectie te controleren, & [url=http://blog.scansafe.com/journal/2009/5/27/gumblar-modified-sqlsodbcchm-clue-to-infection.html]hier staat de SHA1-lijst[/url] die je daarvoor nodig hebt.

Thnx Ilja. Zijn nogal wat files die dan met elkaar geverifiëerd dienen te worden. ;-)
Aangezien ik in XP nooit met Admin rechten aanlog, lijkt het mij niet dat ik geïnfecteerd kan zijn geraakt, aangezien sqlsodbc.chm zich in de systeem directory bevindt in XP. Bovendien gebruik ik XP eigenlijk vaak om te gamen en niet veel meer dan dat.
Verder bezoek ik eigenlijk niet heel veel websites en de meeste daarvan vertrouw ik. Ik gebruik FF met NoScript en ook heb ik de nieuwste versie van Flashplayer (Adobe Reader gebruik ik niet) en wat ik had begrepen zijn juist mensen met een oudere kwetsbare versie hier juist vatbaar voor. En aangezien nu steeds meer nameservers down lijken te gaan (zoals ik begrepen had uit het laatste artikel van ScanSoft blog) denk ik niet dat ik mij veel zorgen hoef te maken. Bovendien Google ik ook al niet vaak :P
Ik heb de 2 proggies wel geïnstalleerd nu. Altijd handig zoiets :-)

Het heeft niets, maar dan ook NIETS met vertrouwen te maken. Een vertrouwde website kan net zo goed "lek" zijn.

- Geinfecteerde bannerboer
- Geinfecteerd linkje waar je op klikt (pdf icm Adobe's "zo lek als een emmer zonder bodem PDF reader")
- Noem het maar op

Dus mja, vertrouwen van bepaalde websites is relatief. Security.nl kan net zo goed spyware/etc verspreiden (theoretisch gezien).

KingOfDos

Moet je de banner wel te zien krijgen. Zo'n 99 % van de banners worden in FF geblokt door AdBlock


Goed lezen.. ik gebruik geen Adobe Reader en ik ben niet zo klikgeil :P


Ja, ga verder? :)


Dat ben ik wel met je eens. Vertrouwen is natuurlijk betrekkelijk. Maar aan de andere kant moet een website wel aantrekkelijk zijn voor bepaalde kwaadwilligen, want ze willen zo veel mogelijk mensen natuurlijk infecteren. De websites die ik bezoek voldoen nauwelijks aan dat profiel, vandaar dat ik zei dat ik "de meeste" daarvan "vertrouw". ;-)

Moggel Peter V, sorry dat ik je onderwerp weer even bovenaan tik, maar dit vond ik net in mijn Sophos nieuwsbrief:

http://www.sophos.com/blogs/sophoslabs/v/post/7342

Dit is het laatste artikel alhier erover van Redactie:
http://www.security.nl/artikel/31378/1/Gumblar-virus_krijgt_originele_domeinnaam_terug.html

Waarbij de gebruikte zoekstring gelijk is aan:
http://www.google.nl/search?hl=nl&q=site%3Asecurity.nl+gumblar&btnG=Google+zoeken&meta=