Doet BREIN nu ook al aan Trojaanse paarden?

If so: wat een vakkundigheid!

De knulligheid van dit virus suggereert inderdaad een Brein-medewerker met een hobbie-project.

"De knulligheid van dit virus suggereert inderdaad een Brein-medewerker met een hobbie-project".

Info m.b.t. IP 80.87.199.17 -

inetnum: 80.87.199.0 - 80.87.199.255
person: Petr I Kalinin
address: 5, Krasnoarmeyskaya,
address: St.Petersburg, Russia
phone: +44 70 92846282
e-mail: contact-spb@meta.ua
nic-hdl: PITE-RIPE
source: RIPE # Filtered

Malware Group entry for 80.87.199.17
http://www.malwaregroup.com/ipaddresses/details/80.87.199.17

Malware URL entry for 80.87.199.17
http://www.malwareurl.com/listing.php?domain=merdokshket.cn

De knulligheid van de reacties hier is lachwekkend. Immers is er geen enkele aanwijzing welke duidt op betrokkenheid van Brein, of van enig persoon in ons land. De website wordt gehost vanaf een IP wat wordt gebruikt door Russische criminelen, onder meer ten behoeve van het verspreiden van fake antivirus programma's.

Nooit van ip changer gehoord.
Mocht of als het een brein medewerker zou zijn dan denk ik niet dat hij zijn eigen ip zou gebruiken.
Denk je zelf ook niet ?
Dus niet lachen om andere reacties.

Leuk dat je dit beweert maar het enige wat je zegt is dat de ge-infecteerde server in Rusland staat. Dat betekent nog niet automatisch dat de dader daar ook vandaan komt. RobTex meldt zelfs 15 domeinnamen op het betreffende IP adres! Het artikel noemt daarnaast ook het originele domein van de besmetting, namelijk "followme.name" en dus niet het domein wat jij beweert! Leuk dus dat je mijn bewering probeert te ontkrachten!
Een tweede domein in het artikel is "victoryltd.net" en die zit op 95.168.177.58 en die zit in Duitsland. Een stuk dichterbij dus.
Dat de originele server in Rusland zit zegt verder niets. Dat was toevallig een systeem waar de hacker op binnen kon komen. De Duitse server, mogelijk hetzelfde verhaal. De Duitse IP adres wordt overigens gedeeld door introcomputers.net alle drie de sites zijn kennelijk aangemaakt door mensen die graag Yahoo accounts gebruiken. Da's zo'n beetje het enige wat de gemiddelde leek na wat onderzoek over de dader kan zeggen.
Maar het sluit een medewerker van Brein (of een Duitse variant van Brein) niet uit als dader.

dus brein en ander anti-piraterij boeren zijn de schuldige.

Is nog niet bewezen. Ik denk eerder aan een Brein-medewerker of symphatisant. Of mogelijk afkomstig van een Duitse of andere Europese anti-piraterij-organisatie.

. De malware wijzigt het Hosts-bestand zodat websites als thepiratebay.org, mininova.org en suprbay.org naar 127.0.0.1 wijzen.

ik neem aan dat een beetje piraat dit wel even checkt, of in ieders geval weet wat het is

"Mocht of als het een brein medewerker zou zijn dan denk ik niet dat hij zijn eigen ip zou gebruiken.
Denk je zelf ook niet ? Dus niet lachen om andere reacties."

Nou, er is geen enkele aanwijzing dat ook maar iemand in ons land wat hiermee te maken heeft, laat staan bijvoorbeeld Brein. Stel dat zo'n soort organisatie hier iets mee te maken zou hebben, waarom Brein, en waarom niet een van de honderden soortgelijke organisaties wereldwijd, welke band zie je uberhaupt met Nederland ?

Daarnaast is er wel uitgebreide informatie beschikbaar omtrent het gebruik van het IP adressen welke worden genoemd, wat zeer duidelijk verwijst naar Russische cybercriminelen in St. Petersburg, die zich bezighouden met het verspreiden van Fake AV software. Dit kan je eveneens in het Webroot artikel terugvinden.

De malware waarover we het hier hebben maakt verder gebruik van de volgende domeinen :

http://victoryltd.net 95.168.177.58
http://perkocheck.in (geen dns entry meer)
http://www.av-check.org 80.87.199.17
http://followme.name 80.87.199.17

Bron: http://www.malware-control.com/statics-pages/01f26c2ae635676129bae53fa8a8b3b7.php

AV-Check.org is een domein wat expliciet gebruikt wordt voor de distributie van FakeAV.

Bron: http://www.malwareurl.com/listing.php?domain=av-check.org

"Maar het sluit een medewerker van Brein (of een Duitse variant van Brein) niet uit als dader."

Klopt, het sluit jou of mij net zo min uit als dader. Maar enige onderbouwing voor de veronderstelling dat bijvoorbeeld Brein hier iets mee van doen zou kunnen hebben ontbreekt geheel.

"Dat de originele server in Rusland zit zegt verder niets."

Het feit dat bekend is dat deze server al tijden wordt gebruikt voor het verspreiden van fake AV en andere trojans door Russische criminelen zegt ook niets ?

"Het artikel noemt daarnaast ook het originele domein van de besmetting, namelijk "followme.name" en dus niet het domein wat jij beweert!"

Ik had het niet over een domein, maar over IP adres 80.87.199.17, waaraan DNS entry followme.name is gekoppeld.

C:\>ping followme.name

Pingen naar followme.name [80.87.199.17] met 32 byte ge

Antwoord van 80.87.199.17: bytes=32 tijd=122 ms TTL=52
Antwoord van 80.87.199.17: bytes=32 tijd=121 ms TTL=52
Antwoord van 80.87.199.17: bytes=32 tijd=121 ms TTL=52
Antwoord van 80.87.199.17: bytes=32 tijd=121 ms TTL=52

"Een tweede domein in het artikel is "victoryltd.net" en die zit op 95.168.177.58 en die zit in Duitsland. Een stuk dichterbij dus."

Klopt, maar heeft alles wat dichter bij Nederland komt met Stichting Brein te maken ?

"Nooit van ip changer gehoord. Mocht of als het een brein medewerker zou zijn dan denk ik niet dat hij zijn eigen ip zou gebruiken."

Wat heeft IP changer van doen met IP adressen welke worden gebruikt in code van malware ? Helemaal niets, IP changer is om tijdens het surfen je eigen IP adres te wijzigen.

"Da's zo'n beetje het enige wat de gemiddelde leek na wat onderzoek over de dader kan zeggen."

Er valt na enig onderzoek aardig wat te zeggen over de achtergrond, maar kennelijk bevallen de conclusies je niet zolang deze niet verwijzen naar Stichting Brein.

"Leuk dus dat je mijn bewering probeert te ontkrachten!"

Lever eerst eens onderbouwing voor de veronderstelling dat Brein ook maar iets van doen heeft met deze kwestie. Want anders is het inderdaad niets meer dan een bewering zonder inhoud. Ik kan ook zeggen dat jij hierachter zit, en vervolgens bij jou de bal neer te leggen om bewijs te leveren dat dat niet zo is.

Hey Brein-fanboy, jij neemt de aantijgingen zo serieus dat ik haast ga denken dat je of iets met Brein hebt, of de sukkel achter deze Trojan bent. Neem het alsjeblieft allemaal niet zo serieus, je wordt in de maling genomen.

Geachte zuurpruim anoniem,

Dat BREIN genoemd is waarschijnlijk gewoon humor aangezien de meeste mensen in de IT branche het niet zo goed met Brein voor hebben. Ben je soms zelf een medewerker van Brein dat je hier zo fel tegenin gaat?

"Hey Brein-fanboy, jij neemt de aantijgingen zo serieus dat ik haast ga denken dat je of iets met Brein hebt, of de sukkel achter deze Trojan bent. Neem het alsjeblieft allemaal niet zo serieus, je wordt in de maling genomen."

LOL.

De conclusie dat ik een fan ben van Brein is nou niet bepaald correct, want ik heb een behoorlijke hekel aan deze organisatie, en nee - ik ben ook niet de persoon achter deze trojan. Mijn werk betreft forensisch onderzoek, en wat dat betreft hou ik er gewoon van wanneer een discussie inhoudelijk is, en veronderstellingen goed worden onderbouwd ;))

Overigens blijft de vraag omtrent het motief natuurlijk wel overeind. Het lijkt erop dat er een groep achter zit die zich ook met Fake AV bezig houdt, maar waarom ze deze malware gemaakt hebben is onduidelijk. Dat kan best in opdracht zijn van een auteursrechtenorganisatie, of van een van de softwarebedrijven die door dit soort clubs worden vertegenwoordigd.

Een andere mogelijkheid zou kunnen zijn dat ze een probleem proberen te veroorzaken, en een oplossing bieden middels een fake AV programma of soortgelijke malware, m.a.w. het lokken van slachtoffers.

De malware lijkt trouwens erg op Troj/Qhost-AC welke begin vorig jaar zorgde voor soortgelijke problemen, geen idee of die malware van dezelfde makers afkomstig was -

New trojan blocks access to Pirate Bay, Mininova
http://techgeek.com.au/2009/01/05/new-trojan-blocks-access-to-pirate-bay-mininova/

misschien is het wel testje van iemand uit het boek Trojans for Dummies

"We zien niet zoveel Trojans het Hosts-bestand aanpassen, omdat zulke aanpassingen eenvoudig zijn terug te draaien."

Bron ?

"Bron ?"

Onderzoekers bij Webroot, die dagelijks trojans e.d. onderzoeken ?

IP changer...... ik moet altijd lache ik ik dit soort onzin zie. Begin eens met wat leeswerk op :

http://nl.wikipedia.org/wiki/IP-adres

Waar gaat de data heen als jij je IP adres spooft ? Inderdaad naar dat adres. Dat betekend dus dat je er niet meer kan communiceren. Spoofen van IP adressen heeft alleen nut als je geen reply wilt. Bv bij Nmap met -S 127.0.0.1 :)

damn, nu weet ik waarom ik geen torrentsites meer kan bezoeken van mn thuis PC terwijl ik op de universiteit (ben student) nog wel vrolijk torrent sites kan bezoeken - ff scannen naar virussen en malware

zal me niets verbazen als de platenmaatschappijen of een ervan een bevriende hacker heeft gevraagd zo'n speeltje te maken