Zojuist een bot gehad op mijn PC (Windows 7) en ik hoop dat ik hem verwijderd. Bij het starten van een twijfelachtig programma kreeg ik direct de melding van SymantecEndpointProtection 11 dat een programma op poort 22 (SSH) naar buiten wilde.
Dit stond ik niet toe en dacht de kous af was maar niet dus en toen ik opnieuw startte wederom een programma die via SSH eruit wilde. Via taakbeheer de locatie van het bestand opgezocht en nadat ik de map eigenschappen had aangepast kon ik het bestand ook zien.

Dus gescand met SEP 11 maar die zag er geen kwaad in dus maar de Msert van Microsoft opgehaald en die vond het ook allemaal goed. Dan maar handmatig en eerst in de registry de twee startregels verwijderd die naar het bestand stonden en daarna het bestand zelf verwijderd buiten de vuilnisbak om.

Het log van SEP had ik opgeslagen en ik gezocht op het IP adres waar dus bot naartoe wilde die bleek op Seychellen zitten en via Google vond ik Sharemoneyforfriends and s3ybot was.

Gelukkig het ik mijn netwerk zo ingericht dat elk programma handmatig goedkeuring moet hebben het netwerk/internet in te kunnen en is er een update van een programma dan krijg ik de vraag of het juist is dat het programma is bijgewerkt als die bijgewerkte versie voor de eerste keer het netwerk/internet wil ingaan.

Het log van SEP11:

File Version: 0.0.0.0
File Description: (J5llOqK32j3u.exe)
File Path: C:\Users\admin\AppData\Roaming\J5llOqK32j3u.exe
Digital Signature:
Process ID: 0xfc4 (Hexadecimal) 4036 (Decimal)

Connection origin: local initiated
Protocol: TCP
Local Address: 192.168.21.23
Local Port: 1040
Remote Name:
Remote Address: 193.107.16.55
Remote Port: 22 (SSH - SSH Remote Login Protocol)

Ethernet packet details:
Ethernet II (Packet Length: 66)
Destination: bc-05-43-23-8c-
Source: 02-50-8d-98-a2-
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x89d5 (Correct)
Source: 192.168.21.23
Destination: 193.107.16.55
Transmission Control Protocol (TCP)
Source port: 4100
Destination port: 5632
Sequence number: 2036534996
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x406b (Correct)
Data (0 Bytes)

Binary dump of the packet:
0000: BC 05 43 23 8C D0 02XXXXXXXXXXXXXXX

Mijn les weer geleerd en twijfelachtige bestanden direct verwijderen want ook al heb je bijgewerkte bescherming er achteraan lopen doen ze allemaal. ;-)