Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Botnet?

20-06-2013, 12:03 door Ler0y JenKins, 4 reacties
Hallo Allemaal,

Hier ben ik weer met een vraag.

Vanochtend kwam een klant bij mij met haar laptop, ze verstuurd ongewild mailtjes naar anderen met alleen een verdachte link.
Ik heb de link al even gecheckt, maar het gaf mij geen goed gevoel.

Link: http://paletskly.ru/electricalemptyjustinjones/

De .ru zegt voor mij genoeg. Ze zit vast in een botnet!

Malwarebytes draait, maar heeft niks gevonden. TDSS Killer heeft gedraaid, niks gevonden.
check.botnet.nu geeft aan dat ze niet vast zit in het Pobelkabotnet.

Graag advies hoe ik ervoor kan zorgen dat ze hiervan af komt?
Of is de enige optie een herinstallatie van haar laptop?

Of heb ik het mis en heb ik een verkeerde diagnose gesteld?

Met vriendelijke groet,
Ler0y JenKins
Reacties (4)
20-06-2013, 12:32 door Anoniem
"Malwarebytes draait, maar heeft niks gevonden. TDSS Killer heeft gedraaid, niks gevonden.
check.botnet.nu geeft aan dat ze niet vast zit in het Pobelkabotnet. "

Pobelka is slechts een van de talloze botnetten, dus dat zegt weinig. Heeft ze ook een virusscanner draaien, en is deze bijgewerkt ? Hoe zit het met de updates van Windows ? Wat voor email wordt er gebruikt, op de PC danwel webbased ? Kan je de emails in haar sent items terug vinden, en zoniet, is er gechecked in de full headers of de emails wel vanaf haar PC verstuurd zijn (kan ook spoofed zijn, waarbij enkel haar email adres als afzender gebruikt wordt) ?

"http://paletskly.ru/electricalemptyjustinjones/ "

De link werkt iig niet meer, jammer genoeg dat er verder weinig over te vinden is om meer info te achterhalen omtrent de malware welke het probleem veroorzaakt -

Address lookup
lookup failed paletskly.ru
Could not find an IP address for this domain name.
20-06-2013, 12:49 door AdHd
Het domein dat je geeft is niet geregistreerd en kan dan ook geen kwaad op het moment.

Het domein http://paletskiy.ru (één letter verschil) is wel geregistreerd, maar http://paletskiy.ru/electricalemptyjustinjones/ verwijst naar een (INTERN!) 404-tje. Dat zegt overigens niets, het zou kunnen dat er een referer -die je niet noemt- benodigd is! (Heb je een voorbeeld van een verzonden mailtje???)

Mijn eerste vraag is dan ook, WAT verstuurt die mails? Een web-mailserver of een een e-mail-client op de laptop zelf?
En als tweede; zijn er verder aanwijzingen voor een infectie? (Niet kunnen updaten, proxies, etc.)

HitManPro is ook nog een optie, maar nog beter is het misschien om een rescue-cd te gebruiken om er zeker van te zijn dat je geen (bekende) ring0-rotzooi bent tegengekomen:
https://support.kaspersky.com/viruses/rescuedisk
http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142

En dan hebben we natuurlijk nog de wat serieuzere tools als GMER / OTL e.d, maar daarvoor is ervaring wel vereist.
Ga maar uit van het ergste, dan kan het enkel meevallen :]
20-06-2013, 14:03 door Ler0y JenKins
Door AdHd: Het domein dat je geeft is niet geregistreerd en kan dan ook geen kwaad op het moment.

Het domein http://paletskiy.ru (één letter verschil) is wel geregistreerd, maar http://paletskiy.ru/electricalemptyjustinjones/ verwijst naar een (INTERN!) 404-tje. Dat zegt overigens niets, het zou kunnen dat er een referer -die je niet noemt- benodigd is! (Heb je een voorbeeld van een verzonden mailtje???)

Mijn eerste vraag is dan ook, WAT verstuurt die mails? Een web-mailserver of een een e-mail-client op de laptop zelf?
En als tweede; zijn er verder aanwijzingen voor een infectie? (Niet kunnen updaten, proxies, etc.)

HitManPro is ook nog een optie, maar nog beter is het misschien om een rescue-cd te gebruiken om er zeker van te zijn dat je geen (bekende) ring0-rotzooi bent tegengekomen:
https://support.kaspersky.com/viruses/rescuedisk
http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142

En dan hebben we natuurlijk nog de wat serieuzere tools als GMER / OTL e.d, maar daarvoor is ervaring wel vereist.
Ga maar uit van het ergste, dan kan het enkel meevallen :]

De mails worden verstuurd via een webmail server.
Ik heb verder geen aanwijzingen gevonden voor een infectie.
20-06-2013, 16:08 door AdHd
Door Ler0y JenKins: De mails worden verstuurd via een webmail server.
Ik heb verder geen aanwijzingen gevonden voor een infectie.
In dat geval lijkt het me onwaarschijnlijk dat de laptop besmet is.

In welke taal zijn die uitgaande mailtjes eigenlijk, of zijn het enkel links???
Weet je toevallig of de uitgaande mailtjes naar het volledige adres-bestand van de gedupeerde verstuurd worden?

Als héél het systeem verder goed werkt is het waarschijnlijker dat,
1] De webmail-account is gehackt, of, zoals al gemeld,
2] De email-adressen gespoofd zijn (gevolg van een crawler als het betreffende email-adres ergens online staat, na meedoen aan zo'n ketting-brief-geval bijvoorbeeld, het publiekelijk delen van hotmail-vrienden oid, maar ook via een speciale "kortingsactie" op de interwebz, zo'n leuk online verjaardagskaartje waar je van alles voor mag invullen, of zelfs omdat een website waar de gedupeerde een account had gehackt is). In dit laatste geval is er helaas weinig tot niets dat jij kunt doen, behalve de betreffende gebruiker te wijzen op het belang van privacy, en het gebruik maken van verschillende email-adressen voor verschillende doeleinden (werk / privé / aanmelden websites).

Ik denk dat het wijs is om de ALLE wachtwoorden te wijzigen, gewoon voor de zekerheid.
Verder is het sowieso verstandig voor je cliënt om een nieuw email-adres aan te maken, en vanuit daar de ontvangers op de hoogte te brengen van de situatie (wel zo netjes en veilig).


Her-installatie v/h OS lijkt me in ieder geval overbodig, zeker zolang het dode links zijn, tenzij het probleem weer terugkomt na bovenstaande acties te hebben ondernomen.
Sorry dat ik (we) verder niets kunnen doen, ik weet hoe vervelend het is om "eigen schuld, dikke bult" te moeten zeggen tegen een b(et)alende klant :[
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.