Dank je, Peter V.
Opvallend in die VirusTotal scores is dat van de top-producten Kaspersky de enige was die die malware niet herkende.

Er zullen inderdaad nog tal van andere trucs 'gevonden' worden.

Misschien een goed plan om als je een nieuwe installatie (OS) op je PC zet direct een copy van je register te maken?

Quick View Plus gebruiken om een DLL na te kijken (Softonic)

Een deftige oplossing voor mensen die er met 'besmet' geraakt zijn heeft men blijkbaar niet?

Betaalde versie EmsiSoft Anti-Malware ...

Vergat ik na een eerder berichtje hier (dat met de verwijzinge naar EmsiSoft Anti-Malware) dat het misschien handig is in de Services (services.msc) -> Remote registry uit te zetten.

Bij mij staat dat uit al geruime tijd zelfs.

Dat werkt dus niet, systeemherstel maakt een herstelpunt als software wordt geïnstalleerd, niet als een geinjecteerd proces wijzigingen aanbrengt in het register.


Die .dll is niet vindbaar als bestand zonder het register te decompilen, dus daar ziek ik het nut niet van in. Bovendien staat softonic bekend om wrappers / adware.

De meeste AV's pikken deze malware inmiddels op. (Zie de links van Peter V.).


Remote registry uitzetten helpt niet tegen lokaal geïnjecteerde code. Maar het is zeker verstandig om het uit te zetten, alleen helpt het niet tegen malware.


Hoewel de code goed verborgen is, is de malware wel makkelijk te detecteren:
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2014/07/POWERLIKS2.jpg
De "default" -sleutel hoort leeg te zijn.

Na enige tijd gebruik van het systeem is het register anders dan na installatie. Het dan eventueel nog terugzetten van het eerdere register is een recept voor potentiële narigheid.
Verstandiger is het om direct na installatie een systeem-image te maken en dat na een serieus probleem terug te zetten.
En helemaal verstandig is het om behalve het systeem-image van na installatie tevens ook elke maand een image te maken, zodat het in de meeste gevallen niet noodzakelijk zal zijn om het oude eerste image van direct na installatie te moeten gebruiken.
(N.B. Een voorwaarde is uiteraard wel dat je met gescheiden partities voor systeem en persoonlijke data werkt.)

Hoe nuttig is dat voor Windows Vista, 7 en 8.x nog?
Alleen onder XP Pro stond Remote Registry ingeschakeld.
Onder Windows Vista, 7 en 8.x heeft Remote Registry standaard opstarttype Handmatig en status Gestopt.

Dat is best eigenaardig want bij mij stond dat aan Win 7 Pro (wel op 'handmatig')

Dat klopt en komt overeen met wat Spiff meldt; Remote Registry stond alleen op XP op "Automatisch" (waardoor de service wordt gestart zodra het systeem boot). Bij latere OS is dit op "Handmatig" gezet, waardoor de service alléén start als de gebruiker daar -al dan niet via software- opdracht voor geeft.

Hou er rekening mee dat er software is die gebruik maakt van deze service!


NB: Wat bedoel je met "aan" ??? Dat de service gestart was? Als de service daadwerkelijk gestart was kan het de moeite lonen om eens te kijken wie/wat er toegang heeft. Meer info: https://support.microsoft.com/kb/314837/en-us

Curieus... waarom is dit *nu*, in Augustus, nieuws?

Deze malware (en de diverse varianten) staat onder de naam "VirTool:Win32/Obfuscator.AKK " al sinds Mei in de catalogus bij Microsoft.

Hum.. Uiteraard maakt malware niet eerst netjes een herstelpunt voordat het geïnstalleerd wordt of zich uitvoert ;-)
Maar uiteraard werd dat niet bedoeld door Peter V., maar een éérder herstelpunt van vóór de infectie, een herstelpunt gegenereerd bij installatie van software, of bij installatie van een update, of een automatisch aangemaakt (dagelijks) gepland herstelpunt.

Uhm, Obfuscator.AKK omvat allerlei malware als Necurs en Gimemo.

MS kent Poweliks.A als Trojan:Win32/Danglo!gmb.
Maar dat was de versie die een uitvoerbaar bestand gebruikte als payload. Dat de payload nu in het register wordt ondergebracht is een nieuwe ontwikkeling, voor zover ik weet tenminste, MS geeft namelijk nooit details.
Wat ik wel weet is dat Poweliks.A sinds begin februari wordt aangeboden, en het MS dus tot eind mei heeft gekost om het op te nemen in de definities. Even rekenen: dat is bijna 2 maanden...!!!

En er is pas recentelijk over deze versie geblogd, de versie die ik eerder tegenkwam leek trouwens meer op een béta dan wat anders:
https://malwr.com/analysis/NzY3YjJmYzZhYTE2NGFjOWFkNDczZmZmNDRkNDViOGI/ (22 juli)
(Geen netwerkverkeer, een behoorlijk aantal niet-werkende strings plus aanwijzingen dat nog niet alles op rolletjes liep)


Hmm mensen...
Ik ga er verder niet al te diep op in maar kan u mededelen dat bij het verwijderen van malware systeemherstel eigenlijk altijd UIT moet worden gezet!
Dat heeft meerdere redenen, zo werkt bestandsherstel anders dan registerherstel, kan je nagenoeg onmogelijk controleren of malware zich (al-dan-niet-expres*) genesteld heeft in het systeemherstel en voor zover bekend wordt Poweliks alleen verspreid via zogenaamde trojan-downloaders (in dit geval via de SweetOrange EK).
Je kunt dan de conclusie trekken dat er al malware op het systeem actief is, en waar de gebruiker denkt malware te kunnen verwijderen dmv systeemherstel, blijft die downloader zelf fijn plakken. En zo kan ik nog wel even doorgaan met argumenteren...

Het is wat mij betreft niet eens de vraag of malware wel of niet onschadelijk gemaakt kan worden dmv systeemherstel, mijn punt is voornamelijk dat het simpelweg niet te vertrouwen is, en dat is één van de redenen dat ik al jaren geen gebruik meer maak van systeemherstel, ik werk liever met offline images en backups.
(Deze zijn ook fijn op een later tijdstip offline te scannen met nieuwere definities!)


@Spiff: Het is altijd maar de vraag of malware meegenomen wordt door systeemherstel. Trojans, cryptware, spyware en adware over het algemeen wel, sommige zelfs actief en met terugwerkende kracht om er voor te zorgen dat systeemherstel geen nut meer heeft.
Ik ben niet 100% bekend met MS-systeemherstel (gebruik het al jaren niet meer) maar ik weet wel te vertellen dat e.e.a. afhangt van de manier waarop malware actief wordt. Als het een op zichzelf staand programma is wordt het herkent als software en dus meegenomen (1e generatie politievirus (is geen virus) bijvoorbeeld), als het wordt geïnjecteerd in een reeds bestaand proces niet. Veruit de meeste malware wordt geïnjecteerd.

@ Anoniem 16:15 uur,
Je hebt uiteraard gelijk.
Ik maakte met mijn reactie van 11:34 uur de fout dat ik daarmee slechts reageerde op de formulering door Anoniem van zo.03-08, 22:33 uur. Ik had op dat moment het idee dat Anoniem een denk- of formuleer-fout maakte, maar achteraf beziend denk ik dat ik die reactie van Anoniem verkeerd interpreteerde.
En ik maakte de serieuze fout helemaal voorbij te gaan aan het feit dat het niet verstandig is om te proberen malware op te ruimen door middel van systeemherstel.
Daarom hartelijk bedankt voor jouw niet mis te verstane reactie, Anoniem 16:15 uur.

Uhm, na het nalezen van m'n posts ben ik van mening dat ik misschien een iets te harde toon heb aangeslagen.
Ik ben vergeten het volgende toe te voegen aan mijn vorige reactie, dus bij deze:

@Peter V: fout klinkt zo zwaar joh, ik zie het als minder goed.


Tot dat inzicht ben ik voornamelijk gekomen dankzij de laatste reactie van Spiff, dus @Spiff:
De reden waarom ik hier op jullie reacties reageer is dat jullie beiden nogal eens willen reageren op mensen met een hulpvraag. Als er dan toch iemand voorbij komt met een malware-gerelateerde hulpvraag zie ik liever dat mensen (zoals jullie) een heel kort 'veilig' advies geven op basis van wat je weet, dan een goedbedoeld maar schadelijk advies op basis van wat logisch lijkt te zijn.

Systeemherstel lijkt heel logisch, ik heb al genoeg (ervaren) krachten uit de ICT zulke adviezen horen / zien geven. Allemaal met de beste intenties natuurlijk, maar zulke adviezen kunnen het véél erger maken dan het al was.

Dus.., namens die potentiële hulpvrager, hier of ergens anders, bedankt voor het lezen!


MvG Anon 22:33 // 16:15 // nu