Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Geinfecteerd met hardnekkige bitcoin miner. Threat name: Application.Hacktool.PR Path C:\windows\Temp\tmp00006064\tmp00000064

04-07-2017, 20:06 door Anoniem, 22 reacties
Ik krijg meldingen van bitdefender: item was blocked. Threat name: Application.Hacktool.PR Path C:\windows\Temp\tmp00006064\tmp00000064

Geen idee hoe dit is gebeurd. Ik let altijd goed op. Bestanden als.exe altijd naar virus total en eerst in sandboxie.

Het viel me ook op dat dit virus 50gb opslokt op de C schijf. Voornamelijk de temp folder maar ook rechtstreeks op de C schijf Voorbeeldjes:

Xcaches164
Xuser24
ALsorted24
AKfound89
Xapplication112


Ik heb nu gedraait: bitdefender, malwarebytes, Antispyware. Hitman pro.
Maar het is een hardnekkig virus blijkbaar. Iemand tips of suggesties? (misschien maar weer een herinstall?)
Reacties (22)
04-07-2017, 21:21 door [Account Verwijderd]
Aan de stappen te zien is het inderdaad een akelige.

https://malwaretips.com/blogs/hacktool-win32-gendows-removal/

Alles stap voor stap uitgelegd met download linkjes etc.
04-07-2017, 21:36 door Anoniem
Mogelijk scant nog niet elke viruschecker het als negatief.

Heb je per ongeluk ergens een besmette "Windows Loader.exe" bij binnengehaald?
(is een setup programma om een applicatie te installeren)
Heb je soms pas iets geïnstalleerd, en kwam niet lang daarna de foutmelding?
04-07-2017, 21:54 door Anoniem
Is het niet gewoon een kwestie van rebooten in savemode en je windows/temp legen?
Mocht dat niet gaan zou je in de tussentijd een appbased firewall kunnen installeren zodat hij niet zn gang kan gaan.
Zoiets als Outpost oid.
04-07-2017, 21:57 door Anoniem
TS: Heel erg bedankt voor die link! Ik denk dat het nu gelukt is. Nog even afwachten en goed opletten de komende dagen. Het aanmaken van mappen is iig gestopt op de C schijf en Temp.

En de boosdoener was (waarschijnlijk) de officiele reddcoin wallet. (al lees ik op internet dat dit een false positive zou zijn, ik weet het zo net nog niet)

https://www.virustotal.com/en/file/e2e15bc05d3460a6f1d1132db492540318dd343136ceb3e89986eae8edd1fa3c/analysis/1499131512/
04-07-2017, 22:42 door Anoniem
Wellicht kun je aan de hand van de logs en de timestamps terugrekenen wat de boosdoener is geweest. Andere optie is in een vm kijken wat er wanneer gebeurt
05-07-2017, 23:12 door Anoniem
Je computer herinstalleren en een herstel van je waardevolle bestanden uitvoeren met backups. Dat eeuwige amateuristische gepruts om hopelijk een virus van de computer te hebben gehaald moet toch eens afgelopen zijn. Er gaan geen alarmbellen meer af en ik heb nergens last van is een ontzettend slecht excuus om eigenwijs te blijven prutsen.
30-09-2017, 12:02 door Anoniem
Het valt mij op dat Windows nog altijd toelaat om op verschillende (door-user-schrijfbare) locaties executables uit te voeren.
En dan nog executables rechtstreeks komende van internet.
Zo zoek je het toch om miserie te hebben?
30-09-2017, 14:45 door Anoniem
Door Anoniem: Het valt mij op dat Windows nog altijd toelaat om op verschillende (door-user-schrijfbare) locaties executables uit te voeren.
En dan nog executables rechtstreeks komende van internet.
Zo zoek je het toch om miserie te hebben?

Valt wel mee hoor. C:\Windows\Temp is standaard niet beschrijfbaar voor een gebruiker. Daarnaast komt deze infectie door een gedownloade applicatie, waarbij waarschijnlijk malware was toegevoegd. Iets wat eigenlijk met alle software kan gebeuren. Immers je installed dit zelf met admin rechten en dan mag het dus alles.

Iets wat eigenlijk bij alle OSsen kan en mag... Dus zeker niet gelimiteerd op Windows.
30-09-2017, 15:40 door choi - Bijgewerkt: 30-09-2017, 18:55
"hacktool' is een generieke benaming voor software die zich 'verdacht' gedraagt; keygen's bijv. staan erom bekend dergelijke false positives te genereren. In jouw geval heb je er goed aan gedaan de .exe naar VT te uploaden. Als je dat in de komende tijd nog een paar keer doet kan je zien of de AV's die een positive melding gaven inmiddels deze hebben aangepast.
In dat geval kan je er zo goed als zeker van zijn dat het om een fp ging.
30-09-2017, 18:00 door Anoniem
Ik heb geen ervaring met dat spul en hoef het ook niet, maar als ik even op internet zoek dan krijg ik de indruk dat het een ingebouwde feature is die naar nieuwe reddcoins graaft. Zo worden er namelijk nieuwe valide reddcoins ontdekt.
Het is namelijk veel goedkoper om heel veel gewone gebruikersPC's te gaan gebruiken en verleiden om naar reddcoins te graven (en dat even door te geven naar een centrale server?), dan zelf een supercomputer aan te schaffen die naar valide reddcoins zoekt. Het schijnt dat de bitcoin zo ook begonnen is?
Maar eerlijk gezegd vind ik het persoonlijk allemaal volksverlakkerij. Dat met bitcoins vind ik een piramide spel, dus eigenlijk een vorm van internetgokken, en grote kans dat reddcoin over een tijdje ook die kant op wil.

Maar wat dit dus betekent, is dat de reddcoin-software een miner aan boord heeft en daar vallen virusscanners gemakkelijk over. De activiteit die je op je PC ziet, kan heel goed een mining activiteit zijn, en die zit dus bedoeld ingebouwd in de software. Neemt niet weg als je het niet kan laten dat je het dan in ieder geval van de originele website moet downloaden,
en ook dan nog voorzichtig moet zijn omdat ook de originele website toevallig een keer heimelijk gehackt kan zijn.
Het gevaar is namelijk als je weet dat de AV-software er altijd op aanslaat, dat je dat normaal gaat vinden.
En dan gaat het je misschien niet meer opvallen wanneer er echt kwaadaardige malware is meeverpakt in die software.
30-09-2017, 21:42 door Anoniem
Door Anoniem:Valt wel mee hoor. (...) Immers je installed dit zelf met admin rechten en dan mag het dus alles. Iets wat eigenlijk bij alle OSsen kan en mag....
Nou... Daar zijn niet alle OS-en even 'makkelijk' in. Er is in de praktijk wel verschil.
01-10-2017, 20:13 door Anoniem
Door Anoniem:
Door Anoniem: Het valt mij op dat Windows nog altijd toelaat om op verschillende (door-user-schrijfbare) locaties executables uit te voeren.
En dan nog executables rechtstreeks komende van internet.
Zo zoek je het toch om miserie te hebben?

Valt wel mee hoor. C:\Windows\Temp is standaard niet beschrijfbaar voor een gebruiker. Daarnaast komt deze infectie door een gedownloade applicatie, waarbij waarschijnlijk malware was toegevoegd. Iets wat eigenlijk met alle software kan gebeuren. Immers je installed dit zelf met admin rechten en dan mag het dus alles.

Iets wat eigenlijk bij alle OSsen kan en mag... Dus zeker niet gelimiteerd op Windows.

Bij Linux moet je externe executables wel degelijk handmatig execute rechten geven en dan ook nog het root password intikken. Dat is nu een van de redenen dat Linux algemeen veiliger is dan Windows.
01-10-2017, 20:15 door Anoniem
Door Anoniem:
Door Anoniem:Valt wel mee hoor. (...) Immers je installed dit zelf met admin rechten en dan mag het dus alles. Iets wat eigenlijk bij alle OSsen kan en mag....
Nou... Daar zijn niet alle OS-en even 'makkelijk' in. Er is in de praktijk wel verschil.

Geheel correct, bij Linux moet je handmatig doelbewust execure rechten toekennen via het root password.
01-10-2017, 21:55 door spatieman
tja, hoop dat je backups hebt, ook al denk je dat het weg is, ga geen risico's aan.
01-10-2017, 23:47 door Anoniem
Door spatieman: tja, hoop dat je backups hebt, ook al denk je dat het weg is, ga geen risico's aan.
Bijna 3 maanden later heeft de software nog steeds dezelfde hash. (zie hierboven 04-07-2017, 21:57 door Anoniem)
Lijkt me sterk dat het om malware zou gaan.
02-10-2017, 10:39 door Anoniem
En de boosdoener was (waarschijnlijk) de officiele reddcoin wallet. (al lees ik op internet dat dit een false positive zou zijn, ik weet het zo net nog niet)

Virustotal geeft aan dat het wordt geclassificeerd als risktool / potentially unwanted application, en niet als virus. Wat dat betreft is het geen false positive, maar jij weet dat je deze tool hebt staan, en gebruikt. Alle mining tools worden in principe op deze wijze gedetecteerd. Wat dat betreft zou ik de tool whitelisten.

Redenen voor de detectie zullen enerzijds zijn dat de mining tool ongevraagd geinstalleerd kan worden, door kwaadwillenden bijvoorbeeld bij een malware infectie. En anderzijds dat bij zakelijk gebruik de detectie handig kan zijn, bijvoorbeeld wanneer medewerkers zonder toestemming op kosten van de baas gaan melden.

Terechte melding, maar voor jou niet direkt zinnig ? ;)

Neemt niet weg als je het niet kan laten dat je het dan in ieder geval van de originele website moet downloaden,
en ook dan nog voorzichtig moet zijn omdat ook de originele website toevallig een keer heimelijk gehackt kan zijn.

Zijn download is hetzelfde bestand wat je vindt op de originele website. Zoals gezegd; de virusscanner behoort erop te triggeren, dus het is niet echt een aanwijzing dat ze zijn gehacked ofzo.
02-10-2017, 10:42 door Anoniem
tja, hoop dat je backups hebt, ook al denk je dat het weg is, ga geen risico's aan.

Ik zou lekker doorgaan met minen, en mij beseffen dat het waarschuwen voor mining tools als PUA/Risktool standaard is in Antivirus produkten. De ene keer heeft zo'n waarschuwing weinig zin, omdat de gebruiker hiermee bezig is. De andere keer is het nuttig, omdat de miner ongevraagd is gedropped door bijvoorbeeld malware en de gebruiker niet weet dat zijn computer hiervoor wordt misbruikt.
02-10-2017, 16:20 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:Valt wel mee hoor. (...) Immers je installed dit zelf met admin rechten en dan mag het dus alles. Iets wat eigenlijk bij alle OSsen kan en mag....
Nou... Daar zijn niet alle OS-en even 'makkelijk' in. Er is in de praktijk wel verschil.

Geheel correct, bij Linux moet je handmatig doelbewust execure rechten toekennen via het root password.
Door Anoniem:
Door Anoniem:
Door Anoniem:Valt wel mee hoor. (...) Immers je installed dit zelf met admin rechten en dan mag het dus alles. Iets wat eigenlijk bij alle OSsen kan en mag....
Nou... Daar zijn niet alle OS-en even 'makkelijk' in. Er is in de praktijk wel verschil.

Geheel correct, bij Linux moet je handmatig doelbewust execure rechten toekennen via het root password.

en als je een unix computer goed hebt opgezet en beveiligd heb, dan installeer je alleen van van officiele repo die GPG signatures van binaries checked, elke dag updates doorvoert, gebruik je de noexec mount opties voor rare tijdelijke directories en SELinux en een rootkit hunter en heb je een out-going iptables firewall opgezet etc. etc. etc.

lees bijvoorbeeld eens:

https://highon.coffee/blog/security-harden-centos-7/
03-10-2017, 01:48 door allestein
[lees bijvoorbeeld eens:

https://highon.coffee/blog/security-harden-centos-7/

Bedankt! Ik was even vergeten hoe "gebruikersvriendelijk" *nix is.
03-10-2017, 11:10 door Anoniem
Door allestein:
[lees bijvoorbeeld eens:

https://highon.coffee/blog/security-harden-centos-7/

Bedankt! Ik was even vergeten hoe "gebruikersvriendelijk" *nix is.

Je vliegt een beetje uit de bocht nu: als je daadwerkelijk dit eens zou volgen, dan kom je er achter dat het meerendeel default al gedaan wordt en dat je zoiets als OpenSCAP hebt om dat achteraf ook nog eens te verifieren (voor managment met een net opgemaakt rapportje). Je krijgt hiermee dus eerder een inkijkje in wat er zoal gedaan al wordt en extra gedaan kan worden.

Verder is gebruikersvriendelijk erg afhankelijk van gebruiker. ikzelf zou bijvoorbeeld vele male vlugger mijn weg vinden in een bash shell op een unix dan dat ik die klik safaries in dat andere OS kan volgen waarbij ik zeven vensters diep en lagen verder pas een optie naar boven krijg waarvan ik (technisch) weet dat ie er wel moet zijn, maar waar nu weer bij deze versie van dat OS?!

Maargoed, om eerlijk te zijn, ik persoonlijk vind het wel goed zo dat 95% van de ITers MS minded zijn, vallen ze mij niet lastig, mag met het zware ijzer spelen, heb ik altijd goed betaald werk met technisch hoogwaardige collegea en is de kans dat ik door een goedkope indier outsourced wordt een stukje minder en heb ik niet veel met die std 'waar zit me knopje ik snap het niet meer' gebruikers support te maken :).

succes!
03-10-2017, 13:41 door Anoniem
Maargoed, om eerlijk te zijn, ik persoonlijk vind het wel goed zo dat 95% van de ITers MS minded zijn, vallen ze mij niet lastig, mag met het zware ijzer spelen, heb ik altijd goed betaald werk met technisch hoogwaardige collegea en is de kans dat ik door een goedkope indier outsourced wordt

Hoezo dat, Unix en Linux engineers kan je in India net zo gemakkelijk inhuren als Windows engineers. Je praat jezelf zekerheid aan op dat gebied, die je helemaal niet hebt.
03-10-2017, 15:37 door Anoniem
Door Anoniem:
Maargoed, om eerlijk te zijn, ik persoonlijk vind het wel goed zo dat 95% van de ITers MS minded zijn, vallen ze mij niet lastig, mag met het zware ijzer spelen, heb ik altijd goed betaald werk met technisch hoogwaardige collegea en is de kans dat ik door een goedkope indier outsourced wordt

Hoezo dat, Unix en Linux engineers kan je in India net zo gemakkelijk inhuren als Windows engineers. Je praat jezelf zekerheid aan op dat gebied, die je helemaal niet hebt.

schaarste drijft prijs op, prijs bepaald buiness case en buisness case bepaald besluit
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.