onbekend firus/worm/trojan.

[Paul 119]

Hoi.

lang verhaal maar weet even niet andere manier om het uit te leggen.

(Inleiding)
Ik speel al jaren een spel genaamd World of Warcraft (WOW). Een geruime tijd geleden zijn ze overgestapt baar een battle.net inlog systeem. Nu log je niet meer in door middel van een gebruikersnaam/wachtwoord maar door middel van een e-mailadres/wachtwoord. De wachtwoorden hebben een SHA1 encryptie.

(het probleem)
Nu ben ik sinds zij zijn overgestapt al 2x gekraakt. vanwege het feit dat je de geheime vraag niet kan wijzigen kan ik door contact op te nemen met Blizzard (makers van het spel) alles wel weer herstellen. Alleen het is en blijft heel erg vervelend.

- na de 1e keer.
Blizzard vertelde mij dat er iets van een keylogger in mijn pc moet rondhangen die dit doet.

Wat heb ik eraan gedaan op welke volgorde:
- een virusscan uitgevoerd met toen. AVG-Free, MCAfee, en Kaspersky. (niets gevonden)
- Mijn pc volledig geherinstalleerd. alle schijven geformatteerd. (ook de niet Windows schijven.)
- Mijn login e-mail veranderd van een hotmail naar een pop3 e-mail. (eigen server - Strato server)
- Mijn wachtwoord gewijzigd: ( van bijv. naam1965 - naar bijv. 4h8bg59d6 ) - uiteraard zijn deze niet mijn echte, zijn voorbeelden)
- nieuwe installatie Windows. alle drivers/software teruggezet - opnieuw gedownload/gekocht. geen back-ups.

Alleen nu. Heel wat maanden later. ben ik weer gehackt.

Blizzard meld weer dat ik een keylogger/worm/trojan heb.

Wat heb ik hierna gedaan.
- Uiteraard weer een volledige virus/trojan/worm scan uitgevoerd. software - AVG totaal (Aanschaft via avg zelf.)
- ook alles bij blizzard weer gewijzigd.
Ook dit keer weer niets kunnen vinden.
Ben gaan zoeken of andere hetzelfde hadden meegemaakt, Heb als tip meegekregen om een een netwerk trace uit te voeren. alleen kan ik er niet veel uithalen. Alle duidelijke gegevens hebben een bekende proces naam/ID. Heb hem laten Heb alles gevolgt vanaf 2 uur voor ik inlogde to een paar uur erna. kom weinig vreemde dingen tegen. Alleen wanneer ik zie dat avg/outlook connect met mijn server laat hij die wachtwoorden zien van mijn e-mail. (die is hetzelfde als de login van WOW). overal op internet gebruik ik een ander e-mail/ander wachtoord. Verder zie ik nog maar 1 ding dat ik niet herken/vreemd vind.

dat is hel volgende in de trace: (programma = Microsoft Network monitor)

(Nummer)  (datum/tijd)		(bron)		    (bestemming)    (protocol)  (beschrijving)	- {hietussen enige id's die ik niet begrijp}
2	15:39:42 23-8-2010	192.168.0.100	    192.168.0.1		DNS	DNS:QueryId = 0x90A0, QUERY (Standard query), Query  for mscrl.microsoft.com of type Host Addr on class Internet	{DNS:3, UDP:2, IPv4:1}
3	15:39:42 23-8-2010	192.168.0.1	    192.168.0.100	DNS	DNS:QueryId = 0x90A0, QUERY (Standard query), Response - Success, 65.54.89.114, 65.54.89.111 ... 	{DNS:3, UDP:2, IPv4:1}
4	15:39:42 23-8-2010	192.168.0.100	    192.168.0.1		DNS	DNS:QueryId = 0x6FC0, QUERY (Standard query), Query  for evsecure-ocsp.verisign.com of type Host Addr on class Internet	{DNS:5, UDP:4, IPv4:1}
5	15:39:42 23-8-2010	192.168.0.1	    192.168.0.100	DNS	DNS:QueryId = 0x6FC0, QUERY (Standard query), Response - Success, 199.7.55.72, 199.7.51.78 	{DNS:5, UDP:4, IPv4:1}
6	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=......S., SrcPort=4959, DstPort=HTTP(80), PayloadLen=0, Seq=105415528, Ack=0, Win=8192 ( Negotiating scale factor 0x2 ) = 8192	{TCP:7, IPv4:6}
7	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A..S., SrcPort=HTTP(80), DstPort=4959, PayloadLen=0, Seq=3436562997, Ack=105415529, Win=5840 ( Negotiated scale factor 0x7 ) = 747520	{TCP:7, IPv4:6}
8	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4959, DstPort=HTTP(80), PayloadLen=0, Seq=105415529, Ack=3436562998, Win=16425 (scale factor 0x2) = 65700	{TCP:7, IPv4:6}
9	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	HTTP	HTTP:Request, GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBRFp9TUB3UaX73tHhkdSo3sUtJBVQQU%2FIpQup65JVp7VYVPlQBjj%2BlYa0MCEGtVCZQ	{HTTP:8, TCP:7, IPv4:6}
10	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...., SrcPort=HTTP(80), DstPort=4959, PayloadLen=0, Seq=3436562998, Ack=105415856, Win=54 (scale factor 0x7) = 6912	{TCP:7, IPv4:6}
11	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	OCSP	OCSP:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)" help topic for tips on loading these parser sets.	{HTTP:8, TCP:7, IPv4:6}
12	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:[Continuation to #11]Flags=...AP..., SrcPort=HTTP(80), DstPort=4959, PayloadLen=642, Seq=3436564412 - 3436565054, Ack=105415856, Win=54 (scale factor 0x7) = 6912	{TCP:7, IPv4:6}
13	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4959, DstPort=HTTP(80), PayloadLen=0, Seq=105415856, Ack=3436565054, Win=16425 (scale factor 0x2) = 65700	{TCP:7, IPv4:6}
14	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...F, SrcPort=HTTP(80), DstPort=4959, PayloadLen=0, Seq=3436565054, Ack=105415856, Win=54 (scale factor 0x7) = 6912	{TCP:7, IPv4:6}
15	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4959, DstPort=HTTP(80), PayloadLen=0, Seq=105415856, Ack=3436565055, Win=16425 (scale factor 0x2) = 65700	{TCP:7, IPv4:6}
16	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...F, SrcPort=4959, DstPort=HTTP(80), PayloadLen=0, Seq=105415856, Ack=3436565055, Win=16425 (scale factor 0x2) = 65700	{TCP:7, IPv4:6}
17	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...., SrcPort=HTTP(80), DstPort=4959, PayloadLen=0, Seq=3436565055, Ack=105415857, Win=54 (scale factor 0x7) = 6912	{TCP:7, IPv4:6}
18	15:39:42 23-8-2010	192.168.0.100	    192.168.0.1		DNS	DNS:QueryId = 0x2871, QUERY (Standard query), Query  for ocsp.thawte.com of type Host Addr on class Internet	{DNS:10, UDP:9, IPv4:1}
19	15:39:42 23-8-2010	192.168.0.1	    192.168.0.100	DNS	DNS:QueryId = 0x2871, QUERY (Standard query), Response - Success, 199.7.55.72, 199.7.51.78 	{DNS:10, UDP:9, IPv4:1}
20	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=......S., SrcPort=4960, DstPort=HTTP(80), PayloadLen=0, Seq=198897830, Ack=0, Win=8192 ( Negotiating scale factor 0x2 ) = 8192	{TCP:11, IPv4:6}
21	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A..S., SrcPort=HTTP(80), DstPort=4960, PayloadLen=0, Seq=3409611133, Ack=198897831, Win=5840 ( Negotiated scale factor 0x7 ) = 747520	{TCP:11, IPv4:6}
22	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4960, DstPort=HTTP(80), PayloadLen=0, Seq=198897831, Ack=3409611134, Win=16425 (scale factor 0x2) = 65700	{TCP:11, IPv4:6}
23	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	HTTP	HTTP:Request, GET /MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ0iWh%2BdpR8i7ceU0B1nM962xjqywQUIGOgOHPJnqRm3UF2UgExrybHFAICEBmVVUaWx	{HTTP:12, TCP:11, IPv4:6}
24	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...., SrcPort=HTTP(80), DstPort=4960, PayloadLen=0, Seq=3409611134, Ack=198898145, Win=54 (scale factor 0x7) = 6912	{TCP:11, IPv4:6}
25	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	OCSP	OCSP:Windows stub parser: Requires full Common parsers. See the "How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)" help topic for tips on loading these parser sets.	{HTTP:12, TCP:11, IPv4:6}
26	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:[Continuation to #25]Flags=...AP..., SrcPort=HTTP(80), DstPort=4960, PayloadLen=394, Seq=3409612548 - 3409612942, Ack=198898145, Win=54 (scale factor 0x7) = 6912	{TCP:11, IPv4:6}
27	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4960, DstPort=HTTP(80), PayloadLen=0, Seq=198898145, Ack=3409612942, Win=16425 (scale factor 0x2) = 65700	{TCP:11, IPv4:6}
28	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...F, SrcPort=HTTP(80), DstPort=4960, PayloadLen=0, Seq=3409612942, Ack=198898145, Win=54 (scale factor 0x7) = 6912	{TCP:11, IPv4:6}
29	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...., SrcPort=4960, DstPort=HTTP(80), PayloadLen=0, Seq=198898145, Ack=3409612943, Win=16425 (scale factor 0x2) = 65700	{TCP:11, IPv4:6}
30	15:39:42 23-8-2010	192.168.0.100	    ocsp.verisign.net	TCP	TCP: [Bad CheckSum]Flags=...A...F, SrcPort=4960, DstPort=HTTP(80), PayloadLen=0, Seq=198898145, Ack=3409612943, Win=16425 (scale factor 0x2) = 65700	{TCP:11, IPv4:6}
31	15:39:42 23-8-2010	ocsp.verisign.net   192.168.0.100	TCP	TCP:Flags=...A...., SrcPort=HTTP(80), DstPort=4960, PayloadLen=0, Seq=3409612943, Ack=198898146, Win=54 (scale factor 0x7) = 6912	{TCP:11, IPv4:6}

vreemde volgens mij.

- Alle punten hier hebben geen prosses eraan gekoppeld.
- Als ik ocsp.verisign.net ga checken kom ik erachter dat dit behoord tot een aantal mensen die ingame-Spullen verkopen voor geld. (illegaal)
(ik krijg ook regelmatig scam/spam.e-mail van hun dat via dit domein komt Ander - Niet op mijn pop3 e-mail )
- tevens zie ik ook dat er een connectie wordt aangevraacht voor ocsp.thawte.com (mij nog onbekend)
- bij andere verbindingen zie ik welk process dit erbij hoord. hier niet. ook niet dat het bij <SYSTEEM> hoord.
- bij beschrijving - zie ik soms:"How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)" help topic for tips on loading these parser sets.
(erg vreemd. dit is iets wat ik offline heb gedaan. niet online. - niet eens op dit tijfstip)



(conclusie)

- Wat kan het dat ik alles geweizigd heb toch weer mis gaan?
- Hoe kan erachter komen wat of wie deze verbinding opzet?
- Wat is er nog meer aan te doen om dit in de toekomst te voorkomen? (andere software heeft weinig zin. hack1 had ik MCafee draaien en nu AVGtotaal)

heb al iets aangeschft waarmee ik een 2e code steeds in moet voeren die een kasje mij geeft die ik hier heb liggen. (is offline)
ook al heb ik het ip adress van ocsp.verisign.net in firewall op blokkeren gezet. (kwestie van tijd voor ze dat weer open hebben)

Ikzelf ben de weg een beetje kwijd geraakt door dit alles.

(systeem info) = zie mijn systeem
(heb de trace in zip erbij zitten - te openen met MS=network monitor - Wireshark - of andere software die .cap aankan)

 

[dnties]

Spijt me erg, maar verisign.net = verisign.com = zo'n beetje de grootste authoriteit op het gebied van beveiligings-certificaten.
Lijkt me dus veel aannemelijker dat met verisign.net contact wordt gemaakt met het doel het verifiëren van de gebruikte (encryptie/digitale ondertekenings)certificaten.

AVG is misschien niet het beste hulpmiddel bij het scannen naar keyloggers etc. Probeer (eerst) eens de instructies in deze discussiedraad.

Succes,

Tijs.

 

[Ragdoll]

Hoi Paul

Nou oké dan ,zal je lang antwoord terug geven.

(Inleiding)
Je systeem (jou computer en je manier van handelen) laten infomatie los waar veel last van heb en voldoet dus niet meer aan de eis die je heb gesteld.
Dit is geen filsofie maar je moet in die richting gaan denken om je zelf uit een ritme te halen die als ik je post lees op die van een sneltrein gaat lijken.
Je begint al meteen met het werken aan een oplossing die je te snel en te makelijk aan neemt.

(Begrip en er vat op krijgen)
De eerste vraag die je zelf moet stellen is, hoe ?
En het enige goede advies in die richtig wat in je post staat is van Blizzard, keylogger/worm/trojan.
De tweede vraag is dan voor je zelf, wat zijn dat voor dingen ?
En vergeet niet dat als de AV programma's het allemaal zo goed hebben geweten had je nu dat probleem niet ,en zelf als ze het zo zouden doen als het de bedoeling van ze is dan halen ze het gevolg weg maar niet de oorzaak.

Wat is en doet een KeyLogger ?
Een keylogger kijkt naar de toetsen aanslag die op je toesenbord wordt gedaan.
Aan de hand van je lengte en combinatie van wat je typt op je toetsenbord herkent hij de login en wachtwoorden vaak zijn ze ook uitgebreid met een password dump file.
Ik heb daar zelf een soort tik aan over gehouden door zo min mogelijk te typen maar alles met copy en paste te doen, en zette de login met wachwoord in een text bestand die in een rar bestand inpakte en zoder het uit te pakken deed ik copy and paste.:d
Maar met die info over jou account heeft de keyloggerdie info nog niet bij je aanvaller, dat doet hij in de regel door die info te versturen via een email.
Nu wordt het intresant want dat betekent dat hij wacht tot jij een conectie met het internet maakt, een goede firewall die geen gebruik maakt van een auto rule set en de software een fingerprint kan mee geven herkent het programma die met je mee op het internet wil ,en daarbij heeft de keylogger info over zijn eigenaar jou aanvaller dus.
Een andere kant is dan ook nog dat jij zelf die keylogger op je pc heb geinstalleerd ze kunnen dat niet zelf.
Ze worden dan ook in de regel met een ander programma stiekum mee geinstalleerd en wat je nodig heb is een programma die software gedrag in de gaten houd (software monitor) en een monitor voor je windows register.

Een Internet Worm.
In meestal iets complexer heeft een keylogger en meerdere password dump files en register dump files en hoeft niet te worden geinstalleerd en kan als het ware op je pc kruipen maar moet zijn verzamelde info ook gaan versturen en wacht op een internet conectie.
Daarbij zijn ze wel te rippen om de info uit hem los te halen maar als je te dichtbij komt hebben ze de optie zich zelf te vernietigen om die info niet prijs te hoeven geven en de eigenaar zo te beschermen.

Een trojan.
Dat is de leukste, die installeer je ook zelf maar de eigenaar maakt een internet contact met hem.
Ze kunnen heel veel opties hebben en je pc totaal in hun macht nemen.
Maar omdat het programma moet worden opgestart en de aanvaller een conectie met je pc maakt kun je de trojan op je eigen pc in een soort virtuele isolement zetten en je de poort of eventueel poorten gaan monitoren en op het moment van conectie de conectie terug vervolgen, ik noemde dat back track en was sneller op hun pc dan dat ze zelf ook maar iets in de gaten haden dat hen trojan niet meer compleet werkte.

Dat is je basis kenis wat staat voor het begrip en van daar uit kun je weer vat gaan krijgen wat er nou op je pc gebeurt.
Geen wachtwoorden en login info op je pc bewaren is een plicht dus ook niet in de browser cookies.
File en register monitors en een constante bewaking van totaal alles wat op het internet wil door een goede firewall je basis tools.
Als je windows XP gebruikt kan ik je de firewall Sygate aanbevelen dat is beste voor deze norm van security.

(Nog meer info over hoe en wat ,de schow must go on. )
Je grijpt naar anti mal-ware programma's en zoekt naar een ondersteuning van dit soort comerciele zo genaamde security specialisten !
En zoals ik als zij als hun het allemaal zo goed wisten als dat ze je willen laten geloven dat was er geen security probleem meer ,maar het tegenover gestelde is waar.
En dat komt omdat misbruik maken geen security probleem is maar een mens eigenschap, en wil je wat software laten zien waarvan het mogelijk is dat ze die hebben gebruikt ,waarvan ik denk dat je daar nog niet aan heb gedacht.

http://www.softactivity.com/employee-monitoring.asp
http://123-keylogger.com/
324 software results for "spy monitor"

(conclusie)
Daar zal je anti malware veel moeite mee hebben wat ook niet zo verwonderlijk is.
En het probleem zit niet op het internet maar op je pc.
En het zal steeds weer terug komen omdat je uit goede trouw iets doet wat jou vertrouwen niet verdiend en zo misbruik van je maakt.

Het zou mooi zijn als ik je de weg weer heb kunnen wijzen en je snel weer zonder problemen kan gamen.

Veel succes. :thumb:

 

[Paul 119]

Bedankt voor de reacties.

heb malwarebyte's uitgeprobeerd. - resultaat = clean.

Ben ik eens in de logboeken van windows gaan snuffelen.
Kwam erachter dat er een na de laatste keer(voor de problemen) Een extra herstelpunt is gemaakt door windows7. vlak na ik E-mail had binnengehaald.

Ben de logs/instellingen van avg gaan doorlopen.
Deze stond overal ingesteld op bepaalde bestandtype scannen. (.dat - .exe)
nadat ik hem had aangepast. had hij 1 Trojan gevonden in %LOCALAPPDATA%\Blizzard Entertainment\Battle.net\Filename.file

Ook even server scanner geïnstalleerd.
Server gaf Altijd aan dij hij gewoon beveiligd was doormiddel van de standaard plesk meegeinstalleerde. DrWebCom.
Server was ook besmet met dezelfde + nog wat meer Malware. (al mijn e-mail verkeer/paswoorden gingen daarlangs.
Heb al bijna het gevoel dat ik in het oude Kazaa/limewire netwerk zit.
Ga nu ook voor de zekerheid een herinstallatie aanvragen bij strato voor die server.

Stom van me dat ik niet eerder naar die instellingen heb gekeken. trojan stond er al op sinds 30-7-2010

(laten we zeggen dat het is opgelost.)

Thanks voor het meedenken
__________________________________________________________________________________________________

dnties -
AVG is misschien niet het beste hulpmiddel bij het scannen naar keyloggers etc. Probeer (eerst) eens de instructies in deze discussiedraad.

Uiteraard heb ik eerst de sticky's gelezen. (ik post geen berichten als ik niet eerst sticky's lees/zoek fuctie/google heb gezien. - Werk zelf in de ICT).