Java ByteVerify exploit / TrojanDownloader.OpenConnection

Java ByteVerify exploit / TrojanDownloader.OpenConnection

offline
  • Pridružio: 28 Nov 2007
  • Poruke: 16

Molim vas ako neko moze da mi pomogne,poslata mi je skripta koja krade slicice i ime i mejl i kontakte na msn-u,ne mogu da koristim messanger, a prijavljuje mi stalno da sam zarazen torjancima,npr:
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\39\7713e8e7-3fe71fba »ZIP »MagicApplet.class - Java/TrojanDownloader.OpenConnection trojan
sta da radim dali postoji nesto da izbrisem te skripte gde se one sada nalaze kako da se resim ove bede molim vas ako mi mozete pomoci.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

@saksilijano

Jel' ti je to Nod32 detektovao ?

Za početak skini i pokreni ATF Cleaner. Obriši windows, temp, java i browser cache tj. iskoristi opciju programa Select All > Empty Selected. Restaruj računar i podigni sistem u Safe mode-u pa ga preskeniraj ponovo.

Ako bude bilo detekcija ili problema postavi log programa HijackThis kao što je opisano u ovoj temi, a ja ću da premestim topic u odgovarajući forum.

Pozz



offline
  • Pridružio: 28 Nov 2007
  • Poruke: 16

Logfile of HijackThis v1.99.1
Scan saved at 20:59:12, on 22.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Aleksandar\Desktop\PERL HARBOR\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.rs/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Iz&vezi u Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Istrazivanje - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

problem je u tome sto kada upalim msn pojavljuje se taj neko sa mojim imenom i sve ima moje i moj nick i moje slike,poslao mi je neku skriptu kojom mi je sve ukrao,kako ja to da izbrisem i da li je potrebno da deinstaliram msn messanger.

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Nisam dobio odgovor da li si poslušao moj prvi savet i kakav je ishod skeniranja iz Safe Mode-a. Nisi pročitao lepo temu koju sam ti linkovao. Postavio si HijackThis log bez da si promenio ime programa u nešto što ne asocira na njega (primer iz teme je TR3.exe).

Log ne pokazuje da imaš neki aktivan malware na sistemu. Jedini eventualni problem (koji nema veze sa ovim na šta se direktno žališ) je Ask Jeeves Toolbar koji je adware, a koga možeš deinstalirati preko Add/Remove Programs iz Control Panel-a.

Što se nicka i slike sa MSN-a tiče, tu koliko znam može bilo ko da upiše bilo šta i da postavi koju želi sliku. Da bi ti "ukrao" sliku ne treba mu neka malciozna ili hax0rska skripta.

Ako te taj lik "proganja" blokiraj ga i izbriši sa liste kontakata. Ako misliš da ti je nalog kompromitovan - promeni password.

offline
  • Pridružio: 28 Nov 2007
  • Poruke: 16

Uradio sam kako si rekao sve,u safe modu,i ocistio je neke stvari,skenirao sam i nodom i trojan-om remover-om.Samo da te pitam jos nesto ako nije problem,sta je ta scripta uradila,jer ce ona sada stalno da mi uzima moj nik sifru i te stvari,sa msn.Ako promenim sifru mislim jer moze da mi ceprka.
Jer moze taj neko ko mi je uzeo da koristi moj msn umesto mene,kako je najpametnije resenje da se ja otarasim njega da budem siguran,da nece da iskoriscava messanger.Hvala jos jednom na pomoci mnogo mi je znacila.

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Ne očekuj odgovore na nešto šta i da hoću ne mogu da saznam ili za šta nemam dovoljno informacija da bih ti pouzdano odgovorio.

Prema ovome što imam prilike da vidim radi se o Java/ByteVerify exploitu koji kao detekcija ne mora da znači ništa više od traga da je neko pokušao da iskoristi poznati sigurnosni propust u Microsoft VM-u (Virtualna Mašina) koji datira iz 2003. godine. Kada kažem neko - mislim na posetu sajtu koji hostuje te maliciozne skripte jer je to način da se dođe do ovog exploita.

Ako ti je sistem iole patchovan (skidao si update sa MS-a), ako ti je Java a ne MS VM podešena kao default virtualna mašina na sistemu onda nema bojazni da je sistem kompromitovan/zaražen.. etc.

Moj point of view je da ti ta skripta nije uradila ama baš ništa. Proverili smo HJT log i nemaš u njemu izlistane fajlove, web adrese, servise ili procese koji bi ukazivali da ti je sistem i zaražen. Jednostavno čišćenje Java cache-a je dovoljno da se reši problem.

Vidim da imaš stariju verziju Jave instaliranu pa bih ti preporučio da je prvo deinstaliraš pa skineš i instaliraš novu 1.6.03 verziju.

Dodatni info u vezi ovog malware-a:
http://java.com/en/download/help/cache_virus.xml

Ko je trenutno na forumu
 

Ukupno su 1077 korisnika na forumu :: 28 registrovanih, 4 sakrivenih i 1045 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., asdfjklc, babaroga, Ben Roj, bojank, bokisha253, CikaKURE, draganca, Džordžino, Georgius, goxin, ILGromovnik, mercedesamg, milenko crazy north, mnn2, mocnijogurt, nebojsag, nenad81, proka89, raketaš, rovac, styg, vathra, VP6919, vukdra, wolf431, Zimbabwe, Žrnov