Politie / Ukash virus, keylogger? OPGELET..!!

[Edward Wouters]

Beste,

Naar alle waarschijnlijkheid installeert het Ukash / Politie-virus een keylogger in je PC-systeem, bij infectie.

Het lijkt de enige wijze waarop de hacker de code van de pre-pay card kan achterhalen.

Dat betekent dat je zeker geen enkele belangrijke info mag intikken via je toetsenbord (login, paswoord, e-mail adres, bankkaart gegevens, credit card gegevens, etc.)

Ook geen e-mails versturen vanaf de geïnfecteerde PC (bijvoorbeeld om nog snel back ups van enkele belangrijke mails te creëren). Je geeft daarmee je e-mail identiteit (en paswoord) prijs en je mails kunnen geïnfecteerd zijn.

Je kan best de geïnfecteerde PC zo snel mogelijk uitschakelen en oplossingen zoeken met een andere PC via internet.

Om zeker te zijn, kan je daarbij eerst nog je modem resetten door eerste de stroomkabel en dan de netwerk- kabel uit te trekken. Vervolgens wacht je een minuutje of zo vooraleer je de modem terug aansluit. Dit zou je I.P. dienen te resetten, waardoor je met een andere PC al wat veiliger verder kunt surfen.

Enkele dagen geleden raakte ik geïnfecteerd. De gratis trial periode van mijn antivirusprogramma was verlopen. Daarbij surfte ik via Microsoft's Internet Explorer, die Java scripts toestaat (Google Chrome zou eerst toestemming vragen om het Java script uit te voeren). Het virus kwam binnen via een geïnfecteerde website, zonder pardon.

Zelf heb ik via een andere PC, Kasperski Internet Security 2013 gedownload (na betaling met credit card) en heb het installatieprogramma via een USB-stick overgezet op de geïnfecteerde PC. Kopiëren van het installatieprogramma op de geïnfecteerde PC kan dan best via het opstarten in 'Safe Mode' zonder netwerkverbinding.

Kasperski deed in mijn geval zijn werk naar behoren en 'Malwarebytes Anti-Malware' ( Malwarebytes : Free anti-malware download ) tezamen met 'CCleaner' ( Piriform - Download CCleaner, Defraggler, Recuva, Speccy - Millions of users worldwide! ) maakten de taak verder af.

Graag uw reactie(s), en graag eventueel ook andere 'tricks & tips'..

Vriendelijke groet,

Edward

[Edward Wouters]

Voor ik het vergeet:

Zorg ervoor dat je steeds de laatste versies van Java (Oracle), Flash Player, Shockwave Player, Reader, Air (Adobe), Quick Time Player (Apple), etc. geïnstalleerd hebt (steeds updaten). Virussen en malware buiten zwakheden in deze programma's uit om kwaadaardige code te installeren.

Als je deze programma's niet gebruikt kan je ze ook beter de-installeren. Opnieuw installeren van de laatste versies kan altijd nog achteraf..

Dat je steeds met goed en 'up to date' antivirus-programma werkt en dat je je Windows besturingssysteem automatisch laat updaten spreekt voor zich natuurlijk (Wie zonder zonde is werpe de eerste steen..)

[Edward Wouters]

- Hier nog een goede handleiding over manuele virus-detectie (en manuele verwijdering) van 'Combofix.org'

Tips to Remove a Virus Manually

[Edward Wouters]

Door het aan het virus gekoppelde '.idx' bestandje dat 'Kasperski' in mijn bestanden onder 'Java' vond te openen in een text editor bestandje kon ik het I.P. adres van de (vermoedelijke) afzender van de aanval zien: 91.216.163.29

Door het I.P. adres 91.216.163.29 via 'Ripe Whois' op te zoeken vond ik de gegevens van de provider:

https://apps.db.ripe.net/search/query.html;jsessionid=5252C549E5FD1B19A3639296FA6CE553.apps4#resultsAnchor#resultsAnchor

en na intypen van het hierbij eveneens gevonden AS-numme, in dit geval 'AS8764', vond ik nog meer info:

https://apps.db.ripe.net/search/query.html?form_type=simple&full_query_string=&searchtext=AS8764&do_search=Search#resultsAnchor

De aanval kwam uit Litouwen.

Hierbij kopij van e-mail die ik naar de 'abuse'-maildienst van de provider stuurde vanwaar de aanval (Ukash /Politievirus) kwam:

".. Dear Sirs,

On Tue, 25 Sep 2012 23:54:47 GMT, I was, amongst others the victim of a virus attack:

SHA256: 89b3623b8a9511293fe2ae4839330db1493905c6b7ddadfaaecc29acd4bd2fbb

SHA1: 4a1f356c32b7e457c978f4585ffe049e97d65ea4

MD5: be8d133605b5737b666edea418d9f4f1

File size: 134.5 KB ( 137728 bytes )

File name: wgsdgsdgdsgsd.exe

Updated file name (Fri, 28 Sep 2012): Trojan-Ransom.Win32.****oAsset.aawc

File type: Win32 EXE

It was detected by 'Kaspersky Internet Security 2013' (Wed, 26 Sep 2012) as:

UDS:DangerousObject.Multi.Generic

The remote I.P. address was: 91.216.163.29

The content of the '.idx' file (Java index file), I found, using 'Kaspersky' is:

\ " 9ÿÚµX j 9ÿÚ`ª 9ÿÚ`ª

thttp://haztalandawylah.servegame.com/links/rights_questions.php?tf=080a350802&fe=34380738343434080a35&c=02&ct=m&yt=e

91.216.163.29 <null> HTTP/1.1 200 OK content-length 139776 expires

Tue, 25 Sep 2012 23:54:47 GMT content-type application/x-msdownload date

Tue, 25 Sep 2012 23:55:30 GMT server nginx pragma public

cache-control private

More information is available through following websites:

https://www.virustotal.com/file/89b3623b8a9511293fe2ae4839330db1493905c6b7ddadfaaecc29acd4bd2fbb/analysis/

http://webcache.googleusercontent.com/search?q=cache:xRF2HNb2_A0J:www.virustotal.com/latest-report.html%3Fresource%3D4a1f356c32b7e457c978f4585ffe049e97d65ea4+SHA256:+89b3623b8a9511293fe2ae4839330db1493905c6b7ddadfaaecc29acd4bd2fbb&cd=1&hl=nl&ct=clnk&gl=be

http://malwaredb.malekal.com/index.php?page=4

https://apps.db.ripe.net/search/query.html?form_type=simple&full_query_string=&searchtext=AS8764&do_search=Search#resultsAnchor

Would you please be so kind to take the necessary actions to track and stop

the culprit and to inform the local authoroties, in order to prevent further

damage.

Most Sincerely,

Edward.. "

Alle info over dit virus heb ik via Google gevonden met behulp van de informatie, te vinden in de hogervermelde *.idx file.

Deze *.idx (index?) file was door 'Kasperski Internet Security 2013' in quarantaine gezet en de inhoud ervan kan gewoon bekeken worden, door de file te openen met een text editor (kladblok).

Wie goed kijkt ziet het onbruikbare 'bogus' internet-adres, het bruikbare I.P. adres, het tijdstip van infectie (bij de 'GMT' dien je twee uur bij te tellen voor het zomeruur en dien je 1 uur bij te tellen voor het winteruur), en waarschijnlijk ook de grootte van het bestand in bytes: 'content-length 139776' .

De websites die dan vervolgens via Google gevonden heb (hierboven vermeld) geven gedetailleerde info het virus.

Het zijn misschien 'vijgen na pasen', maar mij deed het toch deugd om na de stress die de besmetting met zich mee bracht, niet onmachtig te blijven, maar legaal terug te vechten met de middelen die Kasperski, Google en Ripe-Whois aanreiken.

Wie nu nog besmet is of wie in de toekomst besmet raakt, met eender welk virus, of met eender welke malware, kan met hogervermelde info al wat sneller reageren.