Trojans/nl

From distributed.net
Jump to: navigation, search

Trojaanse paarden (trojans), wormen en virussen

Zo nu en dan zijn er mensen zonder gewetensbezwaren die denken dat er, in het goede gedachtengoed van Internet, op alle computers een distributed.net client moet draaien zonder dat de eigenaar er toestemming voor heeft gegeven. distributed.net keurt deze praktijken af en vervolgt deze mensen actief. Dergelijke ongeautoriseerde methoden om onze software uit te rollen zijn uitdrukkelijk in strijd met onze richtlijnen voor gebruik . Ook wordt onze missie geweld aangedaan.

Op dit moment zijn er een aantal trojans die de ronde doen. Veel van de op dit moment bekende variante maken gebruik van de openheid en connectiviteit van het Internet en zij zoeken dan ook actief naar slecht beveiligde computers die vanaf afstand geinfecteerd kunnen worden. Vanwege deze nieuwe manier van infectie kunnen computers besmet raken zonder dat de gebruiker zelf expliciet een geinfecteerd programma start. Deze computers (Windows 9x machines) zijn niet geinfecteerd omdat het besturingssysteem een fout bevat maar omdat de gebruiker een veel gemaakte configuratiefout heeft begaan door zijn complete hardde schijf te delen met volledige toegang voor iedereen. Bot gezegd staat dit gelijk aan het open laten staan van de voordeur van je huis.

NB: het aanwezig zijn op een computer van een DNETC.EXE and DNETC.INI (maar met een ander emailadres) is waarschijnlijk een valide installatie van onze client software, geheel vrijwillig geinstalleerd door de eigenaar van de machine. Het is dus niet redelijk om zonder nadere inspectie alle bovengenoemde bestanden te verwijderen als je ze aantreft. Waarschuw in geval van twijfel je systeembeheerder.

Je computer schoonmaken en beschermen

Er zijn veel voorzorgsmaatregelen die je als gebruiker kunt nemen om je computer te beschermen tegen de mogelijkheid geinfecteerd te raken. Omdat veel van de nieuwste varianten van wormen zich vermenigvuldigen door zich te kopieren naar gedeelde schijven waar ze op kunnen schrijven, zouden gebruikers geen mappen moeten delen tenzij dat absoluut nodig is. Deel mappen als 'alleen lezen' en probeer het delen als 'volledige rechten' te voorkomen omdat juist dat anderen in staat stelt je bestanden te wijzigen of de verwijderen. Als een map gedeeld is, moet je eraan denken dat je alleen die map deelt en niet je hele harddisk of een onderligende boomstructuur.

Bekende varianten

  1. [sep 2000] Er is een op een .exe bestand gebaseerde worm ontdekt (bekend als W32/Msinit, Trojan.Win32.Bymer, W32.HLLW.Bymer, Dnet.Dropper) die Win9x machines infecteert die file sharing aan hebben staan. Deze worm verspreidt zich door een willekeurig ipnummer te kiezen en te proberen een connectie te maken met de 'C' file share op die machine. Als dat lukt, zal de worm een aantal bestanden kopieren naar de mappen "\WINDOWS\Start Menu\Programs\StartUp\" en "\WINDOWS\SYSTEM\" op de andere machine:
    • MSxxx.EXE ~22016 bytes (grootte en bestandsnaam kunnen enigszins verschillen)
    • MSCLIENT.EXE 4096 bytes
    • INFO.DLL (logbestand met platte tekst over andere geinfecteerde computers)
    • DNETC.EXE 186188 bytes (officiele release v2.8010-463-CTR-00071214)
    • DNETC.INI (met het emailadres bymer@inec.kiev.ua)

    De naam van het MSxxx.EXE bestand kan anders zijn en bevat een gedeelte van het begin van het ip adres van je computer en misschien nog een aantal andere karakters. Voorbeelden van bestandsnamen die zijn aangetroffen: MS216.EXE, MSI216.EXE, MSI211.EXE. De grootte van het bestand verschilt ook, maar was in het algemeen ongeveer 22kb.

    Verder kan, als onderdeel van de infectie, de volgende regel zijn toegevoegd aan het \WINDOWS\WIN.INI bestand: load=c:\windows\system\msxxx.exe (bestandsnaam verschilt)

    Als een van de eerste twee programma's eenmaal is uitgevoerd zal er in het register, bij de sleutel HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ de volgende waarde zijn toegevoegd: MSINIT=c:\windows\system\msxxx.exe (bestandsnaam verschilt)

    Aangezien de worm ook "dnetc.exe -hide -install" uitvoert, zal er een toevoeging van nog een register waarde zijn om de client automatisch uit te voeren. Merk op dat het bestaan van zo'n waarde niet noodzakelijkerwijs hoeft te betekenen dat er een ongeautoriseerde installatie van onze software door de worm heeft plaatsgevonden, zoals in het geval dat de eigenaar van de machine legitiem onze client software heeft geinstalleerd.
  2. [okt 2000] Er is ook een EXE worm ontdekt die een variant is van de hierboven beschreven worm. Het verschil is dat deze een bestand met de naam WININIT.EXE in de WINDOWS\SYSTEM map plaatst, dat ongeveer 220kb groot is. Beide varianten doen hetzelfde, maar WININT.exe bevat de client, waar MSINIT.exe deze alleen kopieert; dit verklaart ook het verschil in grootte. De DNETC.EXE en DNETC.INI worden ook in de WINDOWS\SYSTEM map neergezet, en de client is geconfigureerd om te werken met de e-mail adressen ogr@gala.net, mereel@gmx.de, mama@papa.net, gentleps@muohio.edu of postmaster@127.0.0.1.
    • InnoculateIT kan deze worm identificeren als Win32.Bymer
  3. [aug 2000] Een andere EXE worm (bekend als W32.HLLW.QAZ.A, QAZ.Trojan, Trojan/Notepad, note.com) vermenigvuldigt zich door je Windows NOTEPAD.EXE te hernoemen naar NOTEPAD.COM en op de plaats van het originele bestand de trojan te zetten. Als die eenmaal draait, zal die zich proberen te kopieren naar alle computers in je Windows Netwerk Omgeving. Deze worm geeft anderen ook de mogelijkheid je computer op afstand te besturen en hackers hebben de mogelijkheid alle bestanden te benaderen waar je computer toegang toe heeft. Van sommige varianten van deze worm is bekend dat ze meteen ook maar een distributed.net dnetc.exe client installeren.
  4. [apr 2000] Er zijn twee varianten van het VBS.Netwerk of VBS.NetLog virus, die de versies 2.8005.455 of 2.8007.45X van dnetc.exe meedistribueren. Dit virus/worm kan herkend worden door de aanwezigheid van "network.vbs" en "microsoft_office.lnk" in de Windows Opstarten-groep, en "netwerk.log" in de root-directory c:\. Een kopie van dnetc.exe en dnetc.ini worden geplaatst in de directory c:\windows met het e-mail adres "bl4ckr0d@hotmail.com" of "jdefoe@linuxstart.com" of "nugget@slacker.com"

    Deze worm verspreidt zich door met een willekeurig IP-adres een verbinding te maken, een share genaamd "C" te openen en de geïnfecteerde bestanden direct in de Opstarten-groep te copiëren. Gebruikers kunnen zich beschermen door ervoor te zorgen dat niet de hele harde schijf met volledige schrijfrechten wordt gedeeld zonder een benodigd wachtwoord.
  5. [jun 2000] Een LiteStep bureaublad thema in een StarCraft "Zerg" achtig thema is verspreid met de bestandsnaam "installtheme.exe" op een aantal websites. Als dit programma wordt geinstalleerd, installeert het ook een distributed.net client.
  6. [mei 1998] Er zijn geruchten dat er een worm circuleert op het Usenet in de X-files nieuwsgroepen. Deze is verborgen in een puzzelspel met plaatjes van Gillian Anderson. Deze installeert rc5desg.exe en de .ini en werd twee keer in mei 1998 gepubliceerd en nogmaals in juni 1998. Het zijn geruchten omdat we het bestaan niet hebben kunnen controleren omdat het te lang geleden is.
  7. [dec 1997] Het is bekend dat versie 2.6403 van de win32gui heeft gecirculeerd in een zipfile ipspoof.zip die de files ipspoof.dat, ipspoof.dll, ipspoof.exe, en readme!.txt bevat. De eenvoudige .exe installer kopieert de client naar \windows\system\rc564gui.exe en configureert the client om automatisch in 'hidden mode' te starten en blokken voor "fbicrasher@hotmail.com" te controleren.
  8. Een worm met de naam "mycollection.exe". Deze doet zich voor als een picture viewer met tiener pornografie. Deze werd gedistribueerd door een IRC bot die automatisch een dcc zond naar mensen die bepaalde IRC-kanalen bezochten. Deze trojan bestond uit een installatie programma dat rc5desg.exe en .ini installeerde in de windows/system map, daarna het programma verborg en vervolgens liet draaien.
  9. Een andere heet cindyply.zip. Deze is zelfs erger omdat het niet alleen deed wat mycollection.exe deed maar het installeerde ook Back Orifice met de Butt Trumpet plug-in.Deze wordt verspreid via Usenet binaries groepen als een AVI-verzameling met speler.

Straffen

Alle schuldige partijen zijn verwijderd van hun teams, hun wachtwoorden zijn gewijzigd, kunnen geen prijs winnen en zijn verwijderd uit de statistieken. Het team password is eveneens gewijzigd en een e-mail is verzonden naar de team coordinator.

Wanneer een team coordinator kan aantonen dat dit gebeurd is zonder toestemming en kennis van de coordinator wordt het team gerehabiliteerd en worden de blokken door het schuldige teamlid van het team geschrapt.

Indien je enige informatie hebt over een van de genoemde trojanen of je bent andere tegengekomen, of je bent zelf slachtoffer dan willen we dit graag weten. E-mail abuse@distributed.net en we gaan meteen aan de slag.