English

maandag 30 mei 2011

Skype levert per ongeluk ongevraagd software mee

Tijdens de laatste update van Skype naar aanleiding van de laatste problemen, hebben klanten ongevraagd software meegekregen van EasyBits GO.

Deze sofware wordt echter niet juist geinstalleerd waardoor het ook niet correct te verwijderen valt.

Om de software toch te kunnen verwijderen, heeft de ontwikkelaar van EasyBits GO een speciale uninstaller uitgegeven.

Lees verder op Anti Malware Help......

donderdag 26 mei 2011

Skype momenteel offline....

Skype kampt momenteel met een storing.
Gebruikers van de software kunnen niet meer inloggen.
Ook de website werkt niet.

Fix

Gebruikers van Skype (Windows en Mac) kunnen via een fix, hun client weer werkend krijgen.

Zie verder op Anti Malware Help

dinsdag 17 mei 2011

TDL4 infectie op Windows 7-32bits

OPMERKING: Onderstaand is een verslag van een TDL4 behandeling
bedoeld voor malware analysten.

Het is geenszins de bedoeling deze procedure te gebruiken als gewone gebruiker.



Naar aanleiding van een rogue besmetting (Anti Malware Doctor), zette ik rkill en MBAM (volledige scan) in.

MBAM log was clean.

TDSSKiller gaf echter aanduiding van een TDL besmetting.
Uit de TDSSKiller log las ik dat hij deze verwijderde.


Omdat de TS géén antivirus had geinstalleerd, advizeerde ik hem/haar dit alsnog te doen.
Avira Antivir melde een aanwezigheid van een Rootkit en een Vundoinfectie.


Starting master boot sector scan:Master boot sector HD0
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!Master boot sector HD1
[INFO] No virus was found!
Start scanning boot sectors:Boot sector 'C:\'
[DETECTION] Contains code of the BOO/TDss.M boot sector virus
[NOTE] The boot sector was not written!

Starting to scan executable files (registry).
The registry was scanned ( '1711' files ).

Starting the file scan:
Begin scan in 'C:\Windows\system32'C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
Beginning disinfection:C:\Windows\system32\dsdmol.dll
[DETECTION] Is the TR/Vundo.Gen2 Trojan
[WARNING] The file could not be copied to quarantine!
[WARNING] The file could not be deleted!
[NOTE] The file is scheduled for deleting after reboot.
The repair notes were written to the file 'C:\avrescue\rescue.avp'.



Was opzich merkwaardig omdat MBAM hier geen melding van had gemaakt.
CF ingezet en een ongeldige Netsvc gevonden.


.....
R2 cchdohew;Crcdisk Filter Helper;c:\windows\System32\svchost.exe [2009-07-14 20992]
.....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

cchdohew


Deze verwijderdt met een CFScript gevolgd door een tweede maal TDSSKiller.
De CF log was clean, TDSSKiller vertoonde de zelfde handelingen als ervoor.

Blijkbaar was TDSSKiller niet instaat deze te verwijderen.


aswMBR.exe ingezet.
Deze toonde netjes de Rootkit (TDL4) infectie en verwijderde die na een aswMBR fix.


aswMBR version 0.9.5.256 Copyright(c)
2011 AVAST SoftwareRun date: 2011-05-10 21:40:35-----------------------------

21:40:35.762 OS Version: Windows 6.1.7600
21:40:35.762 Number of processors: 2 586 0xF0B
21:40:35.764 ComputerName: FRANCA-PC UserName: Franca
21:40:36.212 Initialize success
21:40:42.836 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
21:40:42.838 Disk 0 Vendor: WDC_WD16 04.0 Size: 152627MB BusType: 3
21:40:42.853 Disk 0 MBR read successfully
21:40:42.856 Disk 0 MBR scan
21:40:42.859 Disk 0
TDL4@MBR code has been found
21:40:42.862 Disk 0 Windows 7 default MBR code found via API
21:40:42.866 Disk 0 MBR hidden
21:40:42.869 Disk 0 MBR [TDL4] **ROOTKIT**
21:40:42.873 Disk 0 trace - called modules:
21:40:42.878 21:40:42.882 Scan finished successfully
21:41:06.713 Disk 0 MBR has been saved successfully to "C:\Users\Franca\Desktop\MBR.dat"
21:41:06.714 The log file has been saved successfully to "C:\Users\Franca\Desktop\aswMBR.txt"



TDSSKiller was na deze handeling eveneens "clean".


http://www.nucia.eu/forum/showthread.php?t=63609

woensdag 11 mei 2011

Facebook lekt jarenlang persoonlijke data

Meer dan 100.000 applicaties hebben toegang tot de persoonlijke data van Facebookgebruikers.
Daardoor hebben adverteerders en app-aanbieders die informatie mogelijk al in handen.


Facebook gebruikt sindsdien oauth2.0 voor de authenticeren van de gebruiker.
Dat protocol is veiliger.


Het is aan te raden om je wachtwoord te veranderen.
Daardoor worden de tokens ongeldig verklaard en vraagt de applicatie bij een volgend gebruikpnieuw toestemming om toegang te krijgen tot de persoonlijke pagina’s.
Maar dan wordt dus oauth2.0 gebruikt.



Bronnen: Webwereld Symantec