![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Let op: Tweakers stopt per 2023 met Tweakblogs. In
dit artikel
leggen we uit waarom we hiervoor hebben gekozen.
Worm
Om dan maar gelijk goed te beginnen met een eerste blogpost, een reactie op
http://sebazzz.tweakblogs.net/blog/1341/virii.html waarbij ik iets meer informatie wil verschaffen over de werking van de worm (met beeldmateriaal). Vandaag kreeg ik namelijk via MSN een van deze wormen toegestuurd, en aan de url's te zien dezelfde die Sebazzz heeft beschreven in zijn blog. Dit keer ging het om http://www.hi5-spaces.com (een email naar yahoo is reeds verzonden).
Kleine illustratie met versimpelde werking botnet worm:
Je ziet dat de onderste hosts niet alleen zijn, in dit plaatje zijn het er 3 maar in het echt zijn het er veel meer en ze worden continue vervangen. Hierdoor is het niet erg nuttig om deze hosts aan te pakken. Wat wel interessant is is de bovenste host, dit is de "master". Hieronder beschrijf ik de stappen die ik heb doorlopen om erachter te komen wat deze server is en waar hij gehost is met daarbij een tweetal screenshots.
De applicaties die ik hierbij gebruikt heb zijn VMWare workstation met een windows xp virtual machine en Wireshark. Na wireshark gestart te hebben op de vm en het virus te hebben aangeklikt kwamen er al direct allerlei leuke pakketten voorbij:
(klikbaar)
Zo'n pakketje bevat bijvoorbeeld het volgende:
Hier een screenshotje van hetgeen wat er gebeurde:
(klikbaar)
Dat ziet er toch behoorlijk tot zeer interessant uit en bied enig inzicht in hoe zo'n worm nou te werk gaat. Als je niet uitkijkt word je dus binnen notime volgezogen met de meest verschrikkelijke virii
Eind van het verhaal is dat de masterserver in het bovenste plaatje hier een IRC server is op een dedicated server gehost in Duitsland bij het bedrijf webtropia.com. Een mailtje naar deze mensen zou dus genoeg moeten zijn om de hele handel uit de lucht te halen.
Tot zover mijn eerste en hopelijk enigzins interessante blogpost
Edit: bij het blokkeren van de server bij webtropia.com werd er verbinding gemaakt met een nieuwe server, wederom in Duitsland maar dit keer bij het bedrijf Strato. Heb ze een mailtje gestuurd, hopelijk gaat die dus ook down
http://sebazzz.tweakblogs.net/blog/1341/virii.html waarbij ik iets meer informatie wil verschaffen over de werking van de worm (met beeldmateriaal). Vandaag kreeg ik namelijk via MSN een van deze wormen toegestuurd, en aan de url's te zien dezelfde die Sebazzz heeft beschreven in zijn blog. Dit keer ging het om http://www.hi5-spaces.com (een email naar yahoo is reeds verzonden).
Kleine illustratie met versimpelde werking botnet worm:
Je ziet dat de onderste hosts niet alleen zijn, in dit plaatje zijn het er 3 maar in het echt zijn het er veel meer en ze worden continue vervangen. Hierdoor is het niet erg nuttig om deze hosts aan te pakken. Wat wel interessant is is de bovenste host, dit is de "master". Hieronder beschrijf ik de stappen die ik heb doorlopen om erachter te komen wat deze server is en waar hij gehost is met daarbij een tweetal screenshots.
De applicaties die ik hierbij gebruikt heb zijn VMWare workstation met een windows xp virtual machine en Wireshark. Na wireshark gestart te hebben op de vm en het virus te hebben aangeklikt kwamen er al direct allerlei leuke pakketten voorbij:
(klikbaar)
Zo'n pakketje bevat bijvoorbeeld het volgende:
code:
Een protocol wat sterk lijkt op het irc-protocol als het dat al niet is dus. Het meest interessante hieraan is is het kanaal wat er gejoined word (##bb##) en het wachtwoord van dit kanaal (bole). Als we nu eens gaan kijken wat er gebeurd als we onszelf voordoen als een geinfecteerde pc en een verbinding met de server maken met het programma mIRC.1
2
3
4
5
6
7
8
| 0c 29 5c 93 b4 08 00 45 00 .../.... )\....E. 0010 00 66 90 04 40 00 80 06 8b 1f c0 a8 00 71 5d ba .f..@... .....q]. 0020 c0 9a 04 99 10 94 3c c2 76 c2 1c 60 b1 af 50 18 ......<. v..`..P. 0030 fa 7e 69 f0 00 00 4a 4f 49 4e 20 23 23 62 62 23 .~i...JO IN ##bb# 0040 23 20 62 6f 6c 65 0d 0a 4d 4f 44 45 20 5b 30 30 # bole.. MODE [00 0050 7c 55 53 41 7c 36 37 38 38 33 30 5d 20 2d 69 78 |USA|678 830] -ix 0060 0d 0a 4a 4f 49 4e 20 23 23 62 62 23 23 20 62 6f ..JOIN # #bb## bo 0070 6c 65 0d 0a le.. |
Hier een screenshotje van hetgeen wat er gebeurde:
(klikbaar)
Dat ziet er toch behoorlijk tot zeer interessant uit en bied enig inzicht in hoe zo'n worm nou te werk gaat. Als je niet uitkijkt word je dus binnen notime volgezogen met de meest verschrikkelijke virii
Eind van het verhaal is dat de masterserver in het bovenste plaatje hier een IRC server is op een dedicated server gehost in Duitsland bij het bedrijf webtropia.com. Een mailtje naar deze mensen zou dus genoeg moeten zijn om de hele handel uit de lucht te halen.
Tot zover mijn eerste en hopelijk enigzins interessante blogpost
Edit: bij het blokkeren van de server bij webtropia.com werd er verbinding gemaakt met een nieuwe server, wederom in Duitsland maar dit keer bij het bedrijf Strato. Heb ze een mailtje gestuurd, hopelijk gaat die dus ook down