ik heb de laatste tijd in verschillende topic's op verschillende site's gezien dat er mensen zin die een probleem hebben met een bepaalde variant van een vundo.

Het is heel duidelijk dat de maker(s) (hij kan ook in een team werken) zeker niet stil zit.
De vundo's worden om het zo te zeggen in massa productie genomen.

Ik voorspel dat de makers binnekort een versie gaan maken dat nog sterker is dan hun voorgande en dat we terug met een epidemie gaan zitte zoals een paar maand geleden.


wat denken julie hier over?


EDIT: voor de mensen die niet weten wat een vundo is-->http://en.wikipedia.org/wiki/Vundo_trojan

vundo is dus eigenlik de afkorting van Trojan.Winfixer.Virtumonde

EDIT: voor de mensen die niet weten wat een vundo is-->http://en.wikipedia.org/wiki/Vundo_trojan
vundo is dus eigenlik de afkorting van Trojan.Winfixer.Virtumonde

De oplossing om een infectie te vermijden staat erbij. Is een werkje van nog geen 2 minuten.

lol

ik heb da artikel nie geleze :p
was gewoon voor de mense die geen vundo kenden.

Maar geloof mij...een vundo hou je niet tegen.

Maar geloof mij...een vundo hou je niet tegen.

Mijn Mac wel hoor :p
Sorry, ik kon het niet laten :lol:

ja een mac....:roll:

maar nu blijkt er ook al een virus voor mac te zijn he...ha steek :p

ik heb da artikel nie geleze
Maar geloof mij...een vundo hou je niet tegen.

Toch maar eens lezen!!!!!!!!!!!!!!!!!!!

Je moet gewoon je Java up-to-date houden volgens Wiki :)

Toch maar eens lezen!!!!!!!!!!!!!!!!!!!

heb ek gedaan ;)

maar je moet niet alles geloven wat ze daar zeggen ;)

Met een up-to-date Java ga je het echt niet redden hoor :)



Ik voorspel dat de makers binnekort een versie gaan maken dat nog sterker is dan hun voorgande en dat we terug met een epidemie gaan zitte zoals een paar maand geleden.

Waarop basseer je dit?



vundo is dus eigenlik de afkorting van Trojan.Winfixer.Virtumonde

Ligt eraan welke scanner hem decteerd, alle scanners gebruiken andere namen.

Daarnaast, Vundo heeft voor 3 a 4 maanden terug een grote update gehad. Hij brengt nu een multi dropper met zich mee dus daardoor nog effectiever. Deze variant is met Vundofix ook niet te verwijderen, slechts met Combofix.

Met een up-to-date Java ga je het echt niet redden hoor :)


Waarop basseer je dit?


Ligt eraan welke scanner hem decteerd, alle scanners gebruiken andere namen.

Daarnaast, Vundo heeft voor 3 a 4 maanden terug een grote update gehad. Hij brengt nu een multi dropper met zich mee dus daardoor nog effectiever. Deze variant is met Vundofix ook niet te verwijderen, slechts met Combofix.

aha ;) eindelijk nog is iemand die er iets van af kent ;)

idd, zoals ik al gezegd heb moet je niet alles geloven wat ze daar zeggen, een vundo heeft TOTAAL NIKS me java te make...dus zal dat ook niet veel helpen ;)


waarop ik dit baseer? Wel, als je goed kijkt staat dit bovenaan in mijn begin post ;)
Ik bekijk dit forum (en andere) nu al een tijdje en ik zie ongelofelijk veel virusen of trojans die veel weg hebben van een vundo (dezelfde symptomen enz.) Het is duidelijk dat de maker(s) niet stil gezeten heeft. Volges mij werkt hij in een team van professionals. Want anders kan je dit niet verkrijgen hoor ;) En volges mij zijn ze constant aan het proberen een beter virus te maken. En dit gaat volgens mij niet lang meer duren.




Over die naam, tja...de meeste scanners gebruiken die naam en dat is denk ik toch ook de naam die je vaak in reports gaat vinden in teksten van andere personen ;)


Van die update weet ik het al ;) De makers blijven constant nieuwe updates uitvoeren. En dit is dan meteen nog eens een punt waarop ik dit baseer ;)

Je hebt mij niet geholpen maar toch krijg je een bedankje voor die nuttige post hier ;)

Sorry, ik kijk hier niet zo vaak :P



waarop ik dit baseer? Wel, als je goed kijkt staat dit bovenaan in mijn begin post
Ik bekijk dit forum (en andere) nu al een tijdje en ik zie ongelofelijk veel virusen of trojans die veel weg hebben van een vundo (dezelfde symptomen enz.) Het is duidelijk dat de maker(s) niet stil gezeten heeft. Volges mij werkt hij in een team van professionals. Want anders kan je dit niet verkrijgen hoor En volges mij zijn ze constant aan het proberen een beter virus te maken. En dit gaat volgens mij niet lang meer duren.


Ik had die wiki pagina inderdaad doorgelezen, maar je spreekt nu over de ik vorm.
JIJ voorspelt dat er zo'n plaag komt en daar zou ik graag de bronnen eens van zien :)



Ik bekijk dit forum (en andere) nu al een tijdje en ik zie ongelofelijk veel virusen of trojans die veel weg hebben van een vundo (dezelfde symptomen enz.)

Vertel jij dan eens wat de symtomen zijn van Vundo in je eigen woorden?



Het is duidelijk dat de maker(s) niet stil gezeten heeft. Volges mij werkt hij in een team van professionals. Want anders kan je dit niet verkrijgen hoor

Nou, een beetje scripter kan best een multi dropper maken hoor.



En volges mij zijn ze constant aan het proberen een beter virus te maken. En dit gaat volgens mij niet lang meer duren.

De oude variant is er best lang geweest hoor :roll:



Over die naam, tja...de meeste scanners gebruiken die naam en dat is denk ik toch ook de naam die je vaak in reports gaat vinden in teksten van andere personen

Meestal zie je wel iets terug in de naam van Vundo ja, maar de exacte naam verschilt per scanner.



Van die update weet ik het al De makers blijven constant nieuwe updates uitvoeren. En dit is dan meteen nog eens een punt waarop ik dit baseer

Nog steeds geen bron? Constant updates? Kan jij mij een exact kenmerk noemen wat onlangs is geupdate, behalve die multi dropper?



Je hebt mij niet geholpen maar toch krijg je een bedankje voor die nuttige post hier

Vooruit dan, dan krijg jij ook een bedankje, maar vermeld alsjeblieft nu wel je bronnen.
Want ik krijg de indruk dat je niet echt weet waar je over aan het praten bent :roll:

Vooruit dan, dan krijg jij ook een bedankje, maar vermeld alsjeblieft nu wel je bronnen.
Want ik krijg de indruk dat je niet echt weet waar je over aan het praten bent :roll:Zo voel ik het ook. :shy:

Sorry, ik kijk hier niet zo vaak :P



Ik had die wiki pagina inderdaad doorgelezen, maar je spreekt nu over de ik vorm.
JIJ voorspelt dat er zo'n plaag komt en daar zou ik graag de bronnen eens van zien :)


Vertel jij dan eens wat de symtomen zijn van Vundo in je eigen woorden?


Nou, een beetje scripter kan best een multi dropper maken hoor.


De oude variant is er best lang geweest hoor :roll:


Meestal zie je wel iets terug in de naam van Vundo ja, maar de exacte naam verschilt per scanner.


Nog steeds geen bron? Constant updates? Kan jij mij een exact kenmerk noemen wat onlangs is geupdate, behalve die multi dropper?


Vooruit dan, dan krijg jij ook een bedankje, maar vermeld alsjeblieft nu wel je bronnen.
Want ik krijg de indruk dat je niet echt weet waar je over aan het praten bent :roll:

echt bronnen heb ik niet, maar ik heb zelf ook een vundo gehad en ik heb gezien hoe zoiets te werk gaat.
Bijna dagelijks zijn er nieuwe DLL bestanden gedownload van zichzelf.
(bvb ssqpn.dll)


vertraagd internet, constant pop-ups in IE (ook al gebruik je een andere browser enz. enz. Je kent het denk ik wel ;)


Wel dit is geen "beetje scripter" maar al een echte pro. Bijna alle spyware en virussen krijg je er makkelijk af. Maar bij de vundo heb ik het allermeeste miserie mee gehad.

Ja, maar hij werd wel constnt geupdate ;)


Hierin heb je gelijk ;)

zie hierboven^^

Hoe kom jij aan pop-ups in IE als je hem niet gebruikt? :rolleyes:

vertraagd internet, constant pop-ups in IE (ook al gebruik je een andere browser enz. enz. Je kent het denk ik wel ;)
Daar heb ik geen last van onder Windows! :D :p
Maar als ik onder Linux naar minder veilige sites surf, herken ik dit wel! :D Heeft mijn Linux soms last van een vundoo infectie? :D ;) :lol: :p :rofl:

Sukkeltje456, ik heb u het reeds aangeraden en ik doe het nogmaals: Plaats eens een hijackthislogje! :good: Iemand zoals DJ Inpossible zal met veel plezier kijken dat uw pc volledig vrij is van malware! :good:

Hoe kom jij aan pop-ups in IE als je hem niet gebruikt? :rolleyes:


Geloof me! Het is zo,

Als ik met FF of opera aan het surfen was dan kreeg ik vaak pop-ups in IE. Achteraf bleek dat het door die vundo kwam.

echt bronnen heb ik niet, maar ik heb zelf ook een vundo gehad en ik heb gezien hoe zoiets te werk gaat.

Hoe gaat het in zijn werk dan?



Bijna dagelijks zijn er nieuwe DLL bestanden gedownload van zichzelf.
(bvb ssqpn.dll)

Zoals gezegt komt dat door die multi dropper. Heeft dus niks met updates van de maker te maken.



vertraagd internet, constant pop-ups in IE (ook al gebruik je een andere browser enz. enz. Je kent het denk ik wel

Ook buiten IE als ik het goed heb ;)



Wel dit is geen "beetje scripter" maar al een echte pro. Bijna alle spyware en virussen krijg je er makkelijk af. Maar bij de vundo heb ik het allermeeste miserie mee gehad.


Waarop basseer je dat dit een pro is? Trouwens, Vundo is echt, vergeleken met andere, niet zo moeilijk te verwijderen hoor.
Heeft hier level 2 bij symantec. klik (http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99)



Ja, maar hij werd wel constnt geupdate

Mijn vraag was: Nog steeds geen bron? Constant updates? Kan jij mij een exact kenmerk noemen wat onlangs is geupdate, behalve die multi dropper?

Beetje slap antwoord vind je niet?

Wat is eigenlijk het nut van deze topic?
Als je echt iets meer wil weten over virussen dan kan je uw eigen beter eens registreren op een hack-site.
Daar kom je dikwijls een source tegen van een virus of rat.
Heb onlangs ook eens de source gedownload van mpack en een aantal shells waaronder c99 en r57 gewoon om te zien hoe deze eruit zien.
Zal deze echter nooit zelf gebruiken.
Wat ik wel durf doen is een rat of keylogger op mijn eigen pc zetten om te zien wat deze doet.

Sukkeltje456,

Virtumonde is een agressieve vorm van advertentie software (adware) dat zich goed in het register kan verstoppen. Virtumonde maakt RANDOM bestanden aan (vooral dll en exe) en plaatst deze vaak in de system32-map. Jou bewering dat er dus dagelijks nieuwe bestanden worden gedownload klopt niet bepaald, deze bestandsnamen zijn gewoon willekeurig (random). Het is wel zo dat een mee gebrachte trojandownloader er voor zorgt dat er steeds meer gedownload wordt zolang de infectie actief is.

Varianten van Virtumonde worden steeds lastiger te fixen, omdat het zich hardnekkiger in het systeem gaat plaatsen en het gebruik maakt van het "buddy systeem". Zodra Virtumonde merkt dat er bestanden zijn van zijn infectie die verwijderd worden, zal het snel nieuwe aanmaken. Je zult dus alle actieve Virtumonde bestanden in een keer moeten aanpakken voordat het weg is. Dit maakt removal enorm lastig.

De laatste Virtumonde variant (half december ontdekt) is ook een file-infector geworden.
Maar hierover zal je alles al vanaf weten neem ik aan? :)



echt bronnen heb ik niet, maar ik heb zelf ook een vundo gehad en ik heb gezien hoe zoiets te werk gaat.

Aan het "zien" van een infectie heb je weinig, als je echt wil weten wat een infectie doet zal het moeten monitoren, en dat verschillende keren. Ook zal je het gedrag van de infectie moeten monitoren wat het doet bij verwijderen.

Een infectie (vooral zoiets als Virtumonde) doet veel meer dan je kan "zien".


Het is heel duidelijk dat de maker(s) (hij kan ook in een team werken) zeker niet stil zit.
De vundo's worden om het zo te zeggen in massa productie genomen.

Ik kan begrijpen uit jou reacties dat je het eigenlijk uit je duim hebt gezogen óf er een grof vermoeden van gemaakt dat nergens op gebaseerd is. Misschien handig om dat de volgende keer te vermelden.


- Daniël :)

Mooie uitleg, en helder! Met zulke wakers aan onze zijde kunnen we als minatica-leden compleet relax op twee oren slapen. Zelfs mét een infectie, hoi hoi.
Sukkeltje, spijtig dat je het beest te pakken had, maar asjeblief, je praat hier tegen mensen die er véél meer van op de hoogte zijn dan jij. Ook even luisteren als 't kan?

Voor de derde maal, ik heb geen bronnen.
Ik heb zelf mijn ervaring met de vundo gehad en ik weet wat voor iets het is.

De vundo kan dan mischien wel random namen gebruiken (ook al betwijfel ik dit) Toch worden ze gedownload. Want at je zegt dat een vundo zelf die bestanden aanmaakt is compleet belachelijk. waarom zou de maker er zoiets idioot inzetten in zijn virus?

En waarom dat ze hem die level 2 geven bij symantec begrijp ik niet hoor.
Iedereen die al eens met een vundo te maken heft gehad die weet wel hoe moeilijk zoiets te verwijderen is.

EDIT: ik heb je link bekeken, en er staat "Removal: Difficult"

Ik heb zelf mijn ervaring met de vundo gehad en ik weet wat voor iets het is.

De vundo kan dan mischien wel random namen gebruiken (ook al betwijfel ik dit)
Hier het bewijs, heb ze even in het vet geplaatst voor je:

F3 - REG:win.ini: load=C:\WINDOWS\system32\pmkjj.exe
O2 - BHO: (no name) - {0156B101-C067-49F2-B1E4-DB963DF75EEB} - C:\WINDOWS\system32\pmkjj.dll
O2 - BHO: {ae060999-aac1-8f5b-5274-8fa18aef3162} - {2613fea8-1af8-4725-b5f8-1caa999060ea} - C:\WINDOWS\system32\oumyhuik.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\vvoyovaf.dll
O2 - BHO: (no name) - {FD03C949-1F23-41EA-B53A-C31EE0154454} - C:\WINDOWS\system32\cbxywvu.dll
O4 - HKLM\..\Run: [772809e2] rundll32.exe "C:\WINDOWS\system32\avycyqem.dll",b
O20 - Winlogon Notify: cbxywvu - cbxywvu.dll (file missing)
O20 - Winlogon Notify: vvoyovaf - C:\WINDOWS\SYSTEM32\vvoyovaf.dll
O20 - Winlogon Notify: winzwr32 - C:\WINDOWS\SYSTEM32\winzwr32.dll
De 02 en 020 regels kun je verwijderen met vundofix maar die F3 en 04 regel zullen blijven terugkomen, ook al fix je ze in HJT!!!

EDIT: ik heb je link bekeken, en er staat "Removal: Difficult"

De vundo kan dan mischien wel random namen gebruiken (ook al betwijfel ik dit) Toch worden ze gedownload. Want at je zegt dat een vundo zelf die bestanden aanmaakt is compleet belachelijk. waarom zou de maker er zoiets idioot inzetten in zijn virus?

Beste Sukkeltje,

Naar mijn idee zijn wij toch wat verder gevorderd en bekend met deze infecties. Zal je misschien kunnen onderbouwen waarom je denkt dat Virtumonde geen random bestanden aanmaakt?

Uiteraard worden de infecties en de bestanden óók gedownload, maar waarom zal het geen eigen bestanden kunnen aanmaken?...

Hier het bewijs, heb ze even in het vet geplaatst voor je:

En hoe kun je daar uit afleiden dat die bestanden door de vundo zelf gemaakt zijn?
Van die hijackthis logs heb ik er genoeg gezien waar zo'n dingen in staan. En meestal zie je toch wel dezelfde namen terug.


@bendeboy: ik ontken zeker niet dat je er misschien meer afkent. Maar geef nu zelf toe. Een virus dat zichzelf maakt...Dat kan je vergelijken met een robot dat zichzelf voortplant...

Het kan goed zijn dat hij die namen random uitkiest, maar dat wil nog niet zeggen dat de inhoud ervan random is.

als je ook specialist bent waarom ben je dan zelf geen spywareslayer?

waar zeg ik dan dat ik o zo'n specialist ben?