trojan Remcos

[fabulus 2]

Tak przez ostatnie minuty podejrzewałem. Po wpisaniu tego adresu 109.202.103.170 na niektórych stronach pisze "port scanner running bot through p2p networks"

 

Jaka wersja ? Mam 3.2.3.

 

Ale czy ten trojan siedzi już w systemie, czy tylko jak uruchamiam uTorrent to się próbuje łączyć ?

Edytowane 3 Kwietnia 2020 przez fabulus

[oskargrzyb 0]

Malwarebytes wykrywa że utorrent.exe łaczy się z tym IP to IP zostalo zablokowane rok temu przez nich być może teraz z niego korzysta coś innego dlatego false positive ale prewencyjnie utorrnet został usunięty..

Edytowane 3 Kwietnia 2020 przez oskargrzyb

[januzi 24]

Prawidłowe wpisy , od antywirusa Kaspersky.

 

 

 

kl = Kaspersky Lab

Dzięki za informację

[Gość]

Ja bym na waszym miejscu zainstalował i przeskanował malwarebytes (patrz post #21). Więcej nic tu nie wymyślę.

Edytowane 3 Kwietnia 2020 przez Gość

[fabulus 2]

Jakaś większa aferka powinna z tym być, nie tylko ja korzystam z utorrent na jednym z większych prywatnych trackerów w Polsce. Na stronie cisza na ten temat.

 

Przestanę go uruchamiać i zobaczymy czy tarcza Orange wykryje nowe aktywności.

 

 

Edit:

 

Mam już Kaspersky, mogę malwarebytes zainstalować ? Nie pogryzą się ?

 

Oczywiście Kaspersky wyłączę na ten czas jak by co.

Edytowane 3 Kwietnia 2020 przez fabulus

[oskargrzyb 0]

Malwarebytes nie wykrywa trojana jako takiego

wykrywa IP i tak samo robi Orange:

https://blog.malwarebytes.com/detections/109-202-103-170/

Edytowane 3 Kwietnia 2020 przez oskargrzyb

[kepa416 0]

A macie w uTorrent włączone DHT?

 

Jakaś większa aferka powinna z tym być, nie tylko ja korzystam z utorrent na jednym z większych prywatnych trackerów w Polsce. Na stronie cisza na ten temat.

 

Przestanę go uruchamiać i zobaczymy czy tarcza Orange wykryje nowe aktywności.

 

 

Edit:

 

Mam już Kaspersky, mogę malwarebytes zainstalować ? Nie pogryzą się ?

 

Oczywiście Kaspersky wyłączę na ten czas jak by co.

 

Tak tylko uważaj bo malwarebytes wrzuci Ci swojego antywirusa dodatkowo.

[fabulus 2]

@ oskargrzyb

Czyli w systemie nic nie siedzi rozumiem ?

 

@ kepa416

DHT wyłączone

Edytowane 3 Kwietnia 2020 przez fabulus

[Gość]

Tak tylko uważaj bo malwarebytes wrzuci Ci swojego antywirusa dodatkowo.

To jest antymalware (skaner na żądanie) a nie antywirus. Przez 14 dni pełna wersja (z rezydentem). Po upływie przełącza się na wersję darmową (bez osłony). Czyli można używać z antywirusem zewnętrznym Mój link.

Edytowane 3 Kwietnia 2020 przez Gość

[oskargrzyb 0]

Prawdopodobnie jest to adres trackera polish source lub jego proxy?

[kepa416 0]

Oho no ja korzystam.

[fabulus 2]

To zależy od trackera czy po prostu wystarczy włączyć uTorrent bez podłączenia do trackera ? Oczywiście DHT wyłączone, bo wtedy się coś łączy.

 

Najczęściej korzystam z polskiego prywatnego PT.

 

Ta ostatnia aktywność co tarcza Orange podaje z 17:50 to właśnie na chwilę włączyłem i łączyło z tym polskim trackerem.

Edytowane 3 Kwietnia 2020 przez fabulus

[snoopher 161]

W takim razie bardzo możliwe, bo też mam (tg oraz ps używam), ale przez qbita.

[fabulus 2]

Jakie z tego wnioski ?

 

Ja utorrent, kolega qBittorrent.

 

Różne polskie trackery.

 

Może Orange przywaliło się do p2p i straszy ?

 

Nie wiem co myśleć.

[snoopher 161]

Skończyło mi tym ich programem skanować i żadna "infekcja" nie jest tym, co mi podali: Trojan.Remcos , także ten...

 

W ogóle pierwszy raz właśnie przez to usłyszałem o czymś takim jak "tarcza Orange".

A skoro monitorują i blokują dostęp do internetu to niech sobie zablokują to IP.

 

Ogólnie olewam to i się nie przejmuję, resztę infekcji znam i jestem ich świadom

[.:blackbird:. 0]

Też mi sie to panowie zdarzyło przed 10 minutami (1:50 AM), też korzystam z Qbittorrenta (4.1.7) i tez korzystam z trackerów PS i PT,

zapobiegawczo chyba zainstaluje świeżego Windowsa i nadpisze obecny GPT zaarchiwizowaną wersją z Acronisa

 

 

 

Edytowane 4 Kwietnia 2020 przez .:blackbird:.

[fabulus 2]

Ja przez kilka dni nie będę uruchamiał żadnej aplikacji do torrentów i zobaczymy czy będzie mi nabijać aktywność w szczegółach tarczy Orange.

 

Jak na razie nowej nie widać od 17:50 a wtedy uruchomiłem uTorrent i zaczęło się z PT łączyć.

 

Jak będzie ok, to włączę sam uTorrent bez aktywnych zadań. Jak dalej będzie ok, to znaczy, że przy łączeniu z trackerem coś się dzieje. Wtedy sprawdzę jakiś publiczny zagraniczny na moment.

 

Trzeba przetestować, gdzie leży problem dokładnie.

[kmdziak 0]

Ja używam BiglyBT do torrentów więc sam program nie ma raczej nic do rzeczy, a pobieram tylko z trackerów zagranicznych i mimo to próby ataków były według cybertarczy.

Zablokowałem to IP (niby z Amsterdamu) w firewallu i w filtrach BiglyBT, po czym odpaliłem normalnie torrenty dalej do pobierania i tak chodziło pół dnia i potem całą noc, żadnego problemu nie było.

Edytowane 4 Kwietnia 2020 przez kmdziak

[Gość]

Zablokowałem to IP (niby z Amsterdamu)

 

Nie wiem czy takie coś wystarczy

 

Edytowane 4 Kwietnia 2020 przez Gość

[Elvivalarte 0]

Dzień dobry, dzisiaj też mi się wyświetliło to z tą tarczą. Informacja pojawiła się na xboxie przy próbie połączenia z siecią. Na komputerze miałem kilkukrotnie włączoną stronę tarczy w google chrome.

 

 

 

 

FRST: https://pastebin.com/3AvdfYEk

Addition: https://pastebin.com/PCEtAZCE

Shortcut: https://pastebin.com/sUP73wxs

[Gość]

FRST: https://pastebin.com/3AvdfYEk

Addition: https://pastebin.com/PCEtAZCE

Shortcut: https://pastebin.com/sUP73wxs

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

FirewallRules: [{89149CF0-A675-4A5F-BCCC-CB53011722C2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{A290CFFF-1F1F-4205-B7D0-AB0FEA5DABBB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [TCP Query User{5434CA12-4EFD-494F-BF77-80E2F97157C6}D:\steamlibrary\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steamlibrary\steamapps\common\paladins\binaries\win64\paladins.exe Brak pliku

FirewallRules: [uDP Query User{B07EED46-AB34-49F4-89D3-3F7A4A716771}D:\steamlibrary\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steamlibrary\steamapps\common\paladins\binaries\win64\paladins.exe Brak pliku

FirewallRules: [TCP Query User{078E257A-DB39-42F4-8ED3-0EC5BE549F77}C:\users\elvivalarte\appdata\local\programs\opera\66.0.3515.27\opera.exe] => (Allow) C:\users\elvivalarte\appdata\local\programs\opera\66.0.3515.27\opera.exe Brak pliku

FirewallRules: [uDP Query User{0742C123-F15F-459F-BD09-C94A7E0024C9}C:\users\elvivalarte\appdata\local\programs\opera\66.0.3515.27\opera.exe] => (Allow) C:\users\elvivalarte\appdata\local\programs\opera\66.0.3515.27\opera.exe Brak pliku

FirewallRules: [{E73D8314-F2BA-449A-BFCA-592C8A1B9FF4}] => (Allow) %systemroot%\system32\alg.exe Brak pliku

IFEO\osppsvc.exe: [Debugger] rundll32.exe SppExtComObjHook.dll,PatcherMain

IFEO\SppExtComObj.exe: [Debugger] rundll32.exe SppExtComObjHook.dll,PatcherMain

ProxyServer: [s-1-5-21-2578845437-3783334037-220345642-1001] => 117.55.209.126:8081

RemoveProxy:

S3 cpuz149; \??\C:\Windows\temp\cpuz149\cpuz149_x64.sys [X]

EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane 4 Kwietnia 2020 przez Gość

[snoopher 161]

Na to wychodzi, mam ten sam.

 

Wyświetl szczegóły techniczne

Liczba zaobserwowanych incydentów: 1836

Data i godzina zaobserwowania pierwszej aktywności: 2020-03-19 11:59:12

Data i godzina zaobserwowania ostatniej aktywności: 2020-04-03 20:24:30

• Protokół sieciowy: TCP

• Źródłowy adres IP: 83.24...

• Źródłowy port: 55769

• Docelowy adres IP: 109.202.103.170

• Docelowy port: 62042

• Protokół aplikacyjny: none

[kalumnia 0]

To samo.

 

Data i godzina zaobserwowania ostatniej aktywności: 2020-04-03, 21:23:54

[length: 1379]

Wyświetl szczegóły techniczne

Liczba zaobserwowanych incydentów: 106

Data i godzina zaobserwowania pierwszej aktywności: 2020-03-19 23:17:44

Data i godzina zaobserwowania ostatniej aktywności: 2020-04-03 21:23:54

• Protokół sieciowy: TCP

• Źródłowy adres IP: [...]

• Źródłowy port: 35309

• Docelowy adres IP: 109.232.227.138

• Docelowy port: 51413

• Protokół aplikacyjny: none

 

Moim zdaniem reguła dotyczy całego zakresu IP przyporządkowanego dla AirVPN.org. Ja wyciąłem w kliencie torre całą Holandię: https://www.iblocklist.com/list?list=nl

Zobaczymy czy pomoże. W trojana nie wierzę. Za to reguła tej "tarczy" jest beznadziejna: różne porty wejściowe, wyjściowe.. z opisanych tu przypadków zgadza się jedynie podsieć docelowa.

Swoją drogą, nie wiedziałem, że Orange tak analizuje cały ruch

Edytowane 4 Kwietnia 2020 przez kalumnia

[user9822 0]

może na tych samych adresach IP działają klienty sieci Torrent (albo tracker?) oraz hosty Remcosa.

nasze klienty torrent łącząć się z tymi adresami IP powodują zakwalifikowanie nas jako zarażonych.

w dodatku, do reguły wykrywającej Remcosa mogły zostać wrzucone jakieś większe zakresy adresów IP, co jeszcze tym bardziej powoduje powstawanie fałszywych alarmów.

 

podejrzewam na podstawie tego wątku, że wszystko co nas łączy to korzystanie z torrentów.

 

przyjrzałem się swojemu ruchowi i rzeczywiście na podany adres IP łączy się moja Linuxowa (więc raczej RemCos odpada) maszynka, na której jest klient torrenta.

Edytowane 4 Kwietnia 2020 przez user9822

[jot89 0]

dzień dobry! miałam podobną sytuację w piątek: komunikat cybertarczy o wirusie remcos...pierwsze co pomyślałam o torrentach(forum ps) i odinstalowalam qtorrent...przeskanowałam komputer- nic nie znalazło...pierwszy atak nastąpił 21 marca ostatni 3.04 standardowo atakujące ip jak u was 109.202.103.170, dziś po godzinie 12 jeszcze raz zeskanowałam sieć na cert.orange i pokazuje mi, że nie wykryto żadnych zagrożeń od 3 dni