header wwb

Totaal bezoekers:
Totaal pagevieuws:
Online bezoekers:		  
 
 		  


 maak van deze website uw startpagina !
WorldwideBase
 Alle wwbase pagina's

 

LOP.com Domain Hijacks

 

Terug naar computer klik hier

  
017 - LOP.com Domain Hijacks
Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen.
Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.
 
Code       Uitleg
O17        LOP.com Domain Hijacks
 
Hoe ziet dit eruit:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
 
Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.
 
 
O18 - Extra Protocollen en Protocol Hijackers
De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet.
Hijackthis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.
Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen.
 
Code     Uitleg
O18       Extra protocollen en protocol hijackers
 
Hoe ziet dit eruit:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
 
Slechts een paar hijackers treden hier op. De gekende slechteriken zijn:
  • cn (CommonName)
  • ayb (Lop.com)
  • relatedlinks (Huntbar)
Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. Hijackthis verwijdert niet de registersleutel en niet het bijbehorende bestand.
Meer info vind je hier.
 
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\        
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID       
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler       
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
 
 
019 - User Style sheet hijack
Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.
De standaard style sheet wordt door de hijacker overschreven.
 
Code     Uitleg
O19       User style sheet hijack
 
Hoe ziet dit eruit:
O19 - User style sheet: c:\WINDOWS\Java\my.css
 
Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.
Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.
Download CWShredder.
HijackThis verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
 
 
020 - AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify
De waarden die vermeld worden in de registersleutel AppInit_DLLs worden geladen wanneer user32.dll geladen wordt. De meeste uitvoerbare windowsbestanden (exe's) maken gebruik van user32.dll. Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden.
De bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen tot de gebruiker weer uitlogt.
 
Code     Uitleg
O20      AppInit_DLLs Register waarde: automatisch startend
O20      Sleutels onder Winlogon\Notify
 
Hoe ziet dit eruit:
O20 - AppInit_DLLs: msconfd.dll
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\f40o0ed3eh0.dll
 
AppInit_DLLs: Een paar legitieme programma's maken er gebruik van (Norton CleanSweep gebruikt APITRAP.DLL), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch).
De DLL bestanden die hier vermeld worden bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden.
De bestanden zijn niet zichtbaar via Windows verkenner.
Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd.
Meer info vind je hier.
 
Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll zijn:
  • crypt32chain   (c:\windows\system32\crypt32.dll)
  • cryptnet   (c:\windows\system32\cryptnet.dll
  • cscdll   (c:\windows\system32\cscdll.dll)
  • ScCertProp   (c:\windows\system32\wlnotify.dll)
  • Schedule   (c:\windows\system32\wlnotify.dll)
  • Sclgntfy   (c:\windows\system32\sclgntfy.dll)
  • SensLogn   (c:\windows\system32\WlNotify.dll)
  • Termsrv   (c:\windows\system32\wlnotify.dll
  • wlballoon   (c:\windows\system32\wlnotify.dll)
HijackThis verwijdert de registersleutel, maar niet het bijbehorende bestand.
Een infectie die gebruik maakt van deze methode is VX2.
Niet alle sleutels die onder Notify verschijnen zijn kwaadaardig.
 
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
 
  		  

Terug naar computer klik hier

  

Footer worldwidebase