Ga naar inhoud
  • 0

Dorifel-IP-adres blokkeren?


Anoniem2

Vraag

Volgens krantenberichten zou je de IP-adressen moeten blokkeren die geassocieerd worden met het Dorifel-virus. Is dat een zaak voor je provider of moet je dat zelf doen? En zo ja: hoe dan?\r\n\r\n[url]http://www.rtl.nl/components/actueel/rtlnieuws/2012/08_augustus/09/binnenland/hoe_voorkom_ik_dat_ik_wordt_getroffen_door_het_Dorifel_virus.xml[/url]\r\n\r\n[url]http://www.nrc.nl/nieuws/2012/08/12/onderzoek-dorifel-virus-verzamelt-bankgegevens-tienduizenden-besmet/[/url]
Link naar reactie

16 antwoorden op deze vraag

Aanbevolen berichten

  • 0
Om het te blokkeren ga dan naar dit bestand:\nC:\\Windows\\System32\\drivers\\etc\\hosts\nRechtsklik eigenschappen, zet alleen lezen uit.\nVerwijder hostsbackup bestanden.\nOpen hosts met kladblok en voeg deze regels toe helemaal onderaan:\n\n# Manual virus block (XDocCrypt/Dorifel)\n127.0.0.1 184.82.162.163\n127.0.0.1 184.22.103.202\n127.0.0.1 158.255.211.28\n127.0.0.1 184.82.107.86\n127.0.0.1 bank-auth.org\n# End of manual virus block\n\nNu wordt, als je dit ip adres bezoekt je automatisch omgeleid naar je pc zelf. In andere woorden: het is onmogelijk om het bestand te downloaden via die ip-adressen.
Link naar reactie
  • 0
Dit kun je ook in je firewall doen. Maar jullie zijn er wat laat mee, inmiddels hebben de landelijke ISP\'s al de beruchte ip adressen geblokkeerd.\r\nHet bericht van RTL is dan ook van 9 augustus, het andere bericht van gisteren maar dus feitelijk veel te laat. Zelf blokkeren is derhalve niet meer nodig.\r\nDaarnaast werden alleen pc\'s geinfecteerd die al besmet waren en zich in het Citadel botnet bevonden.
Link naar reactie
  • 0
Ik pas mijn uitspraak aan.\r\nHet blijkt toch nog handig te zijn om te blokkeren. In het nieuws werd gemeld dat de twee meest gebruikte ip\'s door de landelijke ISP\'s geblokkeerd waren. Maar er blijken nieuwe te zijn opgedoken, lees ook dit:\r\n[url]http://webwereld.nl/analyse/111452/de-code-van-dorifel-nader-bekeken.html[/url]\r\n\r\nHieruit blijkt ook dat er nog controle gedaan kan worden, wijzigingen kunnen worden aangebracht etc. Dus het blokkeren kan wel, maar zolang niet ook het in dit artikel genoemde gamersaccount geblokkeerd is, kan er steeds iets gewijzigd worden. En dan is nog niet duidelijk of dit het enige is wat wijzigingen kan aanbrengen.\r\nHet beste is dus eigenlijk om de server te vinden die de trojan verspreid en bestuurd en deze offline te halen. Dat zal nog wel even duren.
Link naar reactie
  • 0
Ik heb de blocklist geüpdate:\n\n# Manual virus block (XDocCrypt/Dorifel)\n127.0.0.1 184.82.162.163\n127.0.0.1 184.22.103.202\n127.0.0.1 158.255.211.28\n127.0.0.1 184.82.107.86\n127.0.0.1 bank-auth.org\n127.0.0.1 reslove-dns.com\n# End of manual virus block\n\n@BlackTiger: Hoe je het in je firewall doet weet ik niet, maar dit is de meest doeltreffende, doch simpele oplossing.\nAls je het zou kunnen uitleggen zou ik dat zeer appreciëren, voor nu en voor een volgende keer. Ik weet dat je een nieuwe Rule moet aanmaken bij Inbound Rules of Connection Security Rules, maar dan...
Link naar reactie
  • 0
[QUOTE=hejonibema;619772]Het klinkt best ingewikkeld maar is het niet zo dat zodra er nieuwe info is over die ip\'s dat de providers die ip\'s dan al blokkeren en ik dat niet meer hoef te doen?[/QUOTE]\r\n\r\nUiteindelijk wel, maar dat kan even duren. Het is niet gewoon een tekstbestandje aanpassen bij isp\'s. Tot die tijd is dit een goede oplossing. Bovendien, dubbel zo veilig, en de ip\'s in je hosts file laten staan kan geen kwaad.
Link naar reactie
  • 0
Ik las vandaag in de krant dat de servers achter die IP\'s off-line zijn gehaald, zodat je je daar niet meer zo druk over hoeft te maken. Wel wordt er gewaarschuwd dat er waarschijnlijk nog andere servers, met andere IP\'s dit botnet ook draaien. Het wordt intussen wel goed in de gaten gehouden, dus zal het niet zo makkelijk zijn voor de \'beheerders\' om die te activeren zonder dat dat wordt gezien.\nEen goede up to date real-time malware scanner zou dit intussen moeten herkennen en blokkeren.
Link naar reactie
  • 0
Hoe kom je daarbij ctrlaltdelete?\r\n\r\nNatuurlijk is blocklist van je firewall of router beter, maar het hosts wordt voor zover mij bekend net als vroeger nog steeds gebruikt, ook door programma\'s. Die tips kom je ook nog overal op internet tegen.\r\nFirefox is overigens een van de programma\'s die geen gebruik maakt van het hosts bestand.\r\n\r\n@Jeroentje: het hosts bestand is niet het meest doeltreffende omdat het indien nodig omgaan kan worden, als Firefox het kan, dan kan andere software het ook.\r\nHoe je de ip\'s in je Firewall blokkeert is afhankelijk van welke firewall je gebruikt.\r\nMet de windows firewall zag ik zo vlug geen mogelijkheid om te blokkeren.
Link naar reactie
  • 0
BlackTiger,\n\nhet hosts bestand wordt alleen gebruikt om een IP adres aan een domeinnaam te koppelen. Niet om een IP adres aan een IP adres te koppelen.\n\nProbeer \'t zelf maar met een onschuldig IP adres als 173.194.79.94 (Google)\n\nOok blokkeert het Hosts bestand geen inkomende verbindingen, een IP blocklist van een router of firewall doet dat wel.
Link naar reactie
  • 0
Phuuuuuu da\'s dom van me, dan werken alleen die laatste twee. Oef dat was echt stom van me dat ik daar niet meer aan gedacht heb.:-$:-$\r\n\r\nHet blokkeert zeker ook geen inkomende verbindingen maar dat heb ik ook niet gezegd, alleen uitgaande. Als je alleen de windows firewall hebt, is het tenminste beter als niets.\r\n\r\nWat ik me eigenlijk afvraag (heb ik nooit getest) of je het toch zou kunnen doen, maar dan andersom. Bijvoorbeeld als volgt.\r\nEerste regel is bijv.\r\n127.0.0.1 localhost.localdomain\r\nAls je nu als tweede regel zou zetten:\r\n184.82.162.163 localhost.localdomain\r\nzou het dan ook niet werken? Dan koppel je het namelijk wel aan een hostnaam, ik heb het echter nog niet op die manier geprobeerd moet ik eerlijk zeggen. En volgens mij moet je pc of het netwerk herstarten om die hostfile opnieuw geladen te krijgen. Het is alweer zolang dat ik daarmee gewerkt heb.
Link naar reactie
  • 0
BlackTiger,\n \nHet lijkt mij niet wenselijk om het andersom te proberen. Ik gebruik ook wel eens proxy\'s voor allerlei dingen en geef vaak \'localhost\' op in die instellingen. Wanneer ik dat heb ingevuld wordt er verbinding gemaakt met 127.0.0.1\n \nOngetwijfeld zal ook veel software \'localhost\' in de code hebben staan en het lijkt mij niet prettig wanneer die verbindingen dan niet met 127.0.0.1 worden gemaakt, maar met een IP adres dat je juist wilde blokkeren.\n \nEn wanneer een programma verbinding wil maken met 184.82.162.163 dan wordt het hosts bestandje niet geraadpleegd.
Link naar reactie
  • 0
Windows Firewall is volgens mij gewoon 1 stukje software wat op alle windows versies vanaf XP draait, ik heb in elk geval nog niet zoveel verschil kunnen ontdekken tussen Windows 7 en Windows XP wat de firewall betreft.\r\nIn elk geval in XP heb ik geen optie kunnen vinden om bepaalde ip adressen inkomend of uitgaand te blokkeren. Standaard zou de windows firewall alle inkomende verkeer moeten blokkeren behalve wat in de lijst staat. We weten echter allemaal dat dit niet zo geweldig functioneert als Microsoft doet voor komen.\r\n\r\nAls jij een optie hebt gevonden om specifieke ip adressen te blokkeren horen we dat graag. Kan best dat ik er overheen gekeken heb.
Link naar reactie
  • 0
Neem een firewall met een goede HIPS (Programmabewaking). Dan hoef je je ook niet zo druk te maken om het blokkeren van die IP adressen.\nDie IP adressen moet je blokkeren wanneer je systeem al geïnfecteerd is. Anders heeft het niet zoveel zin. Wanneer je een firewall met een goede HIPS gebruikt, zou je al worden gewaarschuwd wanneer zo\'n geïnfecteerd \'document\' wordt geopend. En wordt je nogmaals gewaarschuwd wanneer dat \'document\' andere documenten wil wijzigen of wanneer dat \'document\' de inhoud van andere mappen wil opvragen.\n\nZelf gebruik en test ik al jaren [URL=\"http://www.online-armor-firewall.nl/\"]Online Armor firewall[/URL] (Premium) en die voldoet prima.
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Antwoord op deze vraag...

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...