Hallo,

ist es möglich die Funktion einer Schadsoftware in Erfahrung zu bringen? Ich fürchte ich habe mir bei einer kleinen Dummheit gestern einen solche Software installiert. Der Kaspersky identifizierte das Programm als trojan.win32.autoit.yp.

Das Programm hinterlegte im AppData/Local/Temp Ordner eine Exe mit dem Namen botsurf.exe.

Da ich den Virenscanner vorgestern kurzzeitig wegen einem Problem deinstalliert hatte konnte mich dieser auch nicht warnen. Ich hatte die botsurf.exe im Process Explorer erst spät gesehen, da ich gestern weg musste. Das Programm lief also rund 10 Stunden ehe ich es heute morgen entdeckte.

Natürlich habe ich sofort alle Maßnahmen ergriffen, Internet getrennt, Systemwiederherstellung, Regclean im abgesicherten Modus und den Kaspersky vollständig die Platte scannen lassen.

Jetzt bleibt die Frage was das Programm in den 10 Stunden gemacht hat, als es lief?

Die Datei habe ich hochgeladen, umbenannt in eine harmlose txt.

*****

Hallo,

den aktiven Link solltest du bitte unbedingt wieder entfernen. Du kannst eine Stunde nach Absenden eines Beitrags diesen editieren.

Virustotal. MD5: 816d1f846da45fec070b41494bd983fd Backdoor.Bifrose Heuristic.BehavesLike.Win32.Trojan.J Dropped:Trojan.Generic.1649775
Hier siehst du, dass der Trojaner auch als Backdoor (Bifrose/Poison) erkannt wird. In diesem Fall kann, wenn du ihn installiert hast und dein Rechner 10 Stunden unbeaufsichtigt online war, von außen auf ihn zugegriffen worden sein und können Datenveränderungen vorgenommen worden sein, die nicht mehr nachvollzogen werden können.

Man kann eine Bereinigung versuchen (zeitintensiv und ohne Erfolgsgarantie), sollte aber neu installieren. Wie möchtest du vorgehen?




edit:

Das sagt Norman:

Zitat:

trojan.win32.autoit.yp.exe : INFECTED with W32/Packed_FSG (Signature: Agent)


[ DetectionInfo ]
* Filename: C:\analyzer\scan\trojan.win32.autoit.yp.exe.
* Sandbox name: W32/Packed_FSG.D.dropper.
* Signature name: Agent.KHKI.
* Compressed: NO.
* TLS hooks: NO.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.

[ General information ]
* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 619886 bytes.
* MD5 hash: 816d1f846da45fec070b41494bd983fd.
* SHA1 hash: 9ec8cbaa4ac947fae950248d82c92135ce2e6e74.

[ Changes to filesystem ]
* Creates directory C:.
* Creates directory C:\WINDOWS.
* Creates directory C:\WINDOWS\TEMP.
* Creates directory C:\WINDOWS\TEMP\.
* Creates file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp.
* Deletes file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.
* Creates file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.
* Deletes file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp.

[ Process/window information ]
* Creates process "DVDXCloneDVDKeygen.exe".
* Creates a window with name "NULL".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp (211207 bytes) : no signature detection.
* C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe (211177 bytes) : W32/Packed_FSG.D.



(C) 2004-2009 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

Die Datei ist umbenannt ja harmlos. Erst wenn man sie ausführt kann der Schadcode aktiv werden.

Eine Neuinstallation hatte ich schon bedacht, ich werde wohl zunächst den Disassembler nutzen und mir das Programm näher ansehen.

Bleibe von Keygens weg, Software klauen wird hier nicht unterstützt.

Zitat:

Zitat von Heike

Bleibe von Keygens weg, Software klauen wird hier nicht unterstützt.

1. Ich bewege mich nie auf Warez-Seiten, so dass ich auch i.d.R. keine KeyGens nutze mit dem Ziel "Software zu klauen". Insbesondere deshalb nicht, weil ich mir der Gefahr bewußt bin, die von KeyGens ausgeht.

2. Die Verkettung von Umständen, auf die ich hier nicht näher eingehen will, weil sie am Sachverhalt nichts mehr ändern, führte letztlich dazu das ich die besagte Software unbedacht startete und mir so das erste Schadprogramm seit über 10 Jahren einhandelte.

3. Ich werde das System neu installieren und die Gelegenheit nutzen auf Windows 7 und 64-Bit umzusteigen.

Zitat:

Zitat von Franz1968

Hier siehst du, dass der Trojaner auch als Backdoor (Bifrose/Poison) erkannt wird. In diesem Fall kann, wenn du ihn installiert hast und dein Rechner 10 Stunden unbeaufsichtigt online war, von außen auf ihn zugegriffen worden sein und können Datenveränderungen vorgenommen worden sein, die nicht mehr nachvollzogen werden können.

Man kann eine Bereinigung versuchen (zeitintensiv und ohne Erfolgsgarantie), sollte aber neu installieren. Wie möchtest du vorgehen?

Neu installieren ist die sichere Alternative. Ich muss dazu aber sagen das die EXE nicht vollständigen Zugriff erhalten hatte, da sie nicht mit Administratorrechten ausgeführt worden ist.

Demzufolge kann das Programm keine Manipulationen im Windows Ordner durchgeführt haben. Deshalb hat sich die gepackte EXE mit dem Namen botsurf.exe auch in den lokalen AppData Ordner des Nutzers kopiert.

Wie dem auch sei, an der Registry wurde herumgespielt und das ist schon Grund genug, neu zu installieren, wenngleich die Systemwiederherstellung einen Rollback durchgeführt hat. Die Frage die natürlich bleibt ist, konnte das Programm eine Socketverbindung herstellen und Daten transferieren. Ich werde das überprüfen, kurz bevor ich die Systemfestplatte formatiere.

Bei mir hat sie das getan. Da hat dir jemand einen Backdoorserver an den Keygen geklebt.

Zitat:

Zitat von KarlKarl

Bei mir hat sie das getan. Da hat dir jemand einen Backdoorserver an den Keygen geklebt.

Also, ich hab die EXE nunmal näher untersucht.

Der Keygen hat in der Tat ein mit UPX eingebettetes zweites Programm, das bei Ausführung des Keygen entpackt wird.

Diese Schadsoftware ist die genannte bootsurf.exe, bei der es sich tatsächlich um einen Backdoor Server handelt, der über einige Befehle auch von außen gesteuert werden kann.

Fakt ist aber, das Programm konnte nicht die Registry verändern, um dort beispielsweise einen Autostarteintrag zu hinterlegen. Dazu hatte es nicht die Berechtigung, weil es bei mir unter Vista nicht unter Administratorrechten ausgeführt wurde.

Nach einem Neustart ist das Programm somit inaktiv, weil es nicht gestartet wird. Schade das ich den Rechner nicht unmittelbar heruntergefahren habe, als ich weg musste.

Diese botsurf.exe lässt sich über den Taskmanager nicht beenden. Allerdings konnte ich mit Wireshark keine Aktivität auf den Netzwerkschnittstellen feststellen. Das mag eventuell auch an den eingeschränkten Rechten liegen.

Ich habe mir die Freiheit genommen das Dissambling Listing hier hochzuladen. So kann sich jeder selbst ansehen, was das Programm tut.

http://rapidshare.com/files/366383757/botsurf.zip.html