Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   BKA Trojaner Funktionsweise (https://www.trojaner-board.de/105725-bka-trojaner-funktionsweise.html)

mightym8 03.12.2011 14:48

BKA Trojaner Funktionsweise
 
Hi,

nachdem ich vor paar Tagen zum ersten mal IExplorer benutzt habe (davor nur firefox), weil ich was ausprobieren wollte und dafür für cookies die niedrigste Sicherheitstufe, also gar keine :D benutzt habe und dann noch vergessen habe alles zurückzustellen, hatte ich das Glück auch den berüchtigten BKA-Trojaner einzufangen. (Glaube zu mindest, dass es an den cookies liegt)

TLDR: Bin doof, hab den BKA-Trojaner ^^

Auf jeden Fall hab ich mich auf die Spurensuche gemacht und wollte mal nachfragen, ob jemand einen Plan hat wo er sich einnistet was er alles mach usw.
Hab dafür auch ca 30 minuten vergebens nach ähnlichen Themen gesucht.
Da meistens nur beschrieben wird wie man ihn los wird.

Aber theoretisch find ich den nicht so aufdringlich:
Nach dem Start habe ich einfach über einen beliebigen Ordner (bei mir Medienbibliothek) den explorer Manuell gestartet, da sowohl taskmgr als auch run nicht funktionieren. hab also eigentlich alle Programme über den Ordner aufgerufen. Und über alt+f4 die 2 "Warnungen" geschlossen (ka warum sich das bei mir 2 mal geöffnet hat)

So nun zum eigentlichen:
hab erstmal die Adresse ausfindig gemacht, die der IExplorer öffnet "hxxp://91.217.90.50/" d.h. die wunderschöne Seite mit Rechtschreibfehlern.
Dann die ganzen Windows ordner mit Sortierung "Änderungsdatum" durchstöbert. Hat aber nicht so viel gebracht :D
Und schließlich im Ordner "Autostart" eine sehr verdächtige Verknüpung gefunden "0.9571018951447361.exe"

Hab mir die dann mal genauer angeschaut:
- Erstelldatum stimmt mit heute überein
- Ort: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Ziel C:\Windows\System32\rundll32.exe C:\Users\***\AppData\Local\Temp\0.9571018951447361.exe,SuppS

So weiter bin ich noch nicht gekommen. Was ich jetzt noch weiter machen will:

Mit einem DisAssembler mir die .exe Datei genauer anschauen. (Mit dem Editor hat es mir nicht so viel gebracht :D)

Hab aber noch ne Frage zum Ziel, da ich micht nicht so gut mit cmd auskenne.

C:\Windows\System32\rundll32.exe C:\Users\***\AppData\Local\Temp\0.9571018951447361.exe,SuppS:
Heißt das, dass rundll32.exe den Trojaner mit dem Kommandozeilenparameter SuppS ausführt ?

P.s.
Hoffe, dass hier ein paar Antworten reinkommen.
So lange lebe ich erstmal mit dem Trojaner -.-

cosinus 03.12.2011 15:07

Zitat:

Mit einem DisAssembler mir die .exe Datei genauer anschauen.
Und das was rauskommt (angenommen da kommt was sinnvolles bei raus) kannst du auch mit was anfangen?

Zitat:

Heißt das, dass rundll32.exe den Trojaner mit dem Kommandozeilenparameter SuppS ausführt ?
Du verstehst (fremden) AssemblerCode aber solchen einfachen zusammenhänge nicht? :dummguck:

mightym8 03.12.2011 15:26

Ich habe gesat "was ich noch weiter machen will" ich hab nie behauptet, dass ich erfolgreich sein werde :D
Ich versteh nicht, warum alle immer so negativ eingestellt sind.
Ich hab vor langer Zeit mal an nem Spiel rumgebastelt. Und erfolgreich sachen umprogrammiert auch wenn es nicht all zu schwer war.
Hab früher schon mal nen disassembler benutzt. Und natürlich keinen Plan gehabt. Und ich werde nur zu 0,0000001 % im Moment damit was anfangen können. Aber ich will es wenigstens probieren und mich da einarbeiten.

Und zurück zum Kommandozeilenparameter. Ich hab gehofft, dass mir jemand genaue Info geben kann. Damit ich nicht rumsuchen muss. Klar ist es einfach, wenn man weiß wie es geht, aber wenn man das noch nie in der Schreibweise gesehen hat, ist es halt neu und man kann nichts damit anfangen.

Ich verstehe einfach nicht, dass Leute davon ausgehen, dass man alle Bereiche 100% abdeckt wenn man eine Sache aus dem Bereich kann.
Das ist wie. Wow du hast Jura auf Familienrecht studiert und kennst dich nur so schlecht mit Verkehrsrecht aus o0 ...

Larusso 03.12.2011 19:06

Zitat:

Aber ich will es wenigstens probieren und mich da einarbeiten
Zitat:

Ich hab gehofft, dass mir jemand genaue Info geben kann. Damit ich nicht rumsuchen muss.
2 Sachen die sich dezent wiedersprechen.

Da das SuppS mit nem Komma im Befehl steht, denke ich mal, dass es ein Befehl für die tolle .exe ist, was da läuft und die ist um einiges netter als der BKA.

Viel Spass beim rumversuchen ;)

mightym8 04.12.2011 10:17

Haha finde es hier echt geil. Ich komme mir vor wie bei ner Klatschzeitung, bei der Sachen total aus dem Zusammenhang gerissen werden. :D
Jetzt weiß ich wie sich manche Politiker fühlen müssen :P


Zitat:

Zitat:

Aber ich will es wenigstens probieren und mich da einarbeiten
Zitat:

Ich hab gehofft, dass mir jemand genaue Info geben kann. Damit ich nicht rumsuchen muss.
2 Sachen die sich dezent wiedersprechen.
Das erste bezieht sich auf das analysieren mit nem disassembler und das zweite bezieht sich auf den Kommandozeilenparameter .

tztztz

Shadow 04.12.2011 11:23

Du müsstest vermutlich dieses Programm erst disassemblieren, um dann die Funktion seines Befehlsparameters herauszubekommen.
Alternativ könntest du natürlich versuchen in einer echten abgeschotteten Testumgebung diese Programmdatei mal mit und mal ohne Parameter aufrufen, um zu sehen, was der Parameter bewirkt.

Und du kannst natürlich hoffen, dass jemand die Parameterfunktion (die zur exe gehört!) weiß und dir sagt. Aber wozu eigentlich?

DV-Opa 08.12.2011 19:35

Hallo mightym8,

Du schreibst:

Auf jeden Fall hab ich mich auf die Spurensuche gemacht und wollte mal nachfragen, ob jemand einen Plan hat wo er sich einnistet was er alles mach usw.
Hab dafür auch ca 30 minuten vergebens nach ähnlichen Themen gesucht.
Da meistens nur beschrieben wird wie man ihn los wird.

War selbst betroffen:

Diesen Trojaner kann man sich sowohl als ADMIN als auch als normaler Benutzer einfangen, was natürlich unterschiedliche Auswirkungen hat.

Nur wenn er Administrator-Berechtigung hat, kann er die Registry verändern, und muss explizit entfernt werden. Bei einer Infektion als normaler Benutzer genügt das Ein-/Auschalten des PC. Die unter "benutzer"/lokale Einstellungen/TEMP versteckt abgelegten Dateien braucht man dann nicht mal zu löschen.

Interessanter ist natürlich die Frage, ob z.B. Anti-Malware von Malwarebytes ihn restlos entfernt. Hierzu habe ich die negative Erfahrung, dass möglicherweise SKYPE nach einer ADMIN-Infektion unerklärliche Abbrüche beim Anmelden produziert. Vielleicht weiß dazu ein anderer mehr.

Was den Infektionsweg angeht, so könnte der über JavaSkript laufen. Beim Surfen mit Internet Explorer, heisst das, "Active Scripting" ggf. abzuschalten, um eine Reinfektion über gefährliche Links auszuschließen.

Gruß DV-Opa

cosinus 08.12.2011 21:16

Zitat:

Nur wenn er Administrator-Berechtigung hat, kann er die Registry verändern,
Das ist falsch. Du solltest den Aufbau der Registry mal genauer studieren.
Die Registry ist in Hives unterteilt und es gibt Bereiche auf die nicht-Admins auch Schreibzugriffe haben und demnach auch Änderungen durchführen können.
Solange der Schädling aber auf nur Bereiche schreiben will, auf die ein nicht-Admin kein Schreib-/Änderungsrecht hat, dann kann dieser mit Benutzerrechten ausgeführte Schädling auch nichts ändern. (es sei denn da ist privilege escalation mit im Spiel :pfeiff: )

Cnork 13.12.2011 15:53

Hey,

Ich habe mir den guten Trojaner gestern auch eingefangen, die Infektion verlief defenitiv über einen Javascript. Zu den registry veränderungen kann ich sagen das er unter dem Administrator den Taskmanager deaktiviert, weiteres ist mir nicht aufgefallen..

Was ich sonst noch zu diesem Thema gefunden habe:
hxxp://www.file.net/prozess/rundll.exe.html

Zitat:

Hinweis: Viren und andere schädliche Dateien können sich als rundll.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet. Bitte kontrollieren Sie deshalb, ob es sich bei dem Prozess rundll.exe auf Ihrem PC um einen Schädling handelt.
Meine Rundll.exe ist größer als die standart Form die byte anzahl ist nicht in den bekannten größen aufgeführt, sprich der Virus modifiziert die Rundll möglicherweise.


Bis jetzt habe ich die Verknüpfung aus dem Autostart genommen sowie aus der Registry, werde aber dran bleiben wie man weiter gegen den Virus vorgehen kann.

Gruß
Cnork

cosinus 13.12.2011 20:05

Zitat:

die Infektion verlief defenitiv über einen Javascript
"einen Javascript" :balla:
Dir ist der Unterschied zwischen Java und JavaScript bekannt?
Und woher bist du dir so sicher, dass du diese Aussage mit "definitiv" untermauerst?

Zitat:

Zu den registry veränderungen kann ich sagen das er unter dem Administrator den Taskmanager deaktiviert, weiteres ist mir nicht aufgefallen..
Na, da ist dir aber nicht viel aufgefallen bei dieser Variante die du dir "eingefangen" hast. Oder glaubst du es gibt nur eine Art von BKA-Trojaner? :confused:

Zitat:

Meine Rundll.exe ist größer als die standart Form
rundll.exe ist keine legitime Systemdatei. Meinst du nicht eher rundll32.dll? :pfeiff:

Cnork 13.12.2011 20:58

Ihr nehmt das tatsächlich sehr genau hier, entschuldigt bitte meine Ungenauigkeit.

Der Unterschied ist mir wohl bewusst und wenn meine Definitionen von Java und JavaScript nicht stimmen sollten, sind sie zumindest in sämtlichen Sachbüchern auch fälschlich definiert.
Warum ich mir sicher bin: Ich war am browsen und bin auf eine Seite gekommen auf der sich ein JavaScript befand. Dieses hat sich ganz normal geladen, dann hat es "Error" ausgegeben. Zeitgleich traten eben die Phänomene auf, die mein Vorposter geschildert hatte, die Benutzeroberfläche von Win7 (explorer.exe) hat sich beendet (und der Taskmanager wurde deaktiviert). Zu diesem Zeitpunkt war es 17:18Uhr. Als ich dann via cmd.exe meine Benutzeroberfläche wieder soweit hatte und mich nach der Ursache umgeschaut habe bin ich auf die 0.9702746935792479.exe gestoßen, letztes Änderungsdatum 18:18Uhr, ein Suchlauf mit meinem Virenprogramm hat außerdem zwei Dateien als "hochgefährliche" Malware eingestuft, beide befanden sich im Java-Cache des Webbrowsers, letzte Änderung war 18:18Uhr. Natürlich kann die Infektion trotzdem anders erfolgt sein, aber es spricht schon eine Menge dafür das es über den JavaScript dazu kam.

Nein, natürlich glaube ich nicht das es nur eine Art von dem BKA-Trojaner gibt, ich glaube nicht einmal das es überhaupt eine Art des BKA-Trojaners ist ich bin lediglich über Schlüsselwörter, nach denen ich bei Google gesucht habe und die in dem Post von mightym8 stehen, in dieses Forum gelangt.

Ja ich meine die Rundll32.exe, auch hier bitte ich meine Ungenauigkeit zu entschuldigen.

cosinus 13.12.2011 21:08

Mit welchem Browser in welcher Version (möglichst) genau warst du denn auf welcher Seite?

DV-Opa 13.12.2011 21:52

Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.

Habe den Link

hxxp://www.file.net/prozess/rundll.exe.html

verfolgt, und alles deutet daraufhin, dass der (neue, modifizierte ?) Trojaner sich in der Tat in der vergrösserten Datei rundll.exe tarnt.

Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Wenn bekannt wäre, welche Webseiten die Infektion hervorrufen, könnte man natürlich die Server der eigentlichen Abzocker ausfindig machen und diese stillegen. Es wäre also ein Riesenerfolg, hier eine künstliche Infektion quasi wie in einem Labor zu produzieren.

Was nun das Thema "Disassemblierung" angeht, will ich niemand die Hoffnung nehmen, hier erfolgreich zu sein, aber das wird verdammt schwierig !

Über den "echten" Bundestrojaners, mit dem das BKA und die LKAs Verdächtige ausspionieren wollen, habe ich gelesen, dass es hier im Umfeld der Piratenpartei gelungen ist, Bestandteile aus bekannten Trojaner-Baukästen wiederzufinden und damit zu klären, welches Potential dieser Trojaner wirklich hat.

Genau das möchten aber viele über den BKA/Ukash/Gema-Trojaner wissen !

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa

Horst Hacker 13.12.2011 22:22

Guten Abend!

Ich wollte euch mal ein paar interessante Videos zum Thema empfehlen, trägt beim einen oder anderen vielleicht ein wenig zum Verständnis bei. Ich will damit nicht zum Ausdruck bringen das man es nach Art dieser Videos selber in die Hand nehmen soll seine evtl. verseuchten Rechner selber zu bereinigen, dafür sind die Helfer hier an "Board" einfach mal die kompetenteren. (Zumindest sehe ich das für mich als N00b mal so).

Ich fand es aber sehr aufschlussreich, wie sich diese Schaddateien so in einem Windowssystem verhalten bzw wo sie sich überall in der Registry festsetzen.

Die ersten 3 Videos drehen sich um den GEMA Trojaner und in diesem youtube-Channel sind auch noch 2 Videos über den UKASHcrap zu finden. (EDIT- nach Bundespolizeitrojaner suchen )

hxxp://www.youtube.com/user/SemperVideo


Also, nix für ungut und gute Unterhaltung :blabla:

Cnork 13.12.2011 23:29

Zitat:

Zitat von cosinus (Beitrag 733674)
Mit welchem Browser in welcher Version (möglichst) genau warst du denn auf welcher Seite?

Ich benutze ausschließlich Firefox 8.0, welches genau die Seite war kann ich dir leider nicht sagen, ich habe bei Google nach Seiten zu White-Box-Frameworks gesucht, angeblich war es eine Seite mit Tutorials, als ich auf der Seite war ging alles zu schnell um sich die Adresse zu merken, ich hab das JavaScript laden gesehen, noch das „Error“ gelesen und dann war mein Benutzerinterface weg, das ganze hat ~1-2sek gedauert, der Browserverlauf war danach gelöscht.


Was die Dissamblessierung angeht hab ich bei weitem zu wenig "Knowhow" um mich problemlos in einem fremden Code zurechtzufinden, deswegen ist das hier mehr oder weniger spekulativ, was ich auf den ersten Blick interessantes gefunden habe:

-Einen DLLEntryPoint der scheinbar mit einem Timer zusammenhängt, (möglicher Bezug zum "schlafen" des Trojaners) (ist ein Export der 0.9702746935792479.exe)

-Elemente und Definitionen zum Aufbau eines Menüs dienen könnten (GetMenuItemCount. ReplyMessage etc)

-Ein Muster das für mich so Aussieht als ob es Packetdaten die an Amazon gehen sollen abfischt.

-Das Parameter „SuppS“ mit dem die Rundll32.exe gestartet wird, ist ein Export der 0.9702746935792479.exe

-Die 0.9702746935792479.exe importiert Funktionen wie GetFileAtributes, SetFileApisToOEM aus verschiedenen Biblioteken.


Wenn ihr selber mal reinschauen wollt könnt ihr euch die Dateien hier laden, seid vorsichtig damit. hxxp://www.file-upload.net/download-3951125/Virus.zip.html

Gruß
Cnork


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131