Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   neuer Java-Virus? (https://www.trojaner-board.de/126102-neuer-java-virus.html)

KopfTischAu 24.10.2012 21:40
neuer Java-Virus?
 
-Heyhey Leute vom Trojanerboard,

ich hab gestern auf einer Website mir ne Mod für Minecraft runtergeladen, die sich in meinen Augen als Virus qualifiziert hat. Wenn man sie anklickte wurde nur ne Fehlermeldung: No Diamond given, install error. ausgegeben. Die Quelle woher ichs runtergeladen hab, wurde bereits entfernt. Hab mit CCleaner und Java Deinstallation vorübergehend alles in Griff gekriegt, und hab die Datei analysiert, und Beweise dafür, dass es ein Virus ist:

-Über den Decompiler JD-GUI hab ich erfahren, dass das Ding mit einem Obfuscator namens Allatori geschützt ist.(Ich weiss, das Decompilen eigentlich verboten ist, hier dient es ja nur zum Selbstschutz.)Diese Obfuscators schützen den Code des Programms, indem sie ihn verkrypten.

- Das Programm erstellt weitere jars im temp-Verzeichnis mit einer zufällig generierten Zeichenfolge. Auch diese sind wieder durch Allatori geschützt.

- Das Programm nistet sich auch im Autostart ein, das war auch der Grund waarum ichs gefunden hab. Offenbar kam die Java Console mit iwas nicht zurecht und spuckte einen Fehler wie: Invalid ... " Nicht genau aufgepasst.

Jedenfalls, hätte wer Intresse, das Ding weiter zu analysieren? Link poste ich nicht direkt hier, den kriegt nur bei Interesse einer des Teams.

markusg 24.10.2012 21:53
hi
lads mal hoch:
Trojaner-Board Upload Channel
und man läd nur von vertrauenswürdigen seiten, wie hersteller seiten dateien, nicht von irgendwelchen file hostern.
ps
link kannst du mir als private nachicht senden

KopfTischAu 24.10.2012 21:59
da gibts n missverständnis. Der Link zu der ursprünglichen Website ist weg, ich hab den Leuten von PlanetMinecraft schon Bescheid gesagt. Ich kann dir den mediafirelink geben, ich habs auf dort hochgelladen.

markusg 24.10.2012 22:00
ja, wie gesagt, entweder in den upload channel die datei laden, oder mir den link senden wo du das file hochgeladen hast

KopfTischAu 24.10.2012 22:02
gessagt, getan.

markusg 24.10.2012 22:06
und warum ins profil? so kann jeder drauf zugreifen und sich infizieren

KopfTischAu 24.10.2012 22:12
mein fehler, hab hier noch nie ne pn versendet :/

aber die Infos haste, oder? Srry nochmal...

markusg 24.10.2012 22:13
ich lass es löschen. schaus mir mal an


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131