Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   mow.exe neuer Trojaner/Bot (https://www.trojaner-board.de/135730-mow-exe-neuer-trojaner-bot.html)

lnewlf 29.05.2013 12:10
mow.exe neuer Trojaner/Bot
 
Hallo.

ich habe, da mir aufgrund eines privaten Mißgeschicks meine OriginalDVD von Men of War: Assault Squad Game of the Year Edition nicht mehr so recht lesbar ist eine Version aus dem Netz geholt :heilig:. Klar. Sollte man nicht tun. Folgendes mal zum Nachdenken:

Seit Installation habe ich ein Programm mow.exe, das via Registry ( 5 Keys hab ich gefunden) gestartet wird.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
HKLM\SYSTEM\ControlSet002\Control\Session Manager\AppCompatCache
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
HKU\S-1-5-21-1387222679-940549935-4087908491-1000\Software\Microsoft\Windows\CurrentVersion\Run

Das Program selbst liegt in %sys%/users/%user%/AppData/Roaming/mow
Beim Killen via Taskmanager restartet der Bildschirmtreiber. Das Programm ist dann bis zum Neustart weg.
Aufgefallen ist das ganze, als der Rechner extrem langsam wurde. Bei meinem System (Core2 E6600, 4GB, GT440, Win7 pro 32) waren es zwischen 45 und 50% CPU Leistung, die dauernd weg waren.
Auffällig ist, daß im %sys%/users/%user%/AppData/Roaming/mow eine .bin BIOS Datei der Grafikkarte liegt.

Weitere Schäden, größerer Web/Daten-Verkehr ist bisher nicht bemerkbar.

Meiner Meinung nach ein nicht ganz professionell programmierter Bot/Trojaner mit Potential und unerkannt vom Rest des Systems (Avast). Wer den Verzeichnisinhalt zur Untersuchung haben möchte, kurze Mail, habs unter Ubuntu gezipt.

Gruß Chris

schrauber 29.05.2013 12:12
Hi,

brauchst Du jetzt Hilfe beim Entfernen oder ist das nur ein Hinweisthread? Auf jeden Fall hätte ich das Spielzeug gerne :)

lnewlf 29.05.2013 18:04
Zitat:
Zitat von schrauber (Beitrag 1072848)
Hi,

brauchst Du jetzt Hilfe beim Entfernen oder ist das nur ein Hinweisthread? Auf jeden Fall hätte ich das Spielzeug gerne :)
Hallo. Nö, Ich danke für das Hilfsangebot. Ich setze den Rechner eh neu auf, so daß sich daß damit erledigen sollte. Wenn nicht, meld ich mich nochmal.
Ich wollte nur eine ev. erste Sichtung melden... vielleicht hilft es ja. :daumenhoc

cya

Hallo nochmal.

Wie meine eigenen Recherchen aufzeigen, scheint es sich tatsächlich um einen Bot zu handeln, der mit Scripten arbeitet. Auch das BIOS File ist "nur" ein Scriptfile. Scheint OpenCL zu sein. werd mal etwas näher einsteigen, falls Zeit ist.

Cya

schrauber 29.05.2013 19:08
Alles klar :)

lnewlf 29.05.2013 19:09
Ah eh ichs vergesse:

@schrauber: Schöne Grüße an die alte Heimat von ganz oben ;)

schrauber 29.05.2013 19:10
Hehe :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131