Guten Tag Community,

Hab mir mal aus einem Forum den Pony 1.9 Stealer heruntergeladen. und diesen habe ich dann per Sandboxie ausgeführt (PonyBuilder.exe). Die PonyBuilder.exe ging, kommte damit Builden etc. Jedoch wollte ich es heute Abend genauer angucken, weil ich weg musste. Aber seitdem kommt jede 2 Minute auf meinen Desktop eine Fehlermeldung, die mir besagt:

"basecsp reagiert nicht, warten auf rückmeldung"

Naja, habe mir anfangs nichts dabei gedacht, jedoch war es schon komisch weil die basecsp.exe garnicht in dem Ponyordner (bzw. sie generell bei keinem Ordner) dabei war.



Das war der Ordner & noch das Webpanel. Davon hab ich nur die PonyBuilder.exe per Sandboxie gestartet.

Also, habe ich dann noch ein komischen Pfad gefunden, mit "upd.exe" & "Pony.exe" -> beide haben so ziemlich identische Icons. Doch als ich bei denen beide auf "Eigenschaften" gedrückt habe stand noch das die irgendwie mit der basecsp.exe verknüpft sind. Jedoch habe ich die beide Dateien nicht gestartet, lediglich nur die Ponybuilder.exe. Ich weiß jetzt nicht ob die Ponybuilder.exe 'nen RAT ist (obwohl die funktioniert hat) Vielleicht könnt ihr mir mehr sagen.




Naja, das irritiert mich alles ein bisschen. Vielleicht findet ihr ja etwas. Deswegen das Thema "RAT Überprüfung" :/
Zudem muss noch gesagt werden: Ich habe mich noch nie richtig mit Malware/RAT's/Stealer" befasst, deswegen bin ich in dem Bereich der absolute Anfänger. Jedoch Interessiert es mich, weswegen ich mir alles genauer anschauen will.

Und ich muss noch dazu sagen, dass bei dem Forum wo ich es heruntergeladen habe, nur Positive Feedbacks waren, bzw keiner sich Beschwert hat. Was mich recht wundert.

€: Hab durch anderen Foren mitbekommen das es tatsächlich ein RAT ist.

Pony.exe:
- Hook in svchost.exe
- Autorun
- VT 39/57 https://www.virustotal.com/de/file/368685ecaf854ee3194c63a87df8bdc7bb90e329f29f566ce01d5665b8a972cd/analysis/1424368245/
- stellt eine Verbindung zu darkbyte.serveftp.com her -> 204.95.99.109


upd.exe:
- stellt eine Verbindung zu 46.246.87.92, 66.171.248.172, 5.135.127.68 her
- sammelt Daten (u.a. Passwoerter vom IE)
- droppt 6 verschiedene Dateien (pidloc.txt, wbemprox.log, holderwb.txt, pid.txt, holdermail.txt, rsaenh.dll)
-> letztere dient der Verschluesselung
- Autorun
- VT 39/57 https://www.virustotal.com/de/file/d91a4b5d512a6d591cd0a116e671f5d7748a9739ff0b7c8a95e0ea1d1c0cda10/analysis/1424368224/

Zudem die Analyse von der Ponybuilder.exe:
https://anubis.iseclab.org/?action=result&task_id=1bf848ff65edf1d14714fc389a4d9f2ff&format=html

So, jetzt ist es wohl bestätigt. Wie gehe ich nun am besten vor?
Paar Informationen: Dieses Programm habe ich gestern um 18:00 hochgeladen.
Ich will keine Neuinstallation durchführen.

Währe ein Backup möglich? (Vor das starten des RAT's)


Downloadlink: uploaded.net/file/zn8rrrz8

Hi und ,

da du keine Neuinstallation machen willst, kann ich dir nur empfehlen Folgendes zu lesen:

Anleitung für Hilfesuchende bei Trojaner- und Virenbefall

Und danach dementsprechen ein Thread hier:

Log-Analyse und Auswertung

oder hier:

Plagegeister aller Art und deren Bekämpfung

zu eröffnen.

Das ist offenbar meistens höchst-günstig, sich Skid-Kram herunter zu laden und aber keinen Plan von nichts zu haben und unfähig sein, die Suppe nachher selber wieder auszulöffeln.
Die Helfer auf dem TB werden sich wohl schon mindestens 0.3%ig fragen..wtf?

Grüsse - Microwave

@kuhlambo12 danke, werde ich mir mal anschauen.

@Microwave anscheinend hast du mein thread nicht gelesen, da stand das ich mich mit der Sache nie befasst habe, aber ich es interessant finde, weswegen ich mal etwas testen wollte.

@ All:

Wäre ein backup möglich? zB das ich mein System 2 tage zurücksetze, wo ich noch nichts ausgeführt habe?

Zitat:

Wäre ein backup möglich? zB das ich mein System 2 tage zurücksetze, wo ich noch nichts ausgeführt habe?

Wie soll das denn gehen...du kannst nicht von einem Zustand ein Backup machen, wenn es diesen Zustand nicht mehr gibt

Es muss doch möglich sein, dass man von den PC ein Backup aufspielen kann.

Natürlich geht das. Wenn du ein komplettes Backup-Image erstellt hast, bevor das RAT ausgeführt wurde...

Wenn nicht, bleibt dir Neuinstallation oder Bereinigung...dazu wurde dir was gepostet

Sorry, falsch ausgedrückt, ich meinte eher eine Systemwiederherstellung.
RAT vor 1 Tag installiert, Systemwiederherstellung vor 2 tagen draufhauen. -> Würde theoretisch gehen oder?

Ich fürchte dafür ist die SWH zu unsicher bzw nicht geeignet. Wenn du wirklich einen Zustand von Tag X wiederhaben willst, dann hätte man an diesem Tag X ein komplettes Image erstellen müssen...

Probieren kannst es natürlich, ich würde dir aber lieber das empfehlen, was Kuhlambo schon als erstes empfahl: Lesen von http://www.trojaner-board.de/69886-a...-beachten.html und anschließend ein neues Thema in Log-Analyse und Auswertung - Trojaner-Board eröffnen