| |
| |||||||
Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
 |
| |
01.04.2016, 12:36
| #1 | |
 |  Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Es reicht aus ein hoher Beamter, ein Ingenieure, ein Techniker bei einem sicherheitsrelevanten Unternehmen zu sein oder man ist ein Dschihadist. Ein Szenario: Max Mustermann hat nach der Schule eine Ausbildung bei Rheinmetall gemacht. Auf einer Messe trifft er die hübsche Asiatin Hanna. Hanna ist traurig  , ihr Laptop sei kaputt gegangen und sie müsse wichtige Dokumente nochmal bearbeiten und dann unbedingt drucken. Ganz verzaubert von Hanna steckt Max Mustermann den USB Stick von Hanna in den Firmenlaptop und öffnet die Dokumente.Drei Knutscher später  wählt sich Max Mustermann via VPN ins Interne Firmenetz ein Geändert von laxxal (01.04.2016 um 12:41 Uhr) |
|
01.04.2016, 12:41
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert MaxMustermann hat natürlich auch volle Adminrechte und weil man bei $bigCompany noch nie was von Gruppenrichtlinien und Security gehört hat gibt es auch keine aktiven Software Restriction Policies
__________________
__________________ |
|
01.04.2016, 14:07
| #3 | ||
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Zitat:
So ganz nebenbei ist das hier aber ein vermutetes Bootkit, was erstmal nur auf Max Mustermanns Rechner haust, der MBR vom AD-Server ist in weiter Ferne. Moeglicherweise ist ueber das VPN aber gar nur ein Webinterface erreichbar. Also muss das Boot/Rootkit furchtbar leise sein, denn es weiss nicht, welche (Netzwerk)aktivitaeten ueberwacht werden. Es sollte sich am besten nur auf den lokalen Rechner beschraenken. Aber dann wird es mit dem Verbreiten bloed. Oder wir kommen wieder auf die maszgeschneiderte Loesung zurueck, aber da schliesst sich der Kreis wieder (Aufwand/Nutzen). Lohnt es sich, hunderte oder gar tausende von Mannstunden fuer ein paar Euro vom Paypalkonto und ein paar Dokumente eines Mitarbeiters, der keine streng ueberwachten Informationen bearbeitet, aufzuwenden? Wenn das so ist, dann tausche ich freiwillig meine Tabelle mit den Heizkosten gegen ein Exemplar solch ausgefeilter Malware. Schon aus Neugier. Ich lege auch noch freiwillig ein paar Screenshots drauf. Malware zu schreiben ist einfach, erfolgreiche Malware zu schreiben ist schon schwieriger, aber langfristig verbreitete Malware zu schreiben ist ein Vollzeit-Job. Denn es ist ziemlich ungewoehnlich, dass sich ein Impressum in der Malware befindet, wo dann auch Supportadressen zu finden sind, falls die Malware mal nicht wie erwartet funktioniert. Ob man Dschihadisten mit Cyberwaffen ausstatten sollte, bleibt fraglich. |
|
01.04.2016, 14:40
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Joar, das kommt noch hinzu. Selbst wenn Max über VPN drin ist ist die Frage was die malware denn nun da machen soll ohne aufzufallen. Mal abgesehen davon, dass die liebe Hanna ja nur "normale" malware auf das Notebook gebracht hat und keine magic malware wie DennisSteins die
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.04.2016, 18:36
| #5 | |
| /// the machine /// TB-Ausbilder  | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
01.04.2016, 19:20
| #6 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert @dennissteins Ich habe nochmal deine Posts angeschaut, mein dringlichster Rat ist, nicht mehr als Administrator zu arbeiten ausser es ist notwendig, wenn Du Adminrechte brauchst, dann nutze einfach "Ausfuehren als". Manchmal ist der Umweg ueber einen Rechtsklick auf das Symbol in der Taskleiste notwendig aber es ist fast alles machbar. Zum anderen wuerde ich mal Sysinternals ProcessExplorer benutzen. Mark Russinovich hat eine tolle Anleitung (auf Englisch) in https://www.youtube.com/watch?v=Wuy_Pm3KaV8&ebc . Genial ist die Moeglichkeit, die Signaturen ueberpruefen zu lassen und in der Uebersicht anzeigen zu lassen. Ebenfalls genial finde ich die Farbcodes. |
|
02.04.2016, 19:45
| #7 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Process Hacker >> Process Explorer (imho) Grüsse - Microwave |
|
03.04.2016, 16:17
| #8 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert @Microwave, Cool, habe ich schon seit Jahren nicht mehr angeschaut, hat sich zu einem netten Spielzeug entwickelt. |
|
04.04.2016, 00:42
| #9 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Yep, und ist dank seines fähigen Kerneltreibers auch nicht zimperlich mit bockigen Prozessen Ich weiss nicht, ob das normal ist, aber bei mir läuft das Ding immer aus irgend einem Grund rund um die Uhr =P Grüsse - Microwave Geändert von Microwave (04.04.2016 um 00:45 Uhr) Grund: Zusatz |
|
08.04.2016, 13:07
| #10 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Link zum Registry eines infizierten Win10-Systems: RegHODeskWin10INFECT.reg 109.799 MB hxxp://www.fileconvoy.com/dfl.php?id=gf38c360ed38aef779998097211b9ff11d9189c982 Überneme keine Haftung für mögliche Schäden die durch den Download entstehen. Kopie wurde mit Regedit unter Win erstellt.
__________________ An mich adressierte, abwertende und persönlich beleidigende Posts/PMs ignoriere ich grundsätzlich. |
|
10.04.2016, 10:01
| #11 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Wenn das nicht gerade die Registry von einer zu diesem Zweck erstellten VM ist, dann enthaelt eine Registry sehr viele private Daten und sollte unter keinem Umstand veroeffentlicht und verbreitet werden. Ich finde schon die Flut an privaten Daten, die hier im Forum fuer jedermann einsehbar ist aeusserst genzwertig. |
|
13.04.2016, 22:54
| #12 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Wie bereits in einigen Posts zuvor erwähnt, nutzen wir seid 6 Monaten keinen einzigen Account/Passwort oder sonstige privaten Daten mehr über infizierte Systeme. Alle Daten die ich hier von den Systemen veröffentliche sind für Untetsuchungszwecke angelegte Accounts, egal ob MS Bebutzerkonten, Google Konten, AV-Konten oder IP-Daten... Das einzigste mit was ansatzweise als "relevant" eizustufen wäre, sind die Zugangsdaten zu diesem Account, da ich mich über infizierte Systeme darüber einlogge... Aber selbst das ist irrelevant,weil ich eifach einen neuen erstellen könnte und die hier geposteten daten auf 3 unterschiedlichen clouds verschlüsselt gesichert sind Folglich darf die Registry vollumfänglich analysiert und ohne Zurückhaltung durchsucht werden.... Sollte die kritischen Nachwuchs-Vierenjägen mit den Daten überfordert sein -wovon man mit Blick auf die vergangenen Beiträfe ausgehen muss- , empfehle ich einen Registry-Vergleich mit einem sauberen Win10-System nach Neuinstallation.
__________________ An mich adressierte, abwertende und persönlich beleidigende Posts/PMs ignoriere ich grundsätzlich. |
|
13.04.2016, 23:03
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Dürfen wir deine IP-Adressen und den daraus resultierenden Adressen den örtlichen Krankenhäusern mitteilen? Nur für den Fall der Fälle.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.04.2016, 01:14
| #14 |
| | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert aber hallo, zumal ich beteits mind 2 mal erwähnt habe -unabhängig von veröffentlichten daten- das wir in berlin wohnen und der veröffentlichte auszug mehrere wochen alt ist, die ip aber alle 24 std wechselt.. aber das weist du ja alles. zudem hast du als mod sowiso meine aktuelle ip, guck mal genau in deinen überarbeitsungsbereich... Hier nochmals ein bischen nichts aussagender Dünschüss vom aktuellen System: sysinternals via WSCC logonSessions.exe Code:
ATTFilter [CONSOLE] 14.04.2016 01:00:21 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started
[0] Logon session 00000000:000003e7:
User name: BBS-GROUP\BBS-SERVER$
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: S-1-5-18
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[1] Logon session 00000000:00009220:
User name:
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: (none)
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[2] Logon session 00000000:000003e4:
User name: BBS-GROUP\BBS-SERVER$
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-20
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[3] Logon session 00000000:000003e5:
User name: NT-AUTORITÄT\Lokaler Dienst
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-19
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[4] Logon session 00000000:000003e3:
User name: NT-AUTORITÄT\IUSR
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-17
Logon time: 13.04.2016 23:09:20
Logon server:
DNS Domain:
UPN:
[5] Logon session 00000000:000a8fee:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[6] Logon session 00000000:000a9024:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[7] Logon session 00000000:00d4d966:
User name: IIS APPPOOL\DefaultAppPool
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
Logon time: 13.04.2016 23:35:40
Logon server:
DNS Domain:
UPN:
[8] Logon session 00000000:011beb11:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[9] Logon session 00000000:011beb25:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[10] Logon session 00000000:011c51ac:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
[11] Logon session 00000000:011c51e6:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
Logonsessions v1.3
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - wwww.sysinternals.com
[CONSOLE] 14.04.2016 01:00:27 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished
[CONSOLE] 14.04.2016 01:01:01 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started
[0] Logon session 00000000:000003e7:
User name: BBS-GROUP\BBS-SERVER$
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: S-1-5-18
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[1] Logon session 00000000:00009220:
User name:
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: (none)
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[2] Logon session 00000000:000003e4:
User name: BBS-GROUP\BBS-SERVER$
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-20
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[3] Logon session 00000000:000003e5:
User name: NT-AUTORITÄT\Lokaler Dienst
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-19
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[4] Logon session 00000000:000003e3:
User name: NT-AUTORITÄT\IUSR
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-17
Logon time: 13.04.2016 23:09:20
Logon server:
DNS Domain:
UPN:
[5] Logon session 00000000:000a8fee:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[6] Logon session 00000000:000a9024:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[7] Logon session 00000000:00d4d966:
User name: IIS APPPOOL\DefaultAppPool
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
Logon time: 13.04.2016 23:35:40
Logon server:
DNS Domain:
UPN:
[8] Logon session 00000000:011beb11:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[9] Logon session 00000000:011beb25:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[10] Logon session 00000000:011c51ac:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
[11] Logon session 00000000:011c51e6:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
Logonsessions v1.3
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - wwww.sysinternals.com
[CONSOLE] 14.04.2016 01:01:02 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished
Code:
ATTFilter [CONSOLE] 14.04.2016 01:25:27 - C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe started
[0] Logon session 00000000:000003e7:
User name: BBS-GROUP\BBS-SERVER$
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: S-1-5-18
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[1] Logon session 00000000:00009220:
User name:
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: (none)
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[2] Logon session 00000000:000003e4:
User name: BBS-GROUP\BBS-SERVER$
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-20
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[3] Logon session 00000000:000003e5:
User name: NT-AUTORITÄT\Lokaler Dienst
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-19
Logon time: 13.04.2016 23:09:16
Logon server:
DNS Domain:
UPN:
[4] Logon session 00000000:000003e3:
User name: NT-AUTORITÄT\IUSR
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-17
Logon time: 13.04.2016 23:09:20
Logon server:
DNS Domain:
UPN:
[5] Logon session 00000000:000a8fee:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[6] Logon session 00000000:000a9024:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 1
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:12:07
Logon server:
DNS Domain:
UPN:
[7] Logon session 00000000:00d4d966:
User name: IIS APPPOOL\DefaultAppPool
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
Logon time: 13.04.2016 23:35:40
Logon server:
DNS Domain:
UPN:
[8] Logon session 00000000:011beb11:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[9] Logon session 00000000:011beb25:
User name: Window Manager\DWM-2
Auth package: Negotiate
Logon type: Interactive
Session: 2
Sid: S-1-5-90-0-2
Logon time: 13.04.2016 23:46:26
Logon server:
DNS Domain:
UPN:
[10] Logon session 00000000:011c51ac:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
[11] Logon session 00000000:011c51e6:
User name: BBS-SERVER\BBSS
Auth package: CloudAP
Logon type: Interactive
Session: 2
Sid: S-1-5-21-4091997533-1736783634-658159155-1001
Logon time: 13.04.2016 23:46:36
Logon server:
DNS Domain:
UPN:
Logonsessions v1.3
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - wwww.sysinternals.com
[CONSOLE] 14.04.2016 01:25:28 - "C:\Users\BBSS\AppData\Roaming\Sysinternals Suite\logonSessions.exe" finished
__________________ An mich adressierte, abwertende und persönlich beleidigende Posts/PMs ignoriere ich grundsätzlich. Geändert von dennissteins (14.04.2016 um 01:27 Uhr) |
|
14.04.2016, 07:56
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Berlin ja, aber genaue Adresse? 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
| anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches |
Hybrid-Darstellung
