Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Schadprogramm installiert, Analyse

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.03.2010, 13:42   #1
StefanS43
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Hallo,

ist es möglich die Funktion einer Schadsoftware in Erfahrung zu bringen? Ich fürchte ich habe mir bei einer kleinen Dummheit gestern einen solche Software installiert. Der Kaspersky identifizierte das Programm als trojan.win32.autoit.yp.

Das Programm hinterlegte im AppData/Local/Temp Ordner eine Exe mit dem Namen botsurf.exe.

Da ich den Virenscanner vorgestern kurzzeitig wegen einem Problem deinstalliert hatte konnte mich dieser auch nicht warnen. Ich hatte die botsurf.exe im Process Explorer erst spät gesehen, da ich gestern weg musste. Das Programm lief also rund 10 Stunden ehe ich es heute morgen entdeckte.

Natürlich habe ich sofort alle Maßnahmen ergriffen, Internet getrennt, Systemwiederherstellung, Regclean im abgesicherten Modus und den Kaspersky vollständig die Platte scannen lassen.

Jetzt bleibt die Frage was das Programm in den 10 Stunden gemacht hat, als es lief?

Die Datei habe ich hochgeladen, umbenannt in eine harmlose txt.

*****

Alt 20.03.2010, 14:37   #2
Franz1968
/// Helfer-Team
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Hallo,

den aktiven Link solltest du bitte unbedingt wieder entfernen. Du kannst eine Stunde nach Absenden eines Beitrags diesen editieren.

Virustotal. MD5: 816d1f846da45fec070b41494bd983fd Backdoor.Bifrose Heuristic.BehavesLike.Win32.Trojan.J Dropped:Trojan.Generic.1649775
Hier siehst du, dass der Trojaner auch als Backdoor (Bifrose/Poison) erkannt wird. In diesem Fall kann, wenn du ihn installiert hast und dein Rechner 10 Stunden unbeaufsichtigt online war, von außen auf ihn zugegriffen worden sein und können Datenveränderungen vorgenommen worden sein, die nicht mehr nachvollzogen werden können.

Man kann eine Bereinigung versuchen (zeitintensiv und ohne Erfolgsgarantie), sollte aber neu installieren. Wie möchtest du vorgehen?




edit:

Das sagt Norman:
Zitat:
trojan.win32.autoit.yp.exe : INFECTED with W32/Packed_FSG (Signature: Agent)


[ DetectionInfo ]
* Filename: C:\analyzer\scan\trojan.win32.autoit.yp.exe.
* Sandbox name: W32/Packed_FSG.D.dropper.
* Signature name: Agent.KHKI.
* Compressed: NO.
* TLS hooks: NO.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.

[ General information ]
* File might be compressed.
* Decompressing Unk3!FSG?.
* File length: 619886 bytes.
* MD5 hash: 816d1f846da45fec070b41494bd983fd.
* SHA1 hash: 9ec8cbaa4ac947fae950248d82c92135ce2e6e74.

[ Changes to filesystem ]
* Creates directory C:.
* Creates directory C:\WINDOWS.
* Creates directory C:\WINDOWS\TEMP.
* Creates directory C:\WINDOWS\TEMP\.
* Creates file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp.
* Deletes file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.
* Creates file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.
* Deletes file C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp.

[ Process/window information ]
* Creates process "DVDXCloneDVDKeygen.exe".
* Creates a window with name "NULL".

[ Signature Scanning ]
* C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe.nb5.tmp (211207 bytes) : no signature detection.
* C:\WINDOWS\TEMP\DVDXCloneDVDKeygen.exe (211177 bytes) : W32/Packed_FSG.D.



(C) 2004-2009 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.
__________________

__________________

Geändert von Franz1968 (20.03.2010 um 15:01 Uhr)

Alt 20.03.2010, 15:27   #3
StefanS43
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Die Datei ist umbenannt ja harmlos. Erst wenn man sie ausführt kann der Schadcode aktiv werden.

Eine Neuinstallation hatte ich schon bedacht, ich werde wohl zunächst den Disassembler nutzen und mir das Programm näher ansehen.
__________________

Alt 20.03.2010, 16:06   #4
Heike
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Bleibe von Keygens weg, Software klauen wird hier nicht unterstützt.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 20.03.2010, 17:08   #5
StefanS43
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Zitat:
Zitat von Heike Beitrag anzeigen
Bleibe von Keygens weg, Software klauen wird hier nicht unterstützt.
1. Ich bewege mich nie auf Warez-Seiten, so dass ich auch i.d.R. keine KeyGens nutze mit dem Ziel "Software zu klauen". Insbesondere deshalb nicht, weil ich mir der Gefahr bewußt bin, die von KeyGens ausgeht.

2. Die Verkettung von Umständen, auf die ich hier nicht näher eingehen will, weil sie am Sachverhalt nichts mehr ändern, führte letztlich dazu das ich die besagte Software unbedacht startete und mir so das erste Schadprogramm seit über 10 Jahren einhandelte.

3. Ich werde das System neu installieren und die Gelegenheit nutzen auf Windows 7 und 64-Bit umzusteigen.


Alt 21.03.2010, 15:19   #6
StefanS43
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Zitat:
Zitat von Franz1968 Beitrag anzeigen
Hier siehst du, dass der Trojaner auch als Backdoor (Bifrose/Poison) erkannt wird. In diesem Fall kann, wenn du ihn installiert hast und dein Rechner 10 Stunden unbeaufsichtigt online war, von außen auf ihn zugegriffen worden sein und können Datenveränderungen vorgenommen worden sein, die nicht mehr nachvollzogen werden können.

Man kann eine Bereinigung versuchen (zeitintensiv und ohne Erfolgsgarantie), sollte aber neu installieren. Wie möchtest du vorgehen?
Neu installieren ist die sichere Alternative. Ich muss dazu aber sagen das die EXE nicht vollständigen Zugriff erhalten hatte, da sie nicht mit Administratorrechten ausgeführt worden ist.

Demzufolge kann das Programm keine Manipulationen im Windows Ordner durchgeführt haben. Deshalb hat sich die gepackte EXE mit dem Namen botsurf.exe auch in den lokalen AppData Ordner des Nutzers kopiert.

Wie dem auch sei, an der Registry wurde herumgespielt und das ist schon Grund genug, neu zu installieren, wenngleich die Systemwiederherstellung einen Rollback durchgeführt hat. Die Frage die natürlich bleibt ist, konnte das Programm eine Socketverbindung herstellen und Daten transferieren. Ich werde das überprüfen, kurz bevor ich die Systemfestplatte formatiere.

Alt 21.03.2010, 16:00   #7
KarlKarl
/// Helfer-Team
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Bei mir hat sie das getan. Da hat dir jemand einen Backdoorserver an den Keygen geklebt.

Alt 21.03.2010, 19:15   #8
StefanS43
 
Schadprogramm installiert, Analyse - Standard

Schadprogramm installiert, Analyse



Zitat:
Zitat von KarlKarl Beitrag anzeigen
Bei mir hat sie das getan. Da hat dir jemand einen Backdoorserver an den Keygen geklebt.
Also, ich hab die EXE nunmal näher untersucht.

Der Keygen hat in der Tat ein mit UPX eingebettetes zweites Programm, das bei Ausführung des Keygen entpackt wird.

Diese Schadsoftware ist die genannte bootsurf.exe, bei der es sich tatsächlich um einen Backdoor Server handelt, der über einige Befehle auch von außen gesteuert werden kann.

Fakt ist aber, das Programm konnte nicht die Registry verändern, um dort beispielsweise einen Autostarteintrag zu hinterlegen. Dazu hatte es nicht die Berechtigung, weil es bei mir unter Vista nicht unter Administratorrechten ausgeführt wurde.

Nach einem Neustart ist das Programm somit inaktiv, weil es nicht gestartet wird. Schade das ich den Rechner nicht unmittelbar heruntergefahren habe, als ich weg musste.

Diese botsurf.exe lässt sich über den Taskmanager nicht beenden. Allerdings konnte ich mit Wireshark keine Aktivität auf den Netzwerkschnittstellen feststellen. Das mag eventuell auch an den eingeschränkten Rechten liegen.

Ich habe mir die Freiheit genommen das Dissambling Listing hier hochzuladen. So kann sich jeder selbst ansehen, was das Programm tut.

http://rapidshare.com/files/366383757/botsurf.zip.html

Geändert von StefanS43 (21.03.2010 um 19:28 Uhr)

Antwort

Themen zu Schadprogramm installiert, Analyse
abgesicherten, analyse, datei, entdeck, exe, explorer, frage, gen, ide, installiert, internet, kaspersky, kleine, maßnahme, modus, namen, ordner, platte, problem, programm, regclean, scan, scannen, scanner, systemwiederherstellung, virenscan, virenscanner



Ähnliche Themen: Schadprogramm installiert, Analyse


  1. Reimage - ein schadprogramm? kennt das jemand?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (16)
  2. Schadprogramm durch Ebay Mahnungsmail (.zip) - alle Virenprogramme deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 02.09.2014 (7)
  3. Telekom Email geöffnet - Vielleicht ist ein Schadprogramm auf dem Computer
    Log-Analyse und Auswertung - 08.07.2014 (11)
  4. Win7: telekom E-Mail / ZeuS/ZBot-Schadprogramm
    Log-Analyse und Auswertung - 31.10.2013 (13)
  5. Zuerst die Toolbar Snpa.Do mit installiert und nun SpyHunter4 installiert
    Log-Analyse und Auswertung - 27.10.2013 (21)
  6. Schadprogramm APPL/InstallBrain.Gen
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  7. Abuse Brief von Telekom Schadprogramm ZeuS/ZBot Windows XP
    Log-Analyse und Auswertung - 04.09.2013 (11)
  8. Abuse Brief von Telekom Schadprogramm ZeuS/ZBot mehrere Geräte im Netzwerk
    Log-Analyse und Auswertung - 29.08.2013 (9)
  9. Unbekanntes Schadprogramm auf meinen System: TR/Matsnu.EB.140. Was machen?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2013 (1)
  10. Schadprogramm: Verknüpfungen anstatt Dateien
    Mülltonne - 14.11.2012 (0)
  11. Bitte um Auswertung ob Schadprogramm erkennbar
    Log-Analyse und Auswertung - 11.09.2012 (1)
  12. Anderes Facebook Schadprogramm eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 25.08.2011 (1)
  13. [Schadprogramm] Windows Restore beseitigt und t.w. noch Probleme
    Plagegeister aller Art und deren Bekämpfung - 29.06.2011 (50)
  14. Ist MusicCityDownload.exe ein Schadprogramm?
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (5)
  15. ufdsvc.exe - Schadprogramm oder harmlos?
    Log-Analyse und Auswertung - 23.12.2007 (2)
  16. Schadprogramm unter Linux
    Alles rund um Mac OSX & Linux - 03.11.2007 (4)

Zum Thema Schadprogramm installiert, Analyse - Hallo, ist es möglich die Funktion einer Schadsoftware in Erfahrung zu bringen? Ich fürchte ich habe mir bei einer kleinen Dummheit gestern einen solche Software installiert. Der Kaspersky identifizierte das - Schadprogramm installiert, Analyse...
Archiv
Du betrachtest: Schadprogramm installiert, Analyse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.