|
Kurzvariante war, dass das ein Backdoorserver ist, aber das hat ja bereits der Onlinescan ergeben. Danach habe ich die Datei ins Archiv geschoben, denn Visual Basic ist eine der unfreundlichsten Programmiersprachen, die mir zum Reversing einfallen und meine Computerzeit ist sowieso sehr begrenzt. Aber selbst wenn ich jetzt den kompletten Sourcecode des Servers zurückgewonnen hätte, würde dir das auch nichts helfen, denn seine Hauptfunktion sieht ungefähr so aus: Code: wiederholeSollte er vorgehabt haben, etwas auf deinem System zu machen, was nicht direkt im Code des Servers eingebaut ist, dann lädt er einfach ein kleines Programm auf deinen Computer, startet das und lässt es das dann machen. Insofern ist es auch sinnlos jetzt zu übermitteln welche Funktionen in dem Server vorgesehen sind. Die Statistik deutet zwar schon darauf hin, dass wesentliche Manipulationen am System eher unwahrscheinlich sind sind, die sagt aber auch, dass Atomkraftwerke keine Pannen haben, Flugzeuge nicht abstürzen, Menschen gut sind, usw. Bei den meisten Punkten muss man sich leider mit dem statistischen Erwartungswert abfinden, wenn es der eigene Computer ist, hätte ich endlich mal die Möglichkeit, mir Sicherheit verschaffen zu können. Btw: Ich suche ab Anfang Oktober Arbeit, falls Du Lust hast einen entsprechenden Auftrag für die Analyse der Datei zu erteilen, dann lass es mich wissen. |
das mit dem btw. meinst du damit gegen Bezahlung oder umsonst? gegen Bezahlung müsst ich mal sehen aber ich wäre froh wenn das mit den bugs und allem aufhört |
Wenn mir mein Vermieter, alle Lebensmittelhändler, usw., einen lebenslänglichen Blankoscheck einrichten würden, dann hätte ich Zeit, sowas so zu machen. Thema hat sich aber erledigt, ich habe bereits was an der Hand. In der Zwischenzeit habe ich noch ein Testsystem installiert und dein Programm mal darauf losgelassen. Es startet ein Programm, das dafür geeignet ist, Gamer zu ärgern indem z.B. in Teamspeak gespammt wird. Das startet im Hintergrund noch ein weiteres Programm. Das Hauptprogramm läuft bei mir zwar, zeigt aber nach außen keinerlei Aktivitäten, vermutlich weil ich kein Teamspeak installiert wird. Das Hintergrundprogramm versucht sich bei einem Freemailer anzumelden. Dummerweise mit einer Adresse, die es auf dem Server nicht gibt. Es war mir nicht möglich, die Adresse zu belegen, so dass ich nicht beobachten konnte, was es dann dort tut. Die Datei ist ein Dropper, also ein Programm, das was anderes installieren soll. "Das andere" ist anscheinend verschlüsselt in der Datei enthalten, ich gehe mal davon aus, dass der zur Entschlüsselung benötigte Key aus einer Mail gelesen werden müsste. Sehr diagonal durch den Code geschnüffelt zusammen mit den Virustotalergebnissen sieht mir das danach aus, dass das nicht der eigentliche Server ist sondern nur das Programm, das ihn installiert. Btw: Ich habe auf dem Testsystem ebenfalls Zonealarm installiert und die hat nichts gemeldet (auch nicht den Versuch ein Mailkonto zu öffnen), man muss also davon ausgehen, dass die umgangen wird und die Poups bei dir vermutlich nur eine Ablenkung sind, die dich glauben machen soll, dass deine Firewall funktionieren täte. Dann habe ich noch ein wenig nach der Herkunft der Datei geforscht. Erstmal starte ich Dateien von Rapidshare nur auf Systemen, bei denen ich bereit bin danach die Festplatte zu formatieren. der Dienst ist eine ausgemachte Malwareschleuder. Und nachdem ich gesehen habe, mit welchen Ankündigungen Leute dazu gebracht werden, diese Datei zu starten, denke ich mir unterdessen: Selber schuld, nicht besser verdient :D Versucht andere Leute zu ärgern und dabei reingefallen. Ich rechne nicht damit, dass eine aufwändige Detailanalyse der Datei irgendwas wichtiges finden wird, da auf deinem System wohl noch mehr vorhanden ist, was hier nicht vorliegt. Die IP, wo die Programme hinverbinden, scheint offline zu sein. Da sehe ich zwei Möglichkeiten: Einmal kannst Du das alles ignorieren, zum anderen: Der Thread ist so alt, dass Du schon genügend Zeit hattest, das System dutzende Male neu zu installieren, wobei einmal genug gewesen wäre. |
naja werd wohl formatieren müssen. Naja, hab halt nicht wirklich lust wow css und so neuzuinstallieren. Ich hatte in letzter Zeit wohl auch keine requests mehr Und ich wollte nicht andere ärgern sondern bei dem video dabei war ein bot, der ins ts connected und dann jemand anruft und von sich aus antwortet und dass gespräch ins ts stellt. Ich war mal wieder so in "Euphorie" dass ich was gefunden habe, dass naja. Dumm sind halt die bugs, er scheint auch bemerkt zu haben dass ich ihm "auf der Spur" bin, seine ip habe und so. vielleicht wurde er auch schon so abused. |
Also ich selbst hab gestartet : Windows Media Player QIP (Wie ICQ) Veoh TV AVP (Kaspersky 2009) Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Code: iTunesShowSongsOnArrival\ |
Und wenn ich in den Standby gehe kommt : DRIVER_POWER_STATUS_FAILED mit nem Bluescreen. Gibt es denn wirklich keinen mehr der reinkuckt außer KarlKarl? |
Keine weitere Info welcher Treiber? diese Meldung gibt es bei Google genau einmal, Microsoft selber kennt sie nicht. Dort wird dann drüber gemutmaßt, dass ein Webcam-Treiber ein Problem sein könne. Generell kommt aber auch jeder andere Treiber in Frage. Genaueres würde ein Crashdump verraten, da müsste aber wohl ein Vista-Nutzer ran. Aber ob das noch Sinn macht, da habe ich meine Zweifel. Wenn ein System seine Vertrauenswürdigkeit einmal verloren hat, dann lässt die sich nicht wiederherstellen. |
naja, ich habe nichts neues an Treibern reingehauen, ich glaub Formatieren ist besser, aber das Problem ist halt, ich habe hier mehrere Applikationen die es zb nicht mehr im netz gibt, oder ich die Datei nicht mehr hab und die 1gb groß ist (mit ner 2k Leitung machts spaß) naja ich werden wohl wenn ich zeit hab Formatieren. |
Bis jetzt ist noch kein Account oä weg. Ich vermute anhand des Ports, der Programmiersprache, und der tatsache das nichts passiert ist das es ein Bifrost ist. Bifrost soll ja angeblich nicht mehr gehen, was heißt der trojan geht nie mehr weg. Da aber jeder Trojaner seine eigenheiten hat müsste man doch auch ein gegenmitell finden können |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board