|
Browser injected Hallo, ich wurde neulich von jemand in MSN geaddet, doch als dieser nichts schrieb kahm mir das komisch vor. ich gab netstat -a ein, schloss sich nach vier sekunden! habe das netzwerkkabel rausgezogen, ging nicht aus. Nun habe ich festgestellt, wenn ich mich ausloggen will das dies nicht mehr möglich ist. Habe auch schon was von nem Reg Eintrag gehört, wenn den jemand kennt wäre sehr dankbar. nun beim Start von firefox,ie,thunderbird und dem "Windows DNS irgendwas" meldet Zonealarm neben DNS abfragen auch nach ner Serververbindung auf port 50000 irgendwas. Soo habe ff mal hochgeladen : http://anubis.iseclab.org/result.php...d5df&refresh=1 Es verbindet sich zu einer 1und1 Leitung auf Port 8080. Mir war klar DDos Bot. Achja, das DNS ist dies : SearchFilterHost.exe in system32. hab nochnie was von gesehen? gehört das zu vista. Bitte Antwort wie ich das aus mehreren Anwendungen bekomme, firefox hab ich neuinstalliert, jedoch lesezeichen profile und so drin gelassen. Ich leere jetzt noch den Cache und lade die SearchFilterHost.exe bei virustotal hoch. Ich schau immer hier rein ;) ach noch was, nach ner Zeit laden alle Seiten nur noch (also ich seh die alte und der Balken wird voll und wieder klein....) Wenn ich die firefox.exe kille, dann verschwindet er zwar, aber habe noch den prozess mit 100k drin, früher ging er dann aus und ich konnte neustarten bei bugs. Habe schon AutoStart rausgehauen aber trotzdem ist er perresistent. Bitte helft mir und hoffentlich ist das teil PUB. Auch wenn KIS 2009 nichts findet! GoToHell Flooder :teufel1: Schade wäre so schön ... SearchFilterHost.exe hat schon jemand vor 5 Tagen analysiert... nichts. Und wäre sie infected wärs schon in name update drin.. komischerweiße läuft ein hidden task der ieuser.exe heißt. ist es normal das ie bei drei tabs 100mb ram frisst? nein! ieuser ist angeblich clean. Hijack this : Code: Logfile of Trend Micro HijackThis v2.0.2 |
irgendwie konnte ich nicht mehr editieren, naja ich weiß jetzt was es war... Virustotal. MD5: 2e1ef769b0d63454c4a7ee7b1f53158e Trojan-Dropper.Win32.VB.cte Win32:Trojan-gen {Other} Dropper.Generic.AAQX Ein VB Dropper also... da stand TS TeleFon Bot und ich hab natürlich nich drauf geachtet. ok dann kahm aber ein TS Flooder.. naja hab ich gedacht ham die sich vertan^^. jetzt weiß ich es. RapidShare: Easy Filehosting Ich bitte euch es zu reversen und zu sagen wo der trjoaner hin ist(auch wenn er sich injected, irgenwo sollte der sein, denn dann kann ich den löschen oder ihr könnt nachgucken was der macht^^ (wenn ihrs könnt). naja oben hatte ich geschrieben bot war wohl schon müde :) 8080 ist der BiFrost Port, weil er nicht so aufällt (80 is ja web) EDIT : WTF?? Acrobat Reader versucht auch als server zu fungieren auf port 50000+ und alle machen einen DNS Lookup die ip muss ich mal notieren |
Kann wieder nicht editen :uglyhammer: habs photografiert, sogar photoshop und acrobat reader connecten. Also : Iexplorer,firefox,thunderbird,acrobatreader,photoshop Alle 5 injected. d.h. es ist mehr oder weniger klar warum er den autostart überlebt hat... Normalerweißte müsste noch eine serverconnection auf 50k kommen. die ip geht zu kasserver.com http://img3.imagebanana.com/img/agtuggyf/zugriff1.jpg |
Hi, so schnell geht das nicht, ich mache auch kein Hehl draus, dass ich in keinem Code so ungern grabe wie in Visual Basic, einfach furchtbar. Da ist es interessanter, die Programme auf einem Testsystem laufen zu lassen. das ich allerdings erstmal installieren müsste. Vielleicht habe ich nächte Woche etwas zeit dafür über, bis dahin hast Du dein System aber schon locker neu aufgesetzt, mehrfach wenn es sein muss. Aber warum eigentlich, Du hast ja bereits ein Testsystem aufgesetzt. Etwas Untersuchung von außen hat ergeben, dass du zum einen einen Biforst hast, der mit Epiphones Cryptor behandelt wurde. Zum einen irgend ein Programm, das irgendwas mit Teamspeak macht, ich kann mir gut vorstellen, dass auch dort ein Backdoorserver kommunizieren kann, da fallen Bots noch weniger auf. Wenn man den Test dann fertig hat, dann installiert man ein solches Testsystem neu. Oder spielt das vorher angefertigte Image zurück. Gruß, Karl |
Ich weiß nicht wie ich es im Testsystem rausfinde. gibts da programme die schreibzugriffe erkennen? Ich kenne Epiphone, glaube zwar nicht das er mir die locations seines crypters sagt aber mal sehen |
Epiphone meinte, der crypter legt die dateien nirgens besonderes ab oder so, also könne er nichts tun. Er sagte aber, wenn der trojaner weg ist geht auch ff wieder (ich hab ihn schon neuinstalled nichts) Bifrost verändert also nur den RAM. kann ich irgendwie dies verhindern? habs schon mit Sandboxie versucht, aber dann ist er darin auch perresistent, und wenn ich sandboxie beende is der prozess so aufm rechner. Leider kann ich windows nicht reparieren da ich nur ne Recovery CD hatte, die alles löscht, also nicht nur die windows kern dateien. :heulen: kann sich nicht jemand das ding angucken? ist ja nur ein Public server, sehr Public. Aber zum Glück läuft bifi auf vista nicht so gut Falls er ihn von selbst removed, weil er sieht das ich seine ip und alles hab, dann lass ich das auch mit abuse !. |
Also wenn Du diesen Menschen persönlich kennst, dann steigt in mir langsam ein gewisser Verdacht. Du wärst nicht der erste Mensch, dem beim rumspielen ein Backdoorserver entglitten ist. Natürlich kann Epiphone gar nichts für dich tun (vermutlich hat er heftig abgelacht). wo Bifrost liegt. Das legt jemand anderes fest. Er verändert aber nicht nur das RAM, sondern auch mindestens die Festplatte, denn dort hast Du ihn ja installiert. Würde er wirklich nur im Speicher sitzen, wäre die Sache mit einem Neustart erledigt. Irgendwie hättest Du dich vorher schlau machen sollen. Sandboxie nützt da gar nichts. Hätte möglicherweise dein System vor der Installation bewahren können, wenn du es von einem Browser innerhalb von Sandboxie aus probiert hättest. Hinterher aber eh zu spät. Die Reparaturinstallation vpon Windows ist ebenfalls sinnlos. Ihr Vorteil ist es, das installierte Software erhalten bleibt, manchmal funktioniert das sogar. Der Nachteil ist, dass dabei nicht zwischen Gut und Böse unterschieden wird, also kein Mittel zur Malwareentfernung. Bei beschädigter Registry oder ähnlichem kann sie helfen. Wobei nach meinem einzigen Versuch das System danach derart angeschlagen war dass ich dann gleich noch formatiert habe. Voraussichtlich im Lauf der nächten Woche könnte ich mal etwas Zeit haben, ein Testsystem aufzusetzen und den Server drauf zu starten. Allerdings was erwartest Du dabei? Das Ziel, wo er hinverbindet hast Du ja schon raus. Falls es um die Frage geht, wo er in deinem Dateisystem sitzt, sollte ein Log von Silentrunners oder Autroruns Auskunft geben. Die Serverdatei ist ja auch nicht das eigentliche Problem, sondern die Frage, was der unbekannte Remoteadministrator alles an deinem System umgebaut hat, welche Sicherheitslücken er hineingepatcht hat, usw. Da hilft nur neuinstallieren. |
1, Nein ich hatte Leute zum Programmieren gesucht und da hatt ich ihn in icq. 2. Das er da ist war klar, aber seine "Wirte" werden nur im RAM verändert 3. Mit Sandboxie wollte ich verhindern dass er am browser was macht (nach ner zeit ladet er nicht mehr neu und der prozess bleibt) 4. Ok das wusste ich nicht, das ist halt wieder windows^^ :taenzer: 5. Ich habe ja einen Hijackthis lock gepostet, nach löschen des Autostarts (ne bin nicht blöd, denn hätte das was gebracht bräuchte ich hier nicht zu posten.) 6. Wenn das Stimmt das er nur im RAM was macht, also dort den Arbeitspeicher "freezed" wie manche cheats, dann müsste man den Server löschen |
Im Hijackthis gibt es keine Hinweise. Das ist normal, Hijackthis ist ein höchst veraltetes Tool, das vieles nicht anzeigen kann. Silentrunners oder Autoruns sollten es zeigen können. Üblich ist, dass das Programm einen Browser versteckt startet und sich dort dann in "injected", dies im Speicher. Hat den Vorteil, dass den Browser normalerweise jeder Mensch ins Internet lässt und damit die Versuche einer Firewall ausgehebelt sind. Kommen aber auch alle anderen Programme in Frage, solange man damit rechnen kann, dass ein User sie für vertrauenswürdig hält. es muss aber auch was auf der Platte sein, schließlich kann er im Speicher nicht überleben, wenn Du den Rechner ausschaltest. Dazu ein Autostart (meistens in der Registry) damit das dann wieder aktiviert wird. Im RAM macht alle Software was. "Arbeitspeicher freezed wie manche cheats", keine Ahnung was damit gemeint ist. Vielleicht nur eine coolere Bezeichnung dafür, dass das Programm schlecht programmiert ist und den Rechner abstürzen lässt, einen Deadlock verursacht, usw? "Server löschen" schön und gut, dafür müsste man wissen wo er ist, siehe Absatz eins. Wenn er dann gelöscht ist, weißt Du nicht, was der Remote -Administrator alles auf dem Rechner gemacht hat. Er hat bestimmt kein Log hinterlassen. Eine weitere Backdoor eingebaut, eventuell in eine Systemdatei gepatcht? Vielleicht auch nur einen Fehler, mit dem der Rechner später wieder neu infiziert werden kann. Mir könnten noch viele creative und bösartige Sachen mehr einfallen. Um da sicher zu gehen, gibt es eben nur eins. |
bin mir sicher das der sich nicht so gut auskennt. Eben ein "Trojaner Kiddie" Das einzigst komische ist das es im Autostart auch nach dessen Löschung noch drin ist.. (weiß nicht vllt hattich dannach noch firefox an, muss ich nochmal testen.) Mit Freezed meinte ich, dass es den Arbeitsspeicher bearbeitet und dadurch code ausführt ich nehm mal Silentrunners. Zu dem Argument mit Browser, ja ok aber es ist überal drin. Im ServerBrowser von CSS, in Adobe Reader, in beiden Browser, In Photoshop.. naja was ein Glück das das nichts an der exe auf der Festplatte ändert (dass wäre wohl zu auffälig). Wie gesagt, ich denke das ist nur einer auf der Suche Nach kreditkarten, oder Steam Accounts und so. |
Zu den DNS Abfragen: Ich habe seit ein paar Tagen (wieder) Zonealarm Kostenlos installiert und bekomme die Meldung bei diversen Programmen ebenso - das war allerdings früher auch schon mal so. Mit einer anderen Personal Firewall (GData 2008) gab es die Meldung nicht bzw. es wurde auch nichts protokolliert. Auch ist es z.B. bei Thunderbird immer eine andere IP, gerade eben war es heise.ivwbox.de:53. Wenn man den Windows DNS Client beendet, kommen diese Meldungen nicht mehr. Auch kommen bei mir weder auf meinem Server (1. DNS, Linux + Bind9), noch auf meinem Router (Linux/OpenWRT, 2.DNS mit dnsmasq) irgendwelche Anfragen an - weder mit noch ohne DNS Client. (getestet mit tcpdump und dnstop). Gerade die heise.ivwbox.de und ähnliche Adressen lassen mich eher vermuten das hier ein Fehler von Zonealaram vorliegt. Könnten eventuell DNS Abfragen von Firefox sein (auf wenn er z.B. bei der Heise Abfrage gar nicht mehr geöffnet waren). |
gut danke. aber dass die alle noch nen server aufmachen auf port 50000+ das ist nicht normal oder? Naja was mich am meisten nervt ist der "mozilla bugg". Nach ca 5 std ist er in einem Endlos Reload, und ich muss pc neustarten. außerdem lässt er sich immer noch nicht beenden was zeigt das es nicht normal is ^^ |
Jeder Port ist so gut wie jeder andere, kann man einstellen welcher benutzt wird. Vielleicht denken manche Leute, dass eine hohe Zahl unauffälliger wäre. Wegen dem "Mozilla Bug"? Ist das System schon neu installiert? |
system nicht neuinstalliert. Der Browser schon. Das mit dem port weiß ich, aber wenn er mein DNS Lookups sind eher normal, das mit dem server wohl eher nicht oder? |
wie siehts mit der analyse aus? |
Kurzvariante war, dass das ein Backdoorserver ist, aber das hat ja bereits der Onlinescan ergeben. Danach habe ich die Datei ins Archiv geschoben, denn Visual Basic ist eine der unfreundlichsten Programmiersprachen, die mir zum Reversing einfallen und meine Computerzeit ist sowieso sehr begrenzt. Aber selbst wenn ich jetzt den kompletten Sourcecode des Servers zurückgewonnen hätte, würde dir das auch nichts helfen, denn seine Hauptfunktion sieht ungefähr so aus: Code: wiederholeSollte er vorgehabt haben, etwas auf deinem System zu machen, was nicht direkt im Code des Servers eingebaut ist, dann lädt er einfach ein kleines Programm auf deinen Computer, startet das und lässt es das dann machen. Insofern ist es auch sinnlos jetzt zu übermitteln welche Funktionen in dem Server vorgesehen sind. Die Statistik deutet zwar schon darauf hin, dass wesentliche Manipulationen am System eher unwahrscheinlich sind sind, die sagt aber auch, dass Atomkraftwerke keine Pannen haben, Flugzeuge nicht abstürzen, Menschen gut sind, usw. Bei den meisten Punkten muss man sich leider mit dem statistischen Erwartungswert abfinden, wenn es der eigene Computer ist, hätte ich endlich mal die Möglichkeit, mir Sicherheit verschaffen zu können. Btw: Ich suche ab Anfang Oktober Arbeit, falls Du Lust hast einen entsprechenden Auftrag für die Analyse der Datei zu erteilen, dann lass es mich wissen. |
das mit dem btw. meinst du damit gegen Bezahlung oder umsonst? gegen Bezahlung müsst ich mal sehen aber ich wäre froh wenn das mit den bugs und allem aufhört |
Wenn mir mein Vermieter, alle Lebensmittelhändler, usw., einen lebenslänglichen Blankoscheck einrichten würden, dann hätte ich Zeit, sowas so zu machen. Thema hat sich aber erledigt, ich habe bereits was an der Hand. In der Zwischenzeit habe ich noch ein Testsystem installiert und dein Programm mal darauf losgelassen. Es startet ein Programm, das dafür geeignet ist, Gamer zu ärgern indem z.B. in Teamspeak gespammt wird. Das startet im Hintergrund noch ein weiteres Programm. Das Hauptprogramm läuft bei mir zwar, zeigt aber nach außen keinerlei Aktivitäten, vermutlich weil ich kein Teamspeak installiert wird. Das Hintergrundprogramm versucht sich bei einem Freemailer anzumelden. Dummerweise mit einer Adresse, die es auf dem Server nicht gibt. Es war mir nicht möglich, die Adresse zu belegen, so dass ich nicht beobachten konnte, was es dann dort tut. Die Datei ist ein Dropper, also ein Programm, das was anderes installieren soll. "Das andere" ist anscheinend verschlüsselt in der Datei enthalten, ich gehe mal davon aus, dass der zur Entschlüsselung benötigte Key aus einer Mail gelesen werden müsste. Sehr diagonal durch den Code geschnüffelt zusammen mit den Virustotalergebnissen sieht mir das danach aus, dass das nicht der eigentliche Server ist sondern nur das Programm, das ihn installiert. Btw: Ich habe auf dem Testsystem ebenfalls Zonealarm installiert und die hat nichts gemeldet (auch nicht den Versuch ein Mailkonto zu öffnen), man muss also davon ausgehen, dass die umgangen wird und die Poups bei dir vermutlich nur eine Ablenkung sind, die dich glauben machen soll, dass deine Firewall funktionieren täte. Dann habe ich noch ein wenig nach der Herkunft der Datei geforscht. Erstmal starte ich Dateien von Rapidshare nur auf Systemen, bei denen ich bereit bin danach die Festplatte zu formatieren. der Dienst ist eine ausgemachte Malwareschleuder. Und nachdem ich gesehen habe, mit welchen Ankündigungen Leute dazu gebracht werden, diese Datei zu starten, denke ich mir unterdessen: Selber schuld, nicht besser verdient :D Versucht andere Leute zu ärgern und dabei reingefallen. Ich rechne nicht damit, dass eine aufwändige Detailanalyse der Datei irgendwas wichtiges finden wird, da auf deinem System wohl noch mehr vorhanden ist, was hier nicht vorliegt. Die IP, wo die Programme hinverbinden, scheint offline zu sein. Da sehe ich zwei Möglichkeiten: Einmal kannst Du das alles ignorieren, zum anderen: Der Thread ist so alt, dass Du schon genügend Zeit hattest, das System dutzende Male neu zu installieren, wobei einmal genug gewesen wäre. |
naja werd wohl formatieren müssen. Naja, hab halt nicht wirklich lust wow css und so neuzuinstallieren. Ich hatte in letzter Zeit wohl auch keine requests mehr Und ich wollte nicht andere ärgern sondern bei dem video dabei war ein bot, der ins ts connected und dann jemand anruft und von sich aus antwortet und dass gespräch ins ts stellt. Ich war mal wieder so in "Euphorie" dass ich was gefunden habe, dass naja. Dumm sind halt die bugs, er scheint auch bemerkt zu haben dass ich ihm "auf der Spur" bin, seine ip habe und so. vielleicht wurde er auch schon so abused. |
Also ich selbst hab gestartet : Windows Media Player QIP (Wie ICQ) Veoh TV AVP (Kaspersky 2009) Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Code: iTunesShowSongsOnArrival\ |
Und wenn ich in den Standby gehe kommt : DRIVER_POWER_STATUS_FAILED mit nem Bluescreen. Gibt es denn wirklich keinen mehr der reinkuckt außer KarlKarl? |
Keine weitere Info welcher Treiber? diese Meldung gibt es bei Google genau einmal, Microsoft selber kennt sie nicht. Dort wird dann drüber gemutmaßt, dass ein Webcam-Treiber ein Problem sein könne. Generell kommt aber auch jeder andere Treiber in Frage. Genaueres würde ein Crashdump verraten, da müsste aber wohl ein Vista-Nutzer ran. Aber ob das noch Sinn macht, da habe ich meine Zweifel. Wenn ein System seine Vertrauenswürdigkeit einmal verloren hat, dann lässt die sich nicht wiederherstellen. |
naja, ich habe nichts neues an Treibern reingehauen, ich glaub Formatieren ist besser, aber das Problem ist halt, ich habe hier mehrere Applikationen die es zb nicht mehr im netz gibt, oder ich die Datei nicht mehr hab und die 1gb groß ist (mit ner 2k Leitung machts spaß) naja ich werden wohl wenn ich zeit hab Formatieren. |
Bis jetzt ist noch kein Account oä weg. Ich vermute anhand des Ports, der Programmiersprache, und der tatsache das nichts passiert ist das es ein Bifrost ist. Bifrost soll ja angeblich nicht mehr gehen, was heißt der trojan geht nie mehr weg. Da aber jeder Trojaner seine eigenheiten hat müsste man doch auch ein gegenmitell finden können |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board