PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rat,Stealer bot Aalysiert


Lord_Ben@
02.02.2010, 16:53
Ok ich habe eben mit nem hex editor ein virus nach mail pw analysiert, dabei bin ich dann über folgendes gestossen.

RK2G127.0.0.1 u20.eset.com
127.0.0.1 u21.eset.com
23.eset.com
127.0.0.1 u24.eset.com
127.0.0.1 u25.eset.com
127.0.0.1 u26.eset.com
u27.eset.com
127.0.0.1 u28.eset.com
127.0.0.1 u29.eset.com
127.0.0.1 u30.eset.com
127.0.0.1 u31.eset.com
127.0.0.1 u32.eset.com
127.0.0.1 u33.eset.com
m127.0.0.1 u35.eset.com
127.0.0.1 u36.eset.com
127.0.0.1 u37.eset.com
.eset.com
127.0.0.1 u39.eset.com
127.0.0.1 u40.eset.com
127.0.0.1 u41.eset.com
u42.eset.com
127.0.0.1 u43.eset.com
127.0.0.1 u44.eset.com
127.0.0.1 u45.eset.com
.0.1 u46.eset.com
127.0.0.1 u47.eset.com
127.0.0.1 u48.eset.com
127.0.0.1 u49.eset.com
127.0.0.1 downloads1.kaspersky-labs.com
nloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com

so nun denke ich mir dass das ein bot ist, aber was kann ich jetzt mit den ips und url anfangen ??
Edit:
Im Hexeditor sehe ich noch andere ips nicht nur 127.0.0.1 :-)
l0dsb
02.02.2010, 16:57
Die Zeilen sollen sicherlich früher oder später in die HOSTS-Datei eingetragen werden, um die Verbindungen zu den Updateservern bekannter AVs (hier wohl NOD32 und KAV/KIS) zu unterbinden, in dem sie auf den eigenen Rechner umgeleitet werden.
Lord_Ben@
02.02.2010, 17:02
hmm ok und woher bekomme ich jetzt die ip wohin der bot connected??
Shadowstyle
02.02.2010, 17:07
Vll Wireshark?
Oder netstat -a -n? du musst ihn schon ausführen auf Vm oder sonst bei Anubis hochladen.
Lord_Ben@
02.02.2010, 17:10
ok lade ihn grade bei anubis hoch, und wie würdest du vorschlagen soll ich dann weiter vorgehen wenn ich das botnet oder whatever das ist übernehmen will?
houston
02.02.2010, 17:36
Ich habe da das Tool "NetworkMiner 0.91"
Da wird der abgefangene Traffic gleich in Sparten unterteilt.
Darunter auch "Credentials" also Nutzername/Passwort.
Versuch es mal damit.

Leider kann man damit nicht sagen, welches Programm überwacht werden soll.
(Wie bei Wireshark usw.)

EDIT//
Zum übernehmen kann ich nichts sagen, vermute aber, dass du den richtigen Bot-Client brauchst, und dann die dazugehörige IP+Nutzer/Pass Kombie.
Oder im IRC den richtigen Namen/Channel oder ähnliches.
Kommt sicher auf den Bot an.

Achja, aus dem Log das du oben gepostet hat, kann ich nichts wissenswertes entnehmen.
Macht der nen DDoS?
Nookie
02.02.2010, 19:05
Ich habe da das Tool "NetworkMiner 0.91"
Da wird der abgefangene Traffic gleich in Sparten unterteilt.
Darunter auch "Credentials" also Nutzername/Passwort.
Versuch es mal damit.

Leider kann man damit nicht sagen, welches Programm überwacht werden soll.
(Wie bei Wireshark usw.)

EDIT//
Zum übernehmen kann ich nichts sagen, vermute aber, dass du den richtigen Bot-Client brauchst, und dann die dazugehörige IP+Nutzer/Pass Kombie.
Oder im IRC den richtigen Namen/Channel oder ähnliches.
Kommt sicher auf den Bot an.

Achja, aus dem Log das du oben gepostet hat, kann ich nichts wissenswertes entnehmen.
Macht der nen DDoS?

nein macht kein DDos... 127.0.0.1 is localhost...

das sind einträge die ins hostfile eingetragen werden

system32/driver - wenn ich mich da recht erinnere...

Eset is der Hersteller /publisher von NOD32... warscheinlich damit man seine AV Engine / Signatur nich updaten kann :)


und das net übernehmen kannst du nur dann wenn due herausbekommst wohin der bot verbindet und evt das PW und Username zum IRC login oder was auch immer im klartext mitschneiden kannst...

wird nich einfach oder gar unmöglich da das zeug eigentlich alles crypted ist :)