PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bin ich infiziert? Bin mir nicht sicher!


T²eXtra
17.09.2010, 22:35
Hy,

Also ich habe da ein prob. ich weiss net genau ob es infectet ist alsi virustotal sagt 1/43

VirusTotal - Free Online Virus, Malware and URL Scanner (http://www.virustotal.com/file-scan/report.html?id=1f9eb58bef8e218ac938e13365aac253dba bcefbc1bc169fcbbc6fab575a9e6b-1284758059)

Besser net benutzen oder? :D

Danke schonmal
Donut
17.09.2010, 22:36
Lass es morgen oder übermorgen nochmal auf VirusTotal scannen. Oder poste die Datei hier.
EBFE
17.09.2010, 23:47
http://www.virustotal.com/file-scan/report.html?id=92b3df979d93ff29404be775ec7881e4dd5 a970c73be011e9b13d006b5d58c89-1284760962
(1/42) dosbox 0.73
http://www.virustotal.com/file-scan/report.html?id=5b62735119cc864866e5b4f5cec1484fa73 d48f3d2267d23d1ed8fe07247159d-1277128325
(2/42) freepascal compiler
http://www.virustotal.com/file-scan/report.html?id=1a651ddcc2c9997524c4eee89e73b0f97b4 3478286cf2249926d728cce390eb2-1284730808
(2/42) ollydbg
http://www.virustotal.com/file-scan/report.html?id=5fcc69f9902984ad81a5fde886540bd7219 f88985032dde0b0ac120c27ee64a2-1284762306
(5/42) der gute alte codesoft loader (sourcecode vorhanden)
http://www.virustotal.com/file-scan/report.html?id=758f7d39f8c31d6e0cc92f658b624abe74f 577605540241d7a6494b6fc6d18bd-1284763150
(16/42) ein altes, unfertiges 32K Intro (sourcecode vorhanden) :)


und das letzte:

Antivirus results
AhnLab-V3 - 2010.09.18.00 - 2010.09.17 - -
AntiVir - 8.2.4.52 - 2010.09.17 - -
Antiy-AVL - 2.0.3.7 - 2010.09.17 - -
Authentium - 5.2.0.5 - 2010.09.17 - -
Avast - 4.8.1351.0 - 2010.09.17 - -
Avast5 - 5.0.594.0 - 2010.09.17 - -
AVG - 9.0.0.851 - 2010.09.17 - -
BitDefender - 7.2 - 2010.09.17 - -
CAT-QuickHeal - 11.00 - 2010.09.17 - -
ClamAV - 0.96.2.0-git - 2010.09.17 - -
Comodo - 6114 - 2010.09.17 - -
DrWeb - 5.0.2.03300 - 2010.09.17 - -
Emsisoft - 5.0.0.37 - 2010.09.17 - -
eSafe - 7.0.17.0 - 2010.09.17 - -
eTrust-Vet - 36.1.7862 - 2010.09.17 - -
F-Prot - 4.6.1.107 - 2010.09.17 - -
F-Secure - 9.0.15370.0 - 2010.09.17 - -
Fortinet - 4.1.143.0 - 2010.09.17 - -
GData - 21 - 2010.09.17 - -
Ikarus - T3.1.1.88.0 - 2010.09.17 - -
Jiangmin - 13.0.900 - 2010.09.17 - -
K7AntiVirus - 9.63.2542 - 2010.09.17 - -
Kaspersky - 7.0.0.125 - 2010.09.17 - -
McAfee - 5.400.0.1158 - 2010.09.18 - -
McAfee-GW-Edition - 2010.1C - 2010.09.17 - -
Microsoft - 1.6201 - 2010.09.17 - -
NOD32 - 5458 - 2010.09.17 - -
Norman - 6.06.06 - 2010.09.17 - -
nProtect - 2010-09-17.01 - 2010.09.17 - -
Panda - 10.0.2.7 - 2010.09.17 - -
PCTools - 7.0.3.5 - 2010.09.17 - -
Prevx - 3.0 - 2010.09.18 - -
Rising - 22.65.04.01 - 2010.09.17 - -
Sophos - 4.57.0 - 2010.09.17 - -
Sunbelt - 6889 - 2010.09.17 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.18 - -
Symantec - 20101.1.1.7 - 2010.09.17 - -
TheHacker - 6.7.0.0.022 - 2010.09.17 - -
TrendMicro - 9.120.0.1004 - 2010.09.17 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.17 - -
VBA32 - 3.12.14.0 - 2010.09.17 - -
ViRobot - 2010.8.25.4006 - 2010.09.17 - -
VirusBuster - 12.65.12.0 - 2010.09.17 - -
File info:
0/42 - ein FirewallBypass_Downloader (getestet an Kaspersky I-Net Suit, ZA, Outpost mit allen "Proaktiv_ultra_high_end_protections" ) :)

Was sagt es aus? VT & Co Scans verraten nichts über die tatsächliche Gefahr, die von einer Software ausgehen könnte.
Und kleinere Projekte ohne kommerziellen Hintergrund/Firma dahinter sind meiner Erfahrung nach sowieso oft im Nachteil. Denn für einen False-Positiv bei Sun oder MS Software können die AVs ganz schnell einen auf den Deckel bekommen, während es bei kleinen Projekten niemanden so richtig interessiert (wo kein Anwalt, da kein Recht oder so ähnlich :rolleyes: )

D.h:
1)man lädt Software nur aus vertrauenswürdigen Quellen
2)wenn 1) nicht zutrifft, lässt man es entweder sein oder führt diese nur auf einer VM aus.
T²eXtra
18.09.2010, 05:03
okay ^^ danke erstmal vertrauens würdige quellen -.- wo soll ich denn trainer aus vertrauenswürdigen quellen herbekommen XD

naja wie auch immer ich Poste hier jetzt mal die datei also vorsicht werkeinplan hat XD

Download: screen.exe | xup.in (http://www.xup.in/dl,14612692/screen.exe/)

:o:o:o:o

Danke schonmal wer mir dabei hilft wär auch mal cool zu erfahren wie man sowas 100% testen kann ...
Mir könnte es ja mal wer zeigen oder ein tut schreiben filmen etc. :P:p
Ich freue mich immer was neues zu lernen .

mfg
Cyber Tjak
18.09.2010, 08:55
Die screen.exe startet in der Sandbox nicht..
Merkwürdig!
luxury11
18.09.2010, 09:26
Die Datei ist Gedropt,
da hat der Coder wahrscheinlich etwas zuverbergen.

Zitat EBFE: Nicht vertrauenswürdig
@Tjak (http://free-hack.com/member.php?u=65075) : AntiSandbox.NET SourceCode CP
EBFE
18.09.2010, 13:27
okay ^^ danke erstmal vertrauens würdige quellen -.- wo soll ich denn trainer aus vertrauenswürdigen quellen herbekommen XD
Autorseite ;).
Gibt ja nicht selten, dass da auch Source mitgegeben wird (zumindest bei älteren Trainern, bei Games bin ich schon länger nicht mehr aktuell ;)). Ein Source schließt zwar eine Infection nicht aus, die Wahrscheinlichkeit jedoch ist schon mal viel geringer. Dann wie hier schon gepostet wurde - SandBoxie/VM. Falls es nicht darin läuft, ist es merkwürdig ;).

Und BTW: für einen Trainer (die normalerweise in den Speicher der Anwendung eingreifen und den Prozess sonstwie manipulieren) ist die VT Detectionsrate viel zu niedrig. DAS ist auffällig :)


Danke schonmal wer mir dabei hilft wär auch mal cool zu erfahren wie man sowas 100% testen kann ...100% wird schonmal schwer. Noch nichtmal durch das Debuggen (http://de.wikipedia.org/wiki/Debugger) kann man auf die schnelle 100% sichergehen (davon abgesehen, dass man mindestens paar Monate braucht, um überhaupt mit dem Debugger anständig arbeiten zu können).
Du kannst aber z.B VM installieren und auf dem Hauptrechner WireShark oder ähnlichen Netzwerkverkehranalyser. Damit lässt sich zumindest schauen, ob seltsame Verbindungen nach außen ausgehen.
Falls die Software in der VM nicht startet, lässt man gleich die Finger davon. Mit solchen netten Tools wie ProcessExplorer (http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx) kann man zudem Details zu laufenden Prozessen anzeigen.
Beispielsweise startet man die Software in der VM. Dabei hat man die z.B im "C:\test" Ordner. Auf den ersten Blick startet die ganz normal. Der ProzessExplorer zeigt aber für diesen Prozess unter "Eigenschaften" ->"Image" den Pfad "C:\dokumente und einstellungen\App Data\bla". Das heißt, dass die Datei erstmal dahin kopiert wurde und dann gestartet <--- also "böse" Datei.

Btw: zu dem angeblichen Trainer:

kleine Analyse im OllyDbg:

kein normaler NET EntryPoint


004073FE >- FF25 00204000 JMP DWORD PTR DS:[<&mscoree._CorExeMain>>; mscoree._CorExeMain Den bis jetzt nur bei "NET Crypt0rn" gesehen.

Startet eine komische Firefox.exe von:


0012E9E4 00D92493 /CALL to CreateProcessA from 00D92491
0012E9E8 00000000 |ModuleFileName = NULL
0012E9EC 00181F18 |CommandLine = "C:\DOCUME~1\IETest\Local Settings\Temp\XNl1zF7eHXTtt\firefox.exe"
SUSPENDEDOriginal ist die Exe ein:
"Visual Basic Command Line Compiler"

Zumindest bei mir gibt es einen "BAD EXE Format" Fehler zurück, solange "ModuleFileNAme" = NULL ist, aber vielleicht ist mein XP schon so veraltet, dass es nicht mehr berücksichtigt wird :(.
Oder der "Crypt0rCoder" hat hier einen Fehler gemacht und Code vergessen :rolleyes:. Bei mir startet es jedenfalls nur, wenn ich "per Hand" nachhelfe und beim CreateProcessA den ModuleFileName auch auf diese "Firefox.exe" setzte.

Wie dem auch sei, in die gestartete Exe wird neuer Inhalt geschrieben. Also RUNPE Muster.

Komischerweise habe ich keine Anti-VM entdecken können. Der neue Inhalt der "Firefox.exe" lässt sich wunderbar dumpen. Dazu platziert man nach dem "CreateProcessA" Aufruf einen Breakpoint auf ZwResumeThread und wenn dieser aufgerufen wird, kann man in Olly den "firefox" Prozess attachen, über Alt+M die Memory-Map anzeigen lassen und den 400000 Bereich über Rechtsklick -> "Dump memory area" speichern.

Den Dump muss man noch fixen: dazu im CFF Explorer öffnen und bei Section Headers die "RawAddress" Werte gleich "VirtualAddress" setzen.

Nun sieht man, dass es ein IStealer ist. Kann in Olly geladen werden.
Anti-VM:


00401BBA |> /0F31 /RDTSC
00401BBC |. |8BD8 |MOV EBX,EAX
00401BBE |. |0F31 |RDTSC
00401BC0 |. |2BC3 |SUB EAX,EBX
00401BC2 |. |50 |PUSH EAX
00401BC3 |. |83F8 01 |CMP EAX,1
00401BC6 |.^\74 F2 \JE SHORT DUMP_004.00401BBA
00401BC8 |. 58 POP EAX
00401BC9 |. 3D 00020000 CMP EAX,200
00401BCE |. 72 09 JB SHORT DUMP_004.00401BD9 <--- zu JMP
Liest aus:


0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\msn.ini"

0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\aim.ini"

0012F3B8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC 7FFDFC00 |FileName = "C:\Program Files\Trillian\users\default\yahoo.ini"

0012F5D8 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5DC 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\.purple\accounts.xml"

0012F248 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F24C 7FFDFC00 |FileName = "C:\program files\steam\ClientRegistry.blob"

0012F5A0 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4 7FFDFC00 |FileName = "C:\Documents and Settings\All Users\Application Data\DynDNS\Updater\config.dyndns"

0012D788 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012D78C 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\Mozilla\Firefox\Profiles/enjxr3uc.default/secmod.db"

0012F258 7C82773F /CALL to CreateFileW from kernel32.7C82773A
0012F25C 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"

0012EE84 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012EE88 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\Opera\Opera\wand.dat"

0012F5A0 7C801A53 /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4 7FFDFC00 |FileName = "C:\Documents and Settings\IETest\Application Data\FileZilla\recentservers.xml"
Masterseite:


004059CB |. 68 B6564500 PUSH DUMP_004.004556B6 ; ASCII "http://hundekopf.hu.funpic.de/blog/index.php/"

ist also gebunden mit dem elitären "realH4x0rT00l" IStealer :)
Webpanel:
http://hundekopf.hu.funpic.de/blog/index.php/
Newed
18.09.2010, 13:52
Siehst also nicht grade nett aus o.o
EBFE
18.09.2010, 15:07
Sorry, zwar fast Offtopic, aber ich konnte es mir nicht verkneifen :)
http://img830.imageshack.us/img830/2255/screensay.th.png (http://img830.imageshack.us/i/screensay.png/)



Die Einträge mussten sein - damit ihm nicht langweilig wird, nachdem die 500 "echten" Login-Einträge plötzlich im Datenbanknirvana verschwunden sind *g*
Edit: Shadowstyle, du Spielverderber. Ich wollte doch auch mal ein Erfolgserlebniss haben :(
Schließlich kann man nicht jeden Tag einen "für 10PSC fast FUD 3l33te NET Crypt0r" Besitzer haxxorn :(
Shadowstyle
18.09.2010, 15:18
Vorallem:
http://hundekopf.hu.funpic.de/blog/index.php/ (http://free-hack.com/redirect-to/?redirect=http%3A%2F%2Fhundekopf.hu.funpic.de%2Fbl og%2Findex.php%2F)
User: admin
Pass: admin
xD
Cyber Tjak
18.09.2010, 15:23
No logs found!

Irgendwer hat alle Logs gelöscht..
hl2.exe
18.09.2010, 15:27
Wayne?

@EBFE - Hast du super gemacht! :P
T²eXtra
19.09.2010, 06:11
Vorallem:
http://hundekopf.hu.funpic.de/blog/index.php/
User: admin
Pass: admin
xD

0o sry ich bin net so^^^was habt ihr gemacht die logs gelöscht und welche zugefügt oder wie muss ich das verstehen? :o xD

edit: Wer bennent mein Thread um ich bin net infiziert xD
Apex
20.09.2010, 15:45
Die eigentliche Themafrage ist ja jetzt erledigt.

Closed.