Bin ich infiziert? Bin mir nicht sicher!

[T²eXtra]

Hy,

Also ich habe da ein prob. ich weiss net genau ob es infectet ist alsi virustotal sagt 1/43

VirusTotal - Free Online Virus, Malware and URL Scanner

Besser net benutzen oder?

Danke schonmal

[Donut]

Lass es morgen oder übermorgen nochmal auf VirusTotal scannen. Oder poste die Datei hier.

[EBFE]

http://www.virustotal.com/file-scan/...c89-1284760962
(1/42) dosbox 0.73
http://www.virustotal.com/file-scan/...59d-1277128325
(2/42) freepascal compiler
http://www.virustotal.com/file-scan/...eb2-1284730808
(2/42) ollydbg
http://www.virustotal.com/file-scan/...4a2-1284762306
(5/42) der gute alte codesoft loader (sourcecode vorhanden)
http://www.virustotal.com/file-scan/...8bd-1284763150
(16/42) ein altes, unfertiges 32K Intro (sourcecode vorhanden)


und das letzte:

Antivirus results
AhnLab-V3 - 2010.09.18.00 - 2010.09.17 - -
AntiVir - 8.2.4.52 - 2010.09.17 - -
Antiy-AVL - 2.0.3.7 - 2010.09.17 - -
Authentium - 5.2.0.5 - 2010.09.17 - -
Avast - 4.8.1351.0 - 2010.09.17 - -
Avast5 - 5.0.594.0 - 2010.09.17 - -
AVG - 9.0.0.851 - 2010.09.17 - -
BitDefender - 7.2 - 2010.09.17 - -
CAT-QuickHeal - 11.00 - 2010.09.17 - -
ClamAV - 0.96.2.0-git - 2010.09.17 - -
Comodo - 6114 - 2010.09.17 - -
DrWeb - 5.0.2.03300 - 2010.09.17 - -
Emsisoft - 5.0.0.37 - 2010.09.17 - -
eSafe - 7.0.17.0 - 2010.09.17 - -
eTrust-Vet - 36.1.7862 - 2010.09.17 - -
F-Prot - 4.6.1.107 - 2010.09.17 - -
F-Secure - 9.0.15370.0 - 2010.09.17 - -
Fortinet - 4.1.143.0 - 2010.09.17 - -
GData - 21 - 2010.09.17 - -
Ikarus - T3.1.1.88.0 - 2010.09.17 - -
Jiangmin - 13.0.900 - 2010.09.17 - -
K7AntiVirus - 9.63.2542 - 2010.09.17 - -
Kaspersky - 7.0.0.125 - 2010.09.17 - -
McAfee - 5.400.0.1158 - 2010.09.18 - -
McAfee-GW-Edition - 2010.1C - 2010.09.17 - -
Microsoft - 1.6201 - 2010.09.17 - -
NOD32 - 5458 - 2010.09.17 - -
Norman - 6.06.06 - 2010.09.17 - -
nProtect - 2010-09-17.01 - 2010.09.17 - -
Panda - 10.0.2.7 - 2010.09.17 - -
PCTools - 7.0.3.5 - 2010.09.17 - -
Prevx - 3.0 - 2010.09.18 - -
Rising - 22.65.04.01 - 2010.09.17 - -
Sophos - 4.57.0 - 2010.09.17 - -
Sunbelt - 6889 - 2010.09.17 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.09.18 - -
Symantec - 20101.1.1.7 - 2010.09.17 - -
TheHacker - 6.7.0.0.022 - 2010.09.17 - -
TrendMicro - 9.120.0.1004 - 2010.09.17 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.09.17 - -
VBA32 - 3.12.14.0 - 2010.09.17 - -
ViRobot - 2010.8.25.4006 - 2010.09.17 - -
VirusBuster - 12.65.12.0 - 2010.09.17 - -
File info:

0/42 - ein FirewallBypass_Downloader (getestet an Kaspersky I-Net Suit, ZA, Outpost mit allen "Proaktiv_ultra_high_end_protections" )

Was sagt es aus? VT & Co Scans verraten nichts über die tatsächliche Gefahr, die von einer Software ausgehen könnte.
Und kleinere Projekte ohne kommerziellen Hintergrund/Firma dahinter sind meiner Erfahrung nach sowieso oft im Nachteil. Denn für einen False-Positiv bei Sun oder MS Software können die AVs ganz schnell einen auf den Deckel bekommen, während es bei kleinen Projekten niemanden so richtig interessiert (wo kein Anwalt, da kein Recht oder so ähnlich )

D.h:
1)man lädt Software nur aus vertrauenswürdigen Quellen
2)wenn 1) nicht zutrifft, lässt man es entweder sein oder führt diese nur auf einer VM aus.

[T²eXtra]

okay ^^ danke erstmal vertrauens würdige quellen -.- wo soll ich denn trainer aus vertrauenswürdigen quellen herbekommen XD

naja wie auch immer ich Poste hier jetzt mal die datei also vorsicht werkeinplan hat XD

Download: screen.exe | xup.in

:o:o:o:o

Danke schonmal wer mir dabei hilft wär auch mal cool zu erfahren wie man sowas 100% testen kann ...
Mir könnte es ja mal wer zeigen oder ein tut schreiben filmen etc. :p
Ich freue mich immer was neues zu lernen .

mfg

[Cyber Tjak]

Die screen.exe startet in der Sandbox nicht..
Merkwürdig!

[luxury11]

Die Datei ist Gedropt,
da hat der Coder wahrscheinlich etwas zuverbergen.

Zitat EBFE: Nicht vertrauenswürdig
@Tjak : AntiSandbox.NET SourceCode CP

[EBFE]

okay ^^ danke erstmal vertrauens würdige quellen -.- wo soll ich denn trainer aus vertrauenswürdigen quellen herbekommen XD

Autorseite .
Gibt ja nicht selten, dass da auch Source mitgegeben wird (zumindest bei älteren Trainern, bei Games bin ich schon länger nicht mehr aktuell ). Ein Source schließt zwar eine Infection nicht aus, die Wahrscheinlichkeit jedoch ist schon mal viel geringer. Dann wie hier schon gepostet wurde - SandBoxie/VM. Falls es nicht darin läuft, ist es merkwürdig .

Und BTW: für einen Trainer (die normalerweise in den Speicher der Anwendung eingreifen und den Prozess sonstwie manipulieren) ist die VT Detectionsrate viel zu niedrig. DAS ist auffällig

Danke schonmal wer mir dabei hilft wär auch mal cool zu erfahren wie man sowas 100% testen kann ...

100% wird schonmal schwer. Noch nichtmal durch das Debuggen kann man auf die schnelle 100% sichergehen (davon abgesehen, dass man mindestens paar Monate braucht, um überhaupt mit dem Debugger anständig arbeiten zu können).
Du kannst aber z.B VM installieren und auf dem Hauptrechner WireShark oder ähnlichen Netzwerkverkehranalyser. Damit lässt sich zumindest schauen, ob seltsame Verbindungen nach außen ausgehen.
Falls die Software in der VM nicht startet, lässt man gleich die Finger davon. Mit solchen netten Tools wie ProcessExplorer kann man zudem Details zu laufenden Prozessen anzeigen.
Beispielsweise startet man die Software in der VM. Dabei hat man die z.B im "C:\test" Ordner. Auf den ersten Blick startet die ganz normal. Der ProzessExplorer zeigt aber für diesen Prozess unter "Eigenschaften" ->"Image" den Pfad "C:\dokumente und einstellungen\App Data\bla". Das heißt, dass die Datei erstmal dahin kopiert wurde und dann gestartet <--- also "böse" Datei.

Btw: zu dem angeblichen Trainer:

kleine Analyse im OllyDbg:

kein normaler NET EntryPoint

Code:

004073FE >- FF25 00204000   JMP DWORD PTR DS:[<&mscoree._CorExeMain>>; mscoree._CorExeMain

Den bis jetzt nur bei "NET Crypt0rn" gesehen.

Startet eine komische Firefox.exe von:

Code:

0012E9E4   00D92493  /CALL to CreateProcessA from 00D92491
0012E9E8   00000000  |ModuleFileName = NULL
0012E9EC   00181F18  |CommandLine = "C:\DOCUME~1\IETest\Local Settings\Temp\XNl1zF7eHXTtt\firefox.exe"
SUSPENDED

Original ist die Exe ein:
"Visual Basic Command Line Compiler"

Zumindest bei mir gibt es einen "BAD EXE Format" Fehler zurück, solange "ModuleFileNAme" = NULL ist, aber vielleicht ist mein XP schon so veraltet, dass es nicht mehr berücksichtigt wird .
Oder der "Crypt0rCoder" hat hier einen Fehler gemacht und Code vergessen . Bei mir startet es jedenfalls nur, wenn ich "per Hand" nachhelfe und beim CreateProcessA den ModuleFileName auch auf diese "Firefox.exe" setzte.

Wie dem auch sei, in die gestartete Exe wird neuer Inhalt geschrieben. Also RUNPE Muster.

Komischerweise habe ich keine Anti-VM entdecken können. Der neue Inhalt der "Firefox.exe" lässt sich wunderbar dumpen. Dazu platziert man nach dem "CreateProcessA" Aufruf einen Breakpoint auf ZwResumeThread und wenn dieser aufgerufen wird, kann man in Olly den "firefox" Prozess attachen, über Alt+M die Memory-Map anzeigen lassen und den 400000 Bereich über Rechtsklick -> "Dump memory area" speichern.

Den Dump muss man noch fixen: dazu im CFF Explorer öffnen und bei Section Headers die "RawAddress" Werte gleich "VirtualAddress" setzen.

Nun sieht man, dass es ein IStealer ist. Kann in Olly geladen werden.
Anti-VM:

Code:

00401BBA  |> /0F31          /RDTSC
00401BBC  |. |8BD8          |MOV EBX,EAX
00401BBE  |. |0F31          |RDTSC
00401BC0  |. |2BC3          |SUB EAX,EBX
00401BC2  |. |50            |PUSH EAX
00401BC3  |. |83F8 01       |CMP EAX,1
00401BC6  |.^\74 F2         \JE SHORT DUMP_004.00401BBA
00401BC8  |.  58            POP EAX
00401BC9  |.  3D 00020000   CMP EAX,200
00401BCE  |.  72 09         JB SHORT DUMP_004.00401BD9 <--- zu JMP

Liest aus:

Code:

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\msn.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\aim.ini"

0012F3B8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F3BC   7FFDFC00  |FileName = "C:\Program Files\Trillian\users\default\yahoo.ini"

0012F5D8   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5DC   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\.purple\accounts.xml"

0012F248   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F24C   7FFDFC00  |FileName = "C:\program files\steam\ClientRegistry.blob"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\All Users\Application Data\DynDNS\Updater\config.dyndns"

0012D788   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012D78C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Mozilla\Firefox\Profiles/enjxr3uc.default/secmod.db"

0012F258   7C82773F  /CALL to CreateFileW from kernel32.7C82773A
0012F25C   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data"

0012EE84   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012EE88   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\Opera\Opera\wand.dat"

0012F5A0   7C801A53  /CALL to CreateFileW from kernel32.7C801A4E
0012F5A4   7FFDFC00  |FileName = "C:\Documents and Settings\IETest\Application Data\FileZilla\recentservers.xml"

Masterseite:

Code:

004059CB  |.  68 B6564500   PUSH DUMP_004.004556B6                   ;  ASCII "http://hundekopf.hu.funpic.de/blog/index.php/"

ist also gebunden mit dem elitären "realH4x0rT00l" IStealer
Webpanel:
http://hundekopf.hu.funpic.de/blog/index.php/

[Newed]

Siehst also nicht grade nett aus o.o

[EBFE]

Sorry, zwar fast Offtopic, aber ich konnte es mir nicht verkneifen




Die Einträge mussten sein - damit ihm nicht langweilig wird, nachdem die 500 "echten" Login-Einträge plötzlich im Datenbanknirvana verschwunden sind *g*
Edit: Shadowstyle, du Spielverderber. Ich wollte doch auch mal ein Erfolgserlebniss haben
Schließlich kann man nicht jeden Tag einen "für 10PSC fast FUD 3l33te NET Crypt0r" Besitzer haxxorn

[Shadowstyle]

Vorallem:
http://hundekopf.hu.funpic.de/blog/index.php/
User: admin
Pass: admin
xD