Beispiel neuer Trojaner
- Carlus
- Beiträge: 643
- Registriert: So 24. Aug 2014, 14:40
- Wohnort: Das Tor zur Welt
Re: Beispiel neuer Trojaner
hmm....
ich weiß jetzt nicht, wie alt das ding in der zip schon ist, aber das ergebnis bei virustotal lässt mich doch an einigen antiviren zweifeln.
handelt sich um einen mailanhang als zip, die eine exe enthält. gestern angekommen bei mir.
https://www.virustotal.com/de/file/7ea6 ... 415822680/
Erkennungsrate: 23 / 55
ich weiß jetzt nicht, wie alt das ding in der zip schon ist, aber das ergebnis bei virustotal lässt mich doch an einigen antiviren zweifeln.
handelt sich um einen mailanhang als zip, die eine exe enthält. gestern angekommen bei mir.
https://www.virustotal.com/de/file/7ea6 ... 415822680/
Erkennungsrate: 23 / 55
Gruß Carlus
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Nein, das war ein Link in einer E-Mail der ein ZIP Download startete. Emsisoft, avast! und Qihoo hatten den Host aber als gefährlich blockiert! Ich haben Download dann aber trotzdem durchgeführt.
Info an unerfahrene User: Bitte derartige Downloads nicht mit Gewalt herbei führen wenn ein AV-Programm dies schon blockiert!!!
Info an unerfahrene User: Bitte derartige Downloads nicht mit Gewalt herbei führen wenn ein AV-Programm dies schon blockiert!!!
Zuletzt geändert von takko am Mi 12. Nov 2014, 23:16, insgesamt 3-mal geändert.
Grund: Nur noch etwas verdeutlicht und Fehler beseitigt ;)
Grund: Nur noch etwas verdeutlicht und Fehler beseitigt ;)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Carlus - wundert mich ein wenig. Bisher hatte ich den Eindruck, dass .EXE-Malware leichter erkannt wird als beispielsweise solche in Word-Dokumenten.
We have bugs the likes of which even God has never seen!
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Datei aus BeitragsNr: 9349 wird von avast! hier lokal jetzt als "WIN32:FakeMail-W [Trj]" erkannt.
VT aktuell: >>> https://www.virustotal.com/de/file/0fb3 ... 415898182/
VT aktuell: >>> https://www.virustotal.com/de/file/0fb3 ... 415898182/
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Ich habe mal 2 Trojaner aus diesen Thread auf eine Testumgebung, Windows XP-SP3 installiert, um zu schauen in wie weit jetzt die Erkennungstiefe von den verschiedenen AV-Programmen reicht und ob eine Systeminfektion überhaupt erkannt wird. Die Malware Setup Dateien werden nun schon von vielen Scannern erkannt, das war nicht das Problem. Ziel war die Erkennung nach einer Infektion. Dabei bin ich folgendermaßen vorgegangen. Beide Trojaner geöffnet und ausgeführt, von da an rödelte der Rechner ununterbrochen und es konnte Netzwerktrafik beobachtet werden. Nach ca. einer Stunde den Rechner neu gestartet, lahmt jetzt ziemlich stark, und habe mit den Suchläufen begonnen. Es wurden nur Log Files erstellt und die Funde für den nächten Scan nicht gelöscht. Eine Datei wurde von Bitdefender umbenannt die aber auch Alle Progamme fanden. Für eine sichere Bereinigung kann sich wohl keiner dieser Programme mit Lohrbeeren schmücken.
Anschließend habe ich alles gefundende bereinigen lassen. Ob die Scanner nach weiteren Neustarts bimmeln werde ich dann berichten.
1. Falsche "Telekom_Rechnung.exe"
2. "Payment.pdf.exe"
Erster Suchlauf mit EAM:
Hier wurde leider nur die Setup Datei "Telekom_Rechnung.exe" gefunden, sonst nichts.
Scan Log
Hier wurden auch nur die Setups und zwei temporäre gefunden, lässt zumindistens eine Infektion erahnen.
Scan Log
Hier wurden ungefähr die Gleichen Dateien wie bei Malwarebytes gefunden, ZBot und Graftor waren auch dabei. Positiv ist mir aufgefallen das hier der Echtzeitscanner ziemlich schnell ist.
Ein richtiges Log File konnte leider nicht erstellt werden, bzw. habe ich nicht gefunden.
Vierter Scan mit Bitdefender Free
Hat auch die gleichen Dateien gefunden wie Malwarebytes
Log File
Anschließend habe ich alles gefundende bereinigen lassen. Ob die Scanner nach weiteren Neustarts bimmeln werde ich dann berichten.
1. Falsche "Telekom_Rechnung.exe"
2. "Payment.pdf.exe"
Erster Suchlauf mit EAM:
Hier wurde leider nur die Setup Datei "Telekom_Rechnung.exe" gefunden, sonst nichts.
Scan Log
Zweiter Suchlauf mit MalwarebytesEmsisoft Emergency Kit - Version 9.0
Letztes Update: 17.11.2014 19:45:13
Benutzerkonto: KEINE-18B061263\Administration
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, F:\
PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus
Scan Beginn: 17.11.2014 19:45:19
F:\Dokumente und Einstellungen\Administration\Desktop\2014_11rechnung_K4768955881.zip -> 2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe gefunden: Trojan.Dropper.XEN (B)
Gescannt 75008
Gefunden 1
Scan Ende: 17.11.2014 20:33:26
Scan Zeit: 0:48:07
Hier wurden auch nur die Setups und zwei temporäre gefunden, lässt zumindistens eine Infektion erahnen.
Scan Log
Dritter Suchlauf mit AVG 2014 FreeMalwarebytes Anti-Malware
http://www.malwarebytes.org" onclick="window.open(this.href);return false;
Suchlauf Datum: 17.11.2014
Suchlauf-Zeit: 20:47:39
Logdatei: ScanMBAM1.txt
Administrator: Ja
Version: 2.00.3.1025
Malware Datenbank: v2014.11.17.06
Rootkit Datenbank: v2014.11.12.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bцsartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows XP Service Pack 3
CPU: x86
Dateisystem: NTFS
Benutzer: Administration
Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 284195
Verstrichene Zeit: 2 Std, 19 Min, 9 Sek
Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(Keine schдdliche Elemente erkannt)
Module: 0
(Keine schдdliche Elemente erkannt)
Registrierungsschlьssel: 0
(Keine schдdliche Elemente erkannt)
Registrierungswerte: 0
(Keine schдdliche Elemente erkannt)
Registrierungsdaten: 0
(Keine schдdliche Elemente erkannt)
Ordner: 0
(Keine schдdliche Elemente erkannt)
Dateien: 10
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe.2077.gzquar, , [c4252e0c92ea023461606e7528d98e72],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Desktop\2014_11rechnung_K4768955881.zip, , [27c23109186439fdf8c9994a13ee5ea2],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Desktop\Payment.zip, , [6485b8827c0090a693ccfd6e56aa6c94],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Info.zip\Info.Pdf_____________________________________________________________.exe, , [fbeeea50611bf541c49be18a53adc53b],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [d613b2887705a690d4ed954ec23fb050],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für Payment.zip\Payment.Pdf_____________________________________________________________.exe, , [b534cb6fa5d7c3731e41ea814fb135cb],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [d316f54594e80036e9d82fb4fc05f10f],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [a1489c9ee19be1552d94d013dc25e719],
Trojan.Agent.ED, F:\WINDOWS\Temp\tmp0000336d\tmp00000804, , [87621b1f8cf067cfda6e647c5ba6c53b],
Spyware.Password, F:\WINDOWS\Temp\tmp0000336d\tmp00000816, , [46a358e21e5e67cfa8190ad9dc251ae6],
Physische Sektoren: 0
(Keine schдdliche Elemente erkannt)
(end)
Hier wurden ungefähr die Gleichen Dateien wie bei Malwarebytes gefunden, ZBot und Graftor waren auch dabei. Positiv ist mir aufgefallen das hier der Echtzeitscanner ziemlich schnell ist.
Ein richtiges Log File konnte leider nicht erstellt werden, bzw. habe ich nicht gefunden.
Vierter Scan mit Bitdefender Free
Hat auch die gleichen Dateien gefunden wie Malwarebytes
Log File
EndeScan Results
Auto Scan completed a Deep Sweep cycle on 11/17/2014 10:55:38 PM.
Effective scan time: 02:17:24
The scan took: 02:17:24
Files scanned: 17418
Infected items detected: 5
Files known to be clean: 14814
Scan Results
File Name Infection Action
f:\windows\temp\tmp0000336d\tmp00000804 Unknown Disinfect
f:\windows\temp\tmp0000336d\tmp00000816 Unknown Disinfect
f:\dokumente und einstellungen\administration\lokale einstellungen\temp\temporäres verzeichnis 1 für info.zip\info.pdf_____________________________________________________________.exe Trojan.GenericKD.1963246 Deleted
f:\dokumente und einstellungen\administration\lokale einstellungen\temp\temporäres verzeichnis 3 für 2014_11rechnung_k4768955881.zip\2014_11rechnung_k4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe Trojan.Dropper.XEN Deleted
f:\windows\temp\tmp0000336d\tmp00000804 Trojan.GenericKD.1963246 Deleted
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Grosses Kino! Von Dir! Von den Scanner leider weniger. Danke!
Interessieren wuerde mich jetzt noch FRST. Wenn Du da schon ein so schoen nachvollziehbar verseuchtes System hast...
Interessieren wuerde mich jetzt noch FRST. Wenn Du da schon ein so schoen nachvollziehbar verseuchtes System hast...
We have bugs the likes of which even God has never seen!
- beate67
- Beiträge: 1199
- Registriert: So 24. Aug 2014, 15:16
- Wohnort: am wunderschönen Niederrhein
Re: Beispiel neuer Trojaner
Das wäre schön gewesen vorher ein frst zu sehen und nach der Bereinigung.takko hat geschrieben: Anschließend habe ich alles gefundende bereinigen lassen.
Gruß, Beate
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
So, wie sich das anhoert duerfte da noch hinreichend Futter fuer FRST vorhanden sein.
We have bugs the likes of which even God has never seen!
- beate67
- Beiträge: 1199
- Registriert: So 24. Aug 2014, 15:16
- Wohnort: am wunderschönen Niederrhein
Re: Beispiel neuer Trojaner
Das glaube ich auch, aber man hätte einen schickeren Vergleich starten können, was der Virenschutz denn tatsächlich bereinigt hätte.
Gruß,Beate
Gruß,Beate
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Das FRST wollte ich noch machen, war aber total müde und musste mich ablegen. Das wird noch nachgereicht.
Die gefälschte Telekom_Rechnung.pdf.exe wurde nur durch die AV-Programme erkannt, da ich sie nach der Infektion nochmals auf den Desktop kopiert habe, denn nach der Ausführung löscht sich die Setup Datei von selbst um wahrscheinlich eine Infektion zu verschleiern. Von daher bin ich von Emsisoft mehr als enttäuscht da sie die Setup Datei ja schon einige Tage zur Analyse hatten und das vor den Anderen, also im Prinzip keine Infektion erkannt! Das darf nicht sein und ich werde das bei Emissoft auf jeden Fall noch reklamieren.
Nachtrag: FRST Scan
Ich habe die Malware Dateien neu ausgeführt, den Rechner neu gestartet und das FRST Log erstellt. Anschließend lasse ich die AV-Programme nochmal laufen.
FRST.txt
Addition.txt
Die gefälschte Telekom_Rechnung.pdf.exe wurde nur durch die AV-Programme erkannt, da ich sie nach der Infektion nochmals auf den Desktop kopiert habe, denn nach der Ausführung löscht sich die Setup Datei von selbst um wahrscheinlich eine Infektion zu verschleiern. Von daher bin ich von Emsisoft mehr als enttäuscht da sie die Setup Datei ja schon einige Tage zur Analyse hatten und das vor den Anderen, also im Prinzip keine Infektion erkannt! Das darf nicht sein und ich werde das bei Emissoft auf jeden Fall noch reklamieren.
Nachtrag: FRST Scan
Ich habe die Malware Dateien neu ausgeführt, den Rechner neu gestartet und das FRST Log erstellt. Anschließend lasse ich die AV-Programme nochmal laufen.
FRST.txt
Addition.txt
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Ganz schoen unerfreulich. Da ist kaum etwas zu sehen. Wie schon bei den Scanner - "ja, da scheint etwas zu sein", aber nicht im geringsten in dem Ausmass. Nicht gut.
We have bugs the likes of which even God has never seen!
- doj
- Beiträge: 144
- Registriert: So 24. Aug 2014, 19:00
Re: Beispiel neuer Trojaner
Wieso kaum was zu sehen, der 2. Reg. Eintrag ist ausreichend für einen Neuanfang.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Das ist aber nicht ansatzweise das Ausmass sichtbar, das ich erwarten wuerde, wenn gleich mehrere von den Teilen installiert sind.
We have bugs the likes of which even God has never seen!
- takko
- Moderator
- Beiträge: 2771
- Registriert: So 24. Aug 2014, 17:03
- Betriebssystem: Windows 10 Pro, Linux Mint
- Virenscanner: Emsisoft Anti-Malware
Re: Beispiel neuer Trojaner
Ich hatte auch ein größeres FRST Log erwartet. Eigenartiger weise lief der Test Rechner gestern ganz normal. Ich lasse nachher nochmal EAM laufen, wenn dann nicht die "hcbqhfbi.exe" gefunden wird, dann reklamiere ich das. Im Übrigen hatte AVG die "hcbqhfbi.exe" von Anfang an erkannt.
- doj
- Beiträge: 144
- Registriert: So 24. Aug 2014, 19:00
Re: Beispiel neuer Trojaner
Ich würde gerne wissen was ihr vermisst?
Nachdem ersten Test sieht man das ein Z-Bot aktiv war:
Der wurde bis jetzt noch nicht gefunden, daher lief der Pc bis dato wahrscheinlich noch nicht so bescheiden wie vorher.
Außerdem schreibt sich gleichzeitig jemand mit Ausführung der Malware in die win.ini:
Nachdem ersten Test sieht man das ein Z-Bot aktiv war:
2014-11-16 21:06 - 2014-11-16 21:06 - 00000000 ____D () F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oziqemegewypyvuh
Der wurde bis jetzt noch nicht gefunden, daher lief der Pc bis dato wahrscheinlich noch nicht so bescheiden wie vorher.
Außerdem schreibt sich gleichzeitig jemand mit Ausführung der Malware in die win.ini:
Der Passwortstehler ist ja klar:2014-11-18 21:03 - 2004-08-04 13:00 - 00000477 _____ () F:\WINDOWS\win.ini
HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [hcbqhfbi.exe] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe [151552 2008-04-14] ()
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Beispiel neuer Trojaner
Ich haette einfach erwartet, dass bei der "Installation" mehrerer Malwares auch mehr Eintraege zu finden sind. Oder soll ich jetzt glauben, dass die alle friedlich auf die gleichen Dateien zugreifen?
We have bugs the likes of which even God has never seen!
- doj
- Beiträge: 144
- Registriert: So 24. Aug 2014, 19:00
Re: Beispiel neuer Trojaner
Eigentlich hatte ich ja mehrere Einträge angesprochen, wir lassen das mal so stehen.
-
- Beiträge: 26
- Registriert: Do 28. Aug 2014, 17:41
- Betriebssystem: Windows 8.1
Re: Beispiel neuer Trojaner
Ich denke ein Scan in RE würde mehr Zeilen zeigen ...
Malware mag keine Konkurrenz und daher andere Malware entfernt. Recherchiert mal nach Mutex. Und VMs verfälschen oft die Ergebnisse.
Warum denkst Du das?Wieso kaum was zu sehen, der 2. Reg. Eintrag ist ausreichend für einen Neuanfang.
Malware mag keine Konkurrenz und daher andere Malware entfernt. Recherchiert mal nach Mutex. Und VMs verfälschen oft die Ergebnisse.
Cheers,
Machiavelli
Proud member of UNITE
Trained at GeeksToGo
Machiavelli
Proud member of UNITE
Trained at GeeksToGo
- beate67
- Beiträge: 1199
- Registriert: So 24. Aug 2014, 15:16
- Wohnort: am wunderschönen Niederrhein
Re: Beispiel neuer Trojaner
Das hat doj doch klar gesagt. Der Zbot-Fund reicht locker aus für einen Neuanfang.
Wenn Du Abkürzungen benutzt wäre es sehr freundlich wenn Du sie uns übersetzen würdest. Danke
Gruß, Beate
Wenn Du Abkürzungen benutzt wäre es sehr freundlich wenn Du sie uns übersetzen würdest. Danke
Gruß, Beate
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
-
- Beiträge: 26
- Registriert: Do 28. Aug 2014, 17:41
- Betriebssystem: Windows 8.1
Re: Beispiel neuer Trojaner
Das ist reine meinungssache. Ich bin und bleibe bei einer anderen Meinung.Der Zbot-Fund reicht locker aus für einen Neuanfang
RE=Recovery EnvironmentWenn Du Abkürzungen benutzt wäre es sehr freundlich wenn Du sie uns übersetzen würdest. Danke
VM = Virtual Machine
Cheers,
Machiavelli
Proud member of UNITE
Trained at GeeksToGo
Machiavelli
Proud member of UNITE
Trained at GeeksToGo