Beispiel neuer Trojaner

Hier wird Dir geholfen, Viren, Trojaner und andere unerwünschte Programme von Deinem Rechner zu entfernen.
Gesperrt
Benutzeravatar
Carlus
Beiträge: 643
Registriert: So 24. Aug 2014, 14:40
Wohnort: Das Tor zur Welt

Re: Beispiel neuer Trojaner

Beitrag von Carlus »

hmm....

ich weiß jetzt nicht, wie alt das ding in der zip schon ist, aber das ergebnis bei virustotal lässt mich doch an einigen antiviren zweifeln.

handelt sich um einen mailanhang als zip, die eine exe enthält. gestern angekommen bei mir.

https://www.virustotal.com/de/file/7ea6 ... 415822680/
Erkennungsrate: 23 / 55
Gruß Carlus

Die Stimme ist eine menschliche Gabe. Sie sollte geschätzt und benutzt werden.
Kraftlosigkeit und Schweigen gehören zusammen.
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Nein, das war ein Link in einer E-Mail der ein ZIP Download startete. Emsisoft, avast! und Qihoo hatten den Host aber als gefährlich blockiert! Ich haben Download dann aber trotzdem durchgeführt.

Info an unerfahrene User: Bitte derartige Downloads nicht mit Gewalt herbei führen wenn ein AV-Programm dies schon blockiert!!!
Zuletzt geändert von takko am Mi 12. Nov 2014, 23:16, insgesamt 3-mal geändert.
Grund: Nur noch etwas verdeutlicht und Fehler beseitigt ;)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Carlus - wundert mich ein wenig. Bisher hatte ich den Eindruck, dass .EXE-Malware leichter erkannt wird als beispielsweise solche in Word-Dokumenten.
We have bugs the likes of which even God has never seen!
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Datei aus BeitragsNr: 9349 wird von avast! hier lokal jetzt als "WIN32:FakeMail-W [Trj]" erkannt.

VT aktuell: >>> https://www.virustotal.com/de/file/0fb3 ... 415898182/
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Ich habe mal 2 Trojaner aus diesen Thread auf eine Testumgebung, Windows XP-SP3 installiert, um zu schauen in wie weit jetzt die Erkennungstiefe von den verschiedenen AV-Programmen reicht und ob eine Systeminfektion überhaupt erkannt wird. Die Malware Setup Dateien werden nun schon von vielen Scannern erkannt, das war nicht das Problem. Ziel war die Erkennung nach einer Infektion. Dabei bin ich folgendermaßen vorgegangen. Beide Trojaner geöffnet und ausgeführt, von da an rödelte der Rechner ununterbrochen und es konnte Netzwerktrafik beobachtet werden. Nach ca. einer Stunde den Rechner neu gestartet, lahmt jetzt ziemlich stark, und habe mit den Suchläufen begonnen. Es wurden nur Log Files erstellt und die Funde für den nächten Scan nicht gelöscht. Eine Datei wurde von Bitdefender umbenannt die aber auch Alle Progamme fanden. Für eine sichere Bereinigung kann sich wohl keiner dieser Programme mit Lohrbeeren schmücken.

Anschließend habe ich alles gefundende bereinigen lassen. Ob die Scanner nach weiteren Neustarts bimmeln werde ich dann berichten.

1. Falsche "Telekom_Rechnung.exe"
2. "Payment.pdf.exe"


Erster Suchlauf mit EAM:


Hier wurde leider nur die Setup Datei "Telekom_Rechnung.exe" gefunden, sonst nichts.

Scan Log
Emsisoft Emergency Kit - Version 9.0
Letztes Update: 17.11.2014 19:45:13
Benutzerkonto: KEINE-18B061263\Administration

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, F:\

PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn: 17.11.2014 19:45:19
F:\Dokumente und Einstellungen\Administration\Desktop\2014_11rechnung_K4768955881.zip -> 2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe gefunden: Trojan.Dropper.XEN (B)

Gescannt 75008
Gefunden 1

Scan Ende: 17.11.2014 20:33:26
Scan Zeit: 0:48:07
Zweiter Suchlauf mit Malwarebytes

Hier wurden auch nur die Setups und zwei temporäre gefunden, lässt zumindistens eine Infektion erahnen.

Scan Log
Malwarebytes Anti-Malware
http://www.malwarebytes.org" onclick="window.open(this.href);return false;

Suchlauf Datum: 17.11.2014
Suchlauf-Zeit: 20:47:39
Logdatei: ScanMBAM1.txt
Administrator: Ja

Version: 2.00.3.1025
Malware Datenbank: v2014.11.17.06
Rootkit Datenbank: v2014.11.12.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bцsartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows XP Service Pack 3
CPU: x86
Dateisystem: NTFS
Benutzer: Administration

Suchlauf-Art: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 284195
Verstrichene Zeit: 2 Std, 19 Min, 9 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schдdliche Elemente erkannt)

Module: 0
(Keine schдdliche Elemente erkannt)

Registrierungsschlьssel: 0
(Keine schдdliche Elemente erkannt)

Registrierungswerte: 0
(Keine schдdliche Elemente erkannt)

Registrierungsdaten: 0
(Keine schдdliche Elemente erkannt)

Ordner: 0
(Keine schдdliche Elemente erkannt)

Dateien: 10
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe.2077.gzquar, , [c4252e0c92ea023461606e7528d98e72],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Desktop\2014_11rechnung_K4768955881.zip, , [27c23109186439fdf8c9994a13ee5ea2],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Desktop\Payment.zip, , [6485b8827c0090a693ccfd6e56aa6c94],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Info.zip\Info.Pdf_____________________________________________________________.exe, , [fbeeea50611bf541c49be18a53adc53b],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [d613b2887705a690d4ed954ec23fb050],
Trojan.Extension.Exploit, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für Payment.zip\Payment.Pdf_____________________________________________________________.exe, , [b534cb6fa5d7c3731e41ea814fb135cb],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [d316f54594e80036e9d82fb4fc05f10f],
Spyware.Password, F:\Dokumente und Einstellungen\Administration\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für 2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe, , [a1489c9ee19be1552d94d013dc25e719],
Trojan.Agent.ED, F:\WINDOWS\Temp\tmp0000336d\tmp00000804, , [87621b1f8cf067cfda6e647c5ba6c53b],
Spyware.Password, F:\WINDOWS\Temp\tmp0000336d\tmp00000816, , [46a358e21e5e67cfa8190ad9dc251ae6],

Physische Sektoren: 0
(Keine schдdliche Elemente erkannt)


(end)
Dritter Suchlauf mit AVG 2014 Free

Hier wurden ungefähr die Gleichen Dateien wie bei Malwarebytes gefunden, ZBot und Graftor waren auch dabei. Positiv ist mir aufgefallen das hier der Echtzeitscanner ziemlich schnell ist.

Ein richtiges Log File konnte leider nicht erstellt werden, bzw. habe ich nicht gefunden.


Vierter Scan mit Bitdefender Free

Hat auch die gleichen Dateien gefunden wie Malwarebytes

Log File
Scan Results
Auto Scan completed a Deep Sweep cycle on 11/17/2014 10:55:38 PM.
Effective scan time: 02:17:24
The scan took: 02:17:24
Files scanned: 17418
Infected items detected: 5
Files known to be clean: 14814
Scan Results
File Name Infection Action
f:\windows\temp\tmp0000336d\tmp00000804 Unknown Disinfect
f:\windows\temp\tmp0000336d\tmp00000816 Unknown Disinfect
f:\dokumente und einstellungen\administration\lokale einstellungen\temp\temporäres verzeichnis 1 für info.zip\info.pdf_____________________________________________________________.exe Trojan.GenericKD.1963246 Deleted
f:\dokumente und einstellungen\administration\lokale einstellungen\temp\temporäres verzeichnis 3 für 2014_11rechnung_k4768955881.zip\2014_11rechnung_k4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe Trojan.Dropper.XEN Deleted
f:\windows\temp\tmp0000336d\tmp00000804 Trojan.GenericKD.1963246 Deleted
Ende
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Grosses Kino! Von Dir! Von den Scanner leider weniger. Danke! :perfekt:

Interessieren wuerde mich jetzt noch FRST. Wenn Du da schon ein so schoen nachvollziehbar verseuchtes System hast... ;)
We have bugs the likes of which even God has never seen!
Benutzeravatar
beate67
Beiträge: 1199
Registriert: So 24. Aug 2014, 15:16
Wohnort: am wunderschönen Niederrhein

Re: Beispiel neuer Trojaner

Beitrag von beate67 »

takko hat geschrieben: Anschließend habe ich alles gefundende bereinigen lassen.
Das wäre schön gewesen vorher ein frst zu sehen und nach der Bereinigung.

Gruß, Beate :)
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

So, wie sich das anhoert duerfte da noch hinreichend Futter fuer FRST vorhanden sein. ;)
We have bugs the likes of which even God has never seen!
Benutzeravatar
beate67
Beiträge: 1199
Registriert: So 24. Aug 2014, 15:16
Wohnort: am wunderschönen Niederrhein

Re: Beispiel neuer Trojaner

Beitrag von beate67 »

Das glaube ich auch, aber man hätte einen schickeren Vergleich starten können, was der Virenschutz denn tatsächlich bereinigt hätte.

Gruß,Beate :)
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Das FRST wollte ich noch machen, war aber total müde und musste mich ablegen. Das wird noch nachgereicht.

Die gefälschte Telekom_Rechnung.pdf.exe wurde nur durch die AV-Programme erkannt, da ich sie nach der Infektion nochmals auf den Desktop kopiert habe, denn nach der Ausführung löscht sich die Setup Datei von selbst um wahrscheinlich eine Infektion zu verschleiern. Von daher bin ich von Emsisoft mehr als enttäuscht da sie die Setup Datei ja schon einige Tage zur Analyse hatten und das vor den Anderen, also im Prinzip keine Infektion erkannt! Das darf nicht sein und ich werde das bei Emissoft auf jeden Fall noch reklamieren.

Nachtrag: FRST Scan

Ich habe die Malware Dateien neu ausgeführt, den Rechner neu gestartet und das FRST Log erstellt. Anschließend lasse ich die AV-Programme nochmal laufen.

FRST.txt

Addition.txt
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Ganz schoen unerfreulich. Da ist kaum etwas zu sehen. Wie schon bei den Scanner - "ja, da scheint etwas zu sein", aber nicht im geringsten in dem Ausmass. Nicht gut.
We have bugs the likes of which even God has never seen!
Benutzeravatar
doj
Beiträge: 144
Registriert: So 24. Aug 2014, 19:00

Re: Beispiel neuer Trojaner

Beitrag von doj »

Wieso kaum was zu sehen, der 2. Reg. Eintrag ist ausreichend für einen Neuanfang.
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Das ist aber nicht ansatzweise das Ausmass sichtbar, das ich erwarten wuerde, wenn gleich mehrere von den Teilen installiert sind.
We have bugs the likes of which even God has never seen!
Benutzeravatar
takko
Moderator
Beiträge: 2771
Registriert: So 24. Aug 2014, 17:03
Betriebssystem: Windows 10 Pro, Linux Mint
Virenscanner: Emsisoft Anti-Malware

Re: Beispiel neuer Trojaner

Beitrag von takko »

Ich hatte auch ein größeres FRST Log erwartet. Eigenartiger weise lief der Test Rechner gestern ganz normal. Ich lasse nachher nochmal EAM laufen, wenn dann nicht die "hcbqhfbi.exe" gefunden wird, dann reklamiere ich das. Im Übrigen hatte AVG die "hcbqhfbi.exe" von Anfang an erkannt.
Benutzeravatar
doj
Beiträge: 144
Registriert: So 24. Aug 2014, 19:00

Re: Beispiel neuer Trojaner

Beitrag von doj »

Ich würde gerne wissen was ihr vermisst?

Nachdem ersten Test sieht man das ein Z-Bot aktiv war:
2014-11-16 21:06 - 2014-11-16 21:06 - 00000000 ____D () F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oziqemegewypyvuh


Der wurde bis jetzt noch nicht gefunden, daher lief der Pc bis dato wahrscheinlich noch nicht so bescheiden wie vorher.

Außerdem schreibt sich gleichzeitig jemand mit Ausführung der Malware in die win.ini:
2014-11-18 21:03 - 2004-08-04 13:00 - 00000477 _____ () F:\WINDOWS\win.ini
Der Passwortstehler ist ja klar:
HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [hcbqhfbi.exe] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe [151552 2008-04-14] ()
NoG
Moderator
Beiträge: 7383
Registriert: So 24. Aug 2014, 15:02
Betriebssystem: Windows 8.1
Virenscanner: GData
Wohnort: Pinneberg

Re: Beispiel neuer Trojaner

Beitrag von NoG »

Ich haette einfach erwartet, dass bei der "Installation" mehrerer Malwares auch mehr Eintraege zu finden sind. Oder soll ich jetzt glauben, dass die alle friedlich auf die gleichen Dateien zugreifen?
We have bugs the likes of which even God has never seen!
Benutzeravatar
doj
Beiträge: 144
Registriert: So 24. Aug 2014, 19:00

Re: Beispiel neuer Trojaner

Beitrag von doj »

Eigentlich hatte ich ja mehrere Einträge angesprochen, wir lassen das mal so stehen.
Machiavelli
Beiträge: 26
Registriert: Do 28. Aug 2014, 17:41
Betriebssystem: Windows 8.1

Re: Beispiel neuer Trojaner

Beitrag von Machiavelli »

Ich denke ein Scan in RE würde mehr Zeilen zeigen ...
Wieso kaum was zu sehen, der 2. Reg. Eintrag ist ausreichend für einen Neuanfang.
Warum denkst Du das?

Malware mag keine Konkurrenz und daher andere Malware entfernt. Recherchiert mal nach Mutex. Und VMs verfälschen oft die Ergebnisse.
Cheers,
Machiavelli

Proud member of UNITE

Trained at GeeksToGo
Benutzeravatar
beate67
Beiträge: 1199
Registriert: So 24. Aug 2014, 15:16
Wohnort: am wunderschönen Niederrhein

Re: Beispiel neuer Trojaner

Beitrag von beate67 »

Das hat doj doch klar gesagt. Der Zbot-Fund reicht locker aus für einen Neuanfang.

Wenn Du Abkürzungen benutzt wäre es sehr freundlich wenn Du sie uns übersetzen würdest. Danke

Gruß, Beate :)
"Wenn du eine weise Antwort willst, mußt du vernünftig fragen." (Johann Wolfgang von Goethe)
Machiavelli
Beiträge: 26
Registriert: Do 28. Aug 2014, 17:41
Betriebssystem: Windows 8.1

Re: Beispiel neuer Trojaner

Beitrag von Machiavelli »

Der Zbot-Fund reicht locker aus für einen Neuanfang
Das ist reine meinungssache. Ich bin und bleibe bei einer anderen Meinung.

Wenn Du Abkürzungen benutzt wäre es sehr freundlich wenn Du sie uns übersetzen würdest. Danke
RE=Recovery Environment
VM = Virtual Machine
Cheers,
Machiavelli

Proud member of UNITE

Trained at GeeksToGo
Gesperrt