mineralwasser
Goto Top

Verdächtiger Prozess Au.exe

Hallo Zusammen

Ich habe im Büro AppLocker installiert und angefangen die Programme zu Whitelisten. Dabei ist mir bei einigen einen verdächtiger Prozess aufgefallen, nur leider ist es nicht signiert, aber wahrscheinlich von Logitech, da dort LogiUI Pak unter Produktname in der Exe steht. Im Internet habe ich leider nichts schlaues gefunden und er verhält sich schon verdächtigt.

Hier zu finden:
C:\Users\%username%\AppData\Local\Temp\~nsu.tmp\

Hat folgende Prozessse angelegt:
Au_.exe
Bu_.exe
bis
Zu_.exe

VirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen

Was denkt ihr würdet ihr den whitelisten oder wie fahre ich am besten weiter? Logitech-Support habe ich auch einmal angeschrieben, aber glaube dort antwortet nur noch ein AI Bot (Generic).

Content-ID: 2223954092

Url: https://administrator.de/forum/verdaechtiger-prozess-au-exe-2223954092.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

kaiand1
kaiand1 18.06.2024 um 12:36:55 Uhr
Goto Top
Hi
Nun du kannst ja einen neuen PC nehmen und diesen so Einrichten wie die anderen.
Bevor du dann die Logitech Programme Installierst machst du alles mit Applocker und schaust nach der Installation ob die Programme dort auch Auftauchen.

Dazu kannst du ja einen PC mit dem Verhalten Analysieren welchen Netzwerktraffic dieser macht und wohin dieser sich Verbinden möchte...

Dazu Logs ob es dort Auffälligkeiten gibt (Zugriffe, Falsche/Fehlerhafte Logins ect) von dem PC.
Anzeigen lassen welche Daten so des System geöffnet hat....

Wären so Maßnahmen die gemacht werden sollten und erst mal ausgehen das es was Böses ist als zu Warten auf Support was ggfs Tage dauert mit dem Schreiben bis du mal jemand erreichst der mehr Ahnung davon hat....

Könnte ein Update Programm sein aber von A* bis Z* ist schon etwas Kurios das es 26 Programme hat die auch Aktiv? sind....
Lochkartenstanzer
Lochkartenstanzer 18.06.2024 aktualisiert um 13:12:53 Uhr
Goto Top
Moin,

Zitat von @Mineralwasser:

Hier zu finden:
C:\Users\%username%\AppData\Local\Temp\~nsu.tmp\

Verdächtiger Pfad


Hat folgende Prozessse angelegt:
Au_.exe
Bu_.exe
bis
Zu_.exe

verdächtige Namen.


VirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen

firefox_screenshot_2024-06-18t10-59-46.224z

Ist nur der eine, der per Heuristik das erkennt. Ist zwar eher ein Anzeichen für false positive, aber bei recht neuen Trojaner n sieht es in den ersten Stunden immer so aus. Erst nach mehreren Stunden oder gar Tagen stoßen die anderen Scanner dazu, wenn es tatsächlich Malware sein sollte. Also daher mal im Stundenabstand neu scannen lassen.


Was denkt ihr würdet ihr den whitelisten oder wie fahre ich am besten weiter? Logitech-Support habe ich auch einmal angeschrieben, aber glaube dort antwortet nur noch ein AI Bot (Generic).

Isolieren und erstmal mit desinfect drübergehen. Diese binaries erstmal sperren udn dann schauen, ob sich irgendwelche nachteiligen Folgen einstellen.

lks

PS: Den obigen Vorschlag, einen Testrechner aufzusetzen, um zu schaun ob die Logitech-Software dafür verantwortlich ist, würde ich natürlich auch ausprobieren.
ThePinky777
ThePinky777 18.06.2024 um 13:41:23 Uhr
Goto Top
hab was altes dazu gefunden...
https://any.run/report/4eef895eb34ed3fa13ac0cfe1a3ba28efc7a229f036889b91 ...

ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
Lochkartenstanzer
Lochkartenstanzer 18.06.2024 um 14:36:05 Uhr
Goto Top
Zitat von @ThePinky777:

ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.

Oder er hat nicht aufgepaßt und jemand hat ihm die Malware untergeschoben, damit er sie in seien Anwendung mit einbaut.

Übrigens arbeiten Geheimdienste, egal, ob russisch, chinesisch oder amerikanisch, daß sie Leute bei populäten Software-Entwickler-firmen einschleusen, die dann den Sourcecode passend manipulieren.

lks
13034433319
13034433319 18.06.2024 aktualisiert um 14:40:15 Uhr
Goto Top
Wenn schon Applocker dann auf jeden Fall niemals fremde unsignierte EXEs in temporären Verzeichnissen für die Ausführung erlauben, das verbietet sich schon von selbst. Denn wenn du das zulässt brauchst du auch kein Applocker.

Gruß
chgorges
chgorges 18.06.2024 um 15:04:08 Uhr
Goto Top
Die AU.exe oder AU_.exe kommt von AutoIT https://www.autoitscript.com/site/

Das verwenden viele Software-Hersteller, um ihre Softwareinstallationen silent zu skripten.

Wenn jetzt z.B. Logitech wie bei dir ein Update installieren will, passiert genau das, Installer entpacken sich idR in den temporären Verzeichnissen und laufen dann los.

Generell whitelisten macht demnach aber auch keinen Sinn, weil AutoIT natürlich im Umkehrschluss auch für Schabernack verwendet wird.
ThePinky777
ThePinky777 18.06.2024 um 17:35:33 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @ThePinky777:

ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.

Oder er hat nicht aufgepaßt und jemand hat ihm die Malware untergeschoben, damit er sie in seien Anwendung mit einbaut.

Übrigens arbeiten Geheimdienste, egal, ob russisch, chinesisch oder amerikanisch, daß sie Leute bei populäten Software-Entwickler-firmen einschleusen, die dann den Sourcecode passend manipulieren.

lks

Davon gehe ich nicht aus, das Ding existiert schon seit 2022 siehe Link von mir oben,
wenns seit dem immernoch nicht bei virustotal bei mehr als einem Heurestiken Scan als Rot erscheint, ist es wohl ziemlich unwahrscheinlich das es was mega gefährliches ist.
In dem link kann man auch sehen das der Prozess keine gefährlichen Kettenreaktionen auslöst, ist also dort ersichtlich was passiert wenn die exe gestartet wird, wobei angemerkt wurde das es ein komisches verhalten ist...

Dann muss man wohl sich auch mal entscheiden das man die Software von Logitech deinstallieren sollte bzw. erst garnicht installieren.
White Listen würde ichs auch nicht, wenns ne Grey List gibt face-smile da passt es hin face-smile
Gibts halt nicht face-smile
Mineralwasser
Mineralwasser 19.06.2024 um 09:13:10 Uhr
Goto Top
Super, vielen Dank für die vielen Antworten und Ansätze. Ich werde es einmal wenn ich Zeit habe in einer isolierten VM laufen lassen und es ein wenig genauer analysieren und für den Moment lasse ich es einfach gesperrt, kann jedoch sein, dass sich dann dadurch die Software nicht mehr korrekt updaten lässt.
Justman10000
Justman10000 19.06.2024 um 14:29:41 Uhr
Goto Top
Ist das noch Microsoft Windows XP?
13034433319
13034433319 19.06.2024 aktualisiert um 15:10:20 Uhr
Goto Top
Zitat von @Justman10000:
Ist das noch Microsoft Windows XP?
Applocker unter XP?? Scherzkeks ...
Justman10000
Justman10000 19.06.2024 aktualisiert um 16:32:22 Uhr
Goto Top
Zitat von @13034433319:

Zitat von @Justman10000:
Ist das noch Microsoft Windows XP?
Applocker unter XP?? Scherzkeks ...

Die Antwort war auf eine andere gemeint! Ist im Antwortbaum ersichtlich (deswegen auch meine Frage (Keine verschachtelten Antworten?))
13034433319
13034433319 19.06.2024 aktualisiert um 16:36:41 Uhr
Goto Top
Zitat von @Justman10000:
Die Antwort war auf eine andere gemeint!
Zitieren hilft.

Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?

Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.
Justman10000
Justman10000 20.06.2024 um 00:24:55 Uhr
Goto Top
Zitat von @13034433319:

Zitat von @Justman10000:
Die Antwort war auf eine andere gemeint!
Zitieren hilft.

Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?

Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.

Ich sprach von den Screens im besagten Report
13034433319
13034433319 20.06.2024 aktualisiert um 07:43:21 Uhr
Goto Top
Ich sprach von den Screens im besagten Report

Sieht man ja schon am Hintergrundbild das das kein XP ist.
Und im Text steht es ja auch
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Justman10000
Justman10000 20.06.2024 um 09:41:59 Uhr
Goto Top
Zitat von @13034433319:

Ich sprach von den Screens im besagten Report

Sieht man ja schon am Hintergrundbild das das kein XP ist.
Und im Text steht es ja auch
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)

Das ist doch kein Windows 7? Ich meine, mit den Schaltfläschen? Waren die bei 7 nicht moderner?
13034433319
13034433319 20.06.2024 aktualisiert um 10:00:59 Uhr
Goto Top
Zitat von @Justman10000:

Das ist doch kein Windows 7? Ich meine, mit den Schaltfläschen? Waren die bei 7 nicht moderner?
Doch, wenn du das Aero-UI-Theme mit Transparenz abschaltest und damit den den Classic Desktop aktivierst sah das unter W7 genau so aus ...
Ist hier aber jetzt völlig OffTopic, also lass uns das bitte hier abhaken.