Warnung ! Neue Trojaner im System gefunden !

[Syn-Tx]

Zwei Trojaner konnte ich dingfest machen.

Nach den Hackerattacken habe ich alles auf den Kopf gestellt, nix gefunden.
Ich hatte das Gefühl das mein PC sich selbstständig macht.
Wenn ich 5 Minuten afk war, war immer meine Wave Lautstärke der Audiosteuerung auf 0 gesenkt worden.
Ich kontrollierte die Norton Logs, und meine Befürchtungen wurden wahr. Der Sub7gold Port wurde geblockt.
Zwar nur ein Hinweis, aber für mich Grund genug meinem PC komplett auseinanderzunehmen.

Der erste Trojaner ist ein sogenanter Dropper der es ermöglicht das sich andere Viren oder Trojaner installieren können.
Der zweite Trojaner wurde so auf mein System installiert.
Dieser hat so wie die Analyse aussieht die Funktionen als Backdoor und Textlogger ausgeübt.

Zu Nummera Uno !
Vor 10 Tagen zum ersten mal von einem Antivierenprogrammen erkannt. Norton erkennt ihn noch nicht.
Trojan-Downloader.Win32.Adload.j14 ( infizierte Datei 78E3010C.exe )

Name: TR/Dldr.Adload.J.14
Entdeckt am: 09/01/2006
Art: Trojan
Nebenart: Downloader
In freier Wildbahn: Nein
Gemeldete Infektionen: Niedrig
Verbreitungspotential: Niedrig
Schadenspotential: Niedrig bis mittel
Statische Datei: Ja
Dateigröße: 23.936 Bytes
MD5 Prüfsumme: d5e3d4388710fb077794d373c36d3c10
VDF Version: 6.32.00.181

Aliases:
• Kaspersky: Trojan-Downloader.Win32.Adload.j
• TrendMicro: TROJ_DRSMARTL.A
• Bitdefender: Trojan.Downloader.Adload.J.dam

---------------------------------------

Zu Nummera Duo:
Über diesenTrojaner gibt es noch keine Informationen über seine genaue Arbeitsweise.
Nur eines konnte man überall lesen, Formatieren,.... Formatieren..... Formatieren...
Dazu unten ein Text von "Ihr wisst schon Wem" fall ihr auch infiziert sein solltet.

File C:\WINDOWS\System32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus!

Ich habe die Infizierte Datei "i" hier hochgeladen, das Ergebnis ist erstaunlich, ein Multitalent.
http://virusscan.jotti.org/de/

Analyse
Datei: i
Status: INFIZIERT/MALWARE

Entdeckte Packprogramme: -
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Backdoor.BotGet.FtpB.Gen gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet BAT/Dloader.AB-net gefunden
Kaspersky Anti-Virus Trojan-Downloader.BAT.Ftp.ab gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Text/BotFTP.gen gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden
------------------------------------

Säubern eines gefährdeten Systems

http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

Sie haben also die Patches nicht installiert, und nun wurde Ihr System zum Opfer eines Hackerangriffs.
Was können Sie tun? Mal sehen:

:craylol: :craylol: :craylol: :craylol:

•
Sie können ein gefährdetes System nicht säubern, indem Sie Patches installieren.

Mit einem Patch wird lediglich die jeweilige Sicherheitslücke geschlossen. Wenn ein Angreifer einmal in Ihr System eindringen konnte, hat er sich in diesem Zuge sicherlich schon eine Reihe anderer Wege eröffnet, um sich erneut Zugriff zu verschaffen.

•
Sie können ein gefährdetes System auch nicht säubern, indem Sie die Hintertüren (die so genannten Backdoors) schließen.

Die Tatsache, dass Sie keine Hintertüren mehr finden, bedeutet ggf. nur, dass Sie nicht wissen, wo Sie noch suchen müssen oder dass das System bereits so infiltriert ist, dass das, was Sie sehen, gar nicht mehr dem entspricht, was tatsächlich vorgeht.

•
Sie können ein gefährdetes System auch nicht säubern, indem Sie irgendeinen "Schwachstellenentferner" nutzen.

Einmal angenommen, Ihr System wurde von Blaster befallen. Zahlreichen Anbieter (u. a. auch Microsoft) haben Tools veröffentlicht, um Blaster abzuwehren. Aber können Sie einem von Blaster befallenen System wirklich wieder vertrauen, nachdem das Tool ausgeführt wurde? Ich täte das nicht. Wenn das System von Blaster befallen wurde, war es auch anfällig für eine Reihe anderer Angriffe. Können Sie garantieren, dass keiner dieser Angriffe erfolgt ist? Wahrscheinlich nicht.

•
Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden.

Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen.
Auch Virenscanner müssen sich an irgendeinem Punkt darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen.
Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf. einfach mit einem Tool, das falsche Tatsachen vorspiegelt.

Nur wenn Sie garantieren können, dass das System lediglich von einem bestimmten Virus oder Wurm befallen wurde, nur wenn Sie wissen, dass dieses Virus keine Hintertüren installiert hat, und nur wenn die von dem Virus verwendete Schwachstelle nicht von Remotestandorten aus genutzt werden kann, kann das System mit einem Virenscanner gesäubert werden.

Beispielsweise wird ein Großteil der E-Mail-Würmer erst aktiviert, wenn der Benutzer den infizierten Anhang öffnet.
In diesem speziellen Fall ist es möglich, dass die Infektion des Systems ausschließlich von dem Anhang verursacht wurde, der den Wurm enthielt. Wenn die von dem Wurm verwendete Schwachstelle allerdings ohne Zutun des Benutzers von einem Remotestandort aus genutzt werden konnte, können Sie nicht garantieren, dass diese nur von diesem speziellen Wurm genutzt wurde. In diesem Fall ist es durchaus möglich, dass die gleiche Schwachstellen bereits von jemand anderem genutzt wurden. Und dies bedeutet, dass es mit dem einfachen Patchen des Systems nicht getan ist.

•
Sie können ein befallenes System auch nicht säubern,

indem Sie das Betriebssystem über die vorhandene Installation neu installieren.
Denn auch für diesen Fall verfügt der Angreifer höchstwahrscheinlich über Tools, die dem Installationsprogramm unzutreffende Informationen übermitteln. Und wenn dies passiert, kann das Installationsprogramm die befallenen Dateien möglicherweise gar nicht entfernen. Darüber hinaus kann der Angreifer auch Komponenten des Systems mit Hintertüren versehen haben, die nicht zum Betriebssystem gehören.

•
Sie können keinerlei Daten vertrauen, die von einem kompromittierten System kopiert wurden.

Nachdem ein Angreifer seinen Weg in das System gefunden hat, können alle hierauf befindlichen Daten geändert worden sein. Im besten Fall erhalten Sie mit dem Kopieren von Daten von einem befallenen System auf ein sauberes System potenziell unzuverlässige Daten. Und im schlimmsten Fall haben Sie eine Hintertür kopiert, die sich in den Daten verborgen hat.

•
Sie können auf einem befallenen System auch kein Vertrauen in die Ereignisprotokolle setzen.

Denn nachdem sich der Angreifer Vollzugriff auf ein System verschafft hat, ist es für ihn ein Leichtes, Ereignisprotokolle auf diesem System zu manipulieren, um seine Spuren zu verwischen. Wenn Sie sich auf die Ereignisprotokolle als Informationsquelle für die Vorgänge verlassen, die auf Ihrem System ablaufen, lesen Sie ggf. nur das, was der Angreifer Sie lesen lassen möchte.

•
Sie können noch nicht einmal der neuesten Datensicherung vertrauen.

Woher wollen Sie denn wissen, wann der eigentliche Angriff stattgefunden hat? <<<< :craylol: :craylol: :craylol:

Auf die Stimmigkeit der Ereignisprotokolle können Sie jedenfalls nicht setzen. Und ohne dieses Wissen ist auch die letzte Datensicherung nichts wert. Möglicherweise stammen die Hintertüren, die sich aktuell auf dem System befinden, sogar aus einer Datensicherung.

•
Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. :craylol:

So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren) :craylol:

:craylol: :craylol: :craylol: :craylol:

 

[slider@fun]

du bist ein freak man ... ^^ :craylol:

nice man danke!

 

[Sid]

Sag mal Syn-Tx, bist du in der Richtung beruflich tätig oder ist das ein Hobby von dir?
Also ich wollte nur so fragen, weil du dich scheinbar wirklich gut mit solchen Dingen auskennst...

Naja. Jedenfalls gehörst du scheinbar zu der guten Sorte (hoffe ich)

mFg
PS: Danke für die Infos.

 

[eser127]

Der verlinkte Artikel von Microsoft betrifft die Thematik allgemein und behandelt nicht diesen speziellen Fall. Jedoch laesst der zitierte Abschnitt den vorletzten Absatz vermissen, so dass hier sehr wohl der Eindruck entstehen koennte, es handele sich genau um diesen Schaedling. Gleichzeitig wird dadurch auch eine wichtige Information nicht vermittelt, naemlich dass man sein System stets auf dem aktuellen Stand halten sollte (auch wenn selbst das bei div. Betriebssystemen nicht immer die finale Loesung war...). Der Artikel selbst ist natuerlich auch diskussionswuerdig, aber darum geht es hier nicht.
Ich finde gut, dass Syn sich damit beschaeftigt. Ein sehr interessantes Themengebiet. Die Entwickler dieser boeswilligen Programme sollten an den Eiern aufgehangen werden. Verursachen nichts als Kosten, diese Penner.

 

[ClearEyetemAA55]

zwingen die Industrie ihr mehr schlechtes als rechtes produkt weiter zu bearbeiten und nicht nur halbfertig auf den markt zu werfen um abzukassieren, meinst du, oder?

Also wenn du allein mal schaust: Wieviel spiele sind in den letzten 2 Jahren als abgeschlossene Entwicklung auf dem Markt erschienen?? Keins oder vllt doch eins?? "Updates"

Die Realität sieht so aus, dass es sich heute keine Entwicklerteam noch leisten kann eine Programmversion ausgiebig zu prüfen und zu entwickeln bis es ausgereift ist. das liegt nicht mal an den Entwicklern selbst, sondern an dem Markt. Man!! die Entwicklung rast - und wir alle verlangen ständig mehr, mehr an grafik, ki oder auch an Komfort. Aber vor allem mehr an Funktionsumfang.

Als ich 15 Jahre war, passte ein Spiel grade noch auf 4-6 Disketten (1,44mb) und es steckten damals wirklich ein haufen Stunden die dem schrumpfen der Daten des Progs auf eine angepasste Größe dienten. Heute kann es sich kein Entwicklerstudio mehr leisten 45 Mitarbeiter zu beschäftigen, die nach dem Abschluss des Spiels, noch einen Monat damit verbringen das Programm von unnötigen Zeilen zu befreien. Ob es nun eine oder 2 DVD´s werden? wenn interessierts?? Bei Kosten von 15€urocent pro gebrannter DVD? Da ist Ja die Hülle bzw auch das Handbuch teurer.

Verweise nun dankend auf Absatz eins meines Beitrags.

Ps.: Bin voll deshalb editier ich und editier und editier. Sollten die Entwickler auch mehr sein ;D

 

[eser127]

Ich habe es kurz ueberflogen und mir bleibt der direkte Bezug zu diesem Thread voellig verborgen. Wenn wir ganz allgemein ueber die Industrie reden wuerden, koennte ich es nachvollziehen. Aber es geht hier um die boesen Viecher und die wird man auch bei einer qualitativ hochwertigeren Qualitaetssicherung noch haben.

 

[ClearEyetemAA55]

Ja, du Böses ähh d..... Vieh

und die Sonne dreht sich um die Erde.

Herausforderungen akzeptieren oder miteinzuberechnen, da ist ein Unterschied.

 

[eser127]

Du bist doch besoffen, man.

 

[ClearEyetemAA55]

konnte dir zum glück noch eine bewertung geben. !=

 

[Syn-Tx]

!

Es gibt gute Gründe warum ich die Warnung schreibe und mich da reinhänge.

1.
In den letzten 14 Tagen wurden Admin Accounts des Forums gehackt.
Diese Loggten sich als Admin ein. Mein Account war auch betroffen.
Der Eindringling hatte Zugriff auf meine PNs, das war nicht so toll.
Es war auch zuerst nicht klar woher der Eindringling die Zugangsdaten Daten hatte.
Von den PCs der Admins oder per Bruteforce Attacke.
So wies aussieht hatte er sich mit ner Bruteforce Attacke.
Ohne Sonderzeichen im PW und wenns nicht länger als 8-10 Zeichen ist, brauche ich persönlich ca 3-8 Stunden.
Mit Sonderzeichen dauert es Tage.
Gegenmassnahme? Da Gibts nur eine sichere.
Nach 3 Loginversuchen mit falschem PW wird der Admin bzw. User Account für 30 Minuten gesperrt.gesperrt.

2.
Hatte sich ein Hacker Zugang zu einem unserer Server verschafft, indem er sich wie auch immer das rcon PW verschafft hatte.
Er setzte ein allgemeines Severpasswort so das kein Spieler mehr auf den Server connecten konnte.
Anhand der Serverlogdaten des Vorfalls brauchte ich knapp 15 Minuten um seine Meldeadreese und Telefonnummer zu ermitteln.
Keiner ist so 1337 wie ich :craylol:
Wenn er OBEN mitpinkeln will, sollte er erst mal lernen das Beinschen zu heben.
Nebenbei, er ist seit 3 Jahren und & Monaten in der ESL.

3.
Es wurden Zugangsdaten von 2 Steam Accounts von unseren Admins gestohlen.
AMX Rechte sind bei uns an die Steam ID gebunden.
Dadurch hätten die Diebe AMX Rechte auf unseren Servern.

Cu Syn-Tx

 

[virtus]

syn ist auf diesem gebiet schon ein echter freak... nicht wahr syn?

 

[secondZero]

kannste mir das vllt auch mal beibringen wenn du mal zeit hast? :craylol:

 

[Berserker]

Original von secondZero
kannste mir das vllt auch mal beibringen wenn du mal zeit hast? :craylol:

Ja klar...der Syn hat auch nichts besseres zu tun :banghead:

Kennste nicht den Spruch "selbst ist der Mann"


mfg

Berserker

 

[secondZero]

Original von Berserker

Original von secondZero
kannste mir das vllt auch mal beibringen wenn du mal zeit hast? :craylol:

Ja klar...der Syn hat auch nichts besseres zu tun :banghead:

Kennste nicht den Spruch "selbst ist der Mann"

Berserker

is ja gut^^

war ja jetzt auch nicht wirklich ernst gemeint

 

[Strohhut]

Re: !

Original von Syn-Tx
Anhand der Serverlogdaten des Vorfalls brauchte ich knapp 15 Minuten um seine Meldeadreese und Telefonnummer zu ermitteln.

Schreib seine Telefonnummer hier rein. :shooooot: