Eventuelles Sicherheitsrisiko durch Trojaner?

Ich fasse mich kurz: Alle die heute Nachmittag / Abend in einem Forum mit irgendeiner Art von Google-Funktion (Ad***) unterwegs waren sollten sich u.U mal in ihrem %appdata% Ordner umschauen.

Gesucht werden kryptische Ordner álá C:\Users\BENUTZERNAME\AppData\Roaming\Ixytuk.

Auffällig ist vorallem, das Facebook kurzzeitig nicht mehr via HTTP/HTTPS zu erreichen war - warum das auffällig ist, steht weiter unten.

Mein Firefox hat heute Nachmittag den Trojaner noch geblockt, da das Script meinen Browser gelähmt hat. Jedoch lohnt es sich noch nachzuschauen.

Was mich interessiert, hatte heute noch jemand das Problem? Sind offensichtlich nur Windows Plattformen betroffen. Ich war auch nur im Forum von Froxlor untwegs.


Virus: virustotal.com/fil…71/

Etwas was jemand in einem anderen Forum dazu gepostet hat - wie viel davon nur "Gerede" ist, weiß ich nicht:

ASFAII.exe (Name vielleicht zufällig?)
VC++6 als Linkerinfo
die meisten APIs dynamisch nachgeladen.
Allgemein schaut es nach einem "oldschoolmäßigen"
Junk+Codevirtualizer (könnte auch erklären, warum es scheinbar mit VS 6
erstellte wurde). Unter anderem werden WinsockDLLs(WS2_32 und WS2HELP,
WININET) nachgeladen und gepatcht. Eigene LoardLibrary/GetProcAddress
Routine (auch "olschool" bzw nix neues - scannen der Modulliste, an die
man über FS[0] kommt, suche nach entsprechendem Modul und anschließend
abscannen der Exportdirecttory des Moduls. Einfach, aber wirksam).

ruft auf: GetKeyboardLayoutList (Keyloggerfunktion oder simple
Spracherkennung?)

Hat "Unterstützung" für Win7/8 (als Abfrage "IsWow64Process") sowie
diverse WinVersion Abfragen.

Mit XOR "Verchlüsselte" Parts in ".reloc" Section
Auffällig:
0012F6D1 4D 21 22 68 74 74 70 3A 2F 2F 74 69 6F
M!"http://tio
0012F6E1 6E 73 63 6F 6D 70 75 74 65 72 73 2E 73 75 2F 67
nscomputers.su/g
0012F6F1 69 73 2F 66 69 6C 65 2E 70 68 70 7C 66 69 6C 65
is/file.php|file
0012F701 3D 77 72 71 2E 74 67 64 00 25 03 99 B4 7B D0 07
=wrq.tgd.%%03™´{Ð%07


Einprogrammierte oder dynamisch erzeugte (nicht weiter verfolgt)
"Rechnerserial":
0042C94B ASCII "0F3EACCF21540D6CA9610A4577D8C213"


Kann bzw. erstellt Usermode-Hooks diverser Systemdlls (WS2_32
Funktionen wie gethostbyname) => sofern reloc/Adressunabhängiger Code
vorhanden, kann dieser Part in andere Anwendungen injiziert werden.
Wirksamer Usermode-Hook.


Interessant:
00405F18 43 6F 64 65 64 20 62 79 20 42 52 49 41 4E 20 4B Coded by
BRIAN K 00405F28 52 45 42 53 20 66 6F 8D 20 70 65 72 73 6F 6E 61 REBS
fo persona 00405F38 6C 20 75 73 65 20 6F 6E 6C 79 2E 20 49 20 6C 6F
l use only. I lo 00405F48 76 65 20 6D 79 20 6A 6F 62 20 26 20 77 69 66
65 ve my job & wife
Muss aber nix heißen.

Ansonsten joa, läuft offenbar net in der VM.
Anti-VMs kenne ich mittlerweile keine "aus dem Kopf" (abgesehen davon
gibt es einige, die sehr schwer zu lokalisieren sein dürften)

Aaaaber:
Zum einen: diverse "Anti-AV" Einträge:
00406F68 asfaii.00401CFC UNICODE "Microsoft"
UNICODE "ESET"
asfaii.00401C4C ; UNICODE "AVG"
asfaii.00401BF0 ; UNICODE "AntiVir"
asfaii.00401BA0 ; UNICODE "Kaspersky"
asfaii.00401B50 ; UNICODE "Norton" 00406F9C
asfaii.00401B28 ; UNICODE "Symantec"
asfaii.00401A84 ; UNICODE "McAfee" 00406FB0
1C1A4000 DD asfaii.00401A1C ; UNICODE
"SafenSoft"

Dann eigener HTTP "send" Code, irgendwas Proxyartiges (SOCKS5?) und
sowas hübsches:
00407484 . 25 73 20 3D 2>ASCII "%s = "%s";"
00407490 . 61 70 69 00 ASCII "api",0
00407494 . 63 6D 64 00 ASCII "cmd",0
00407498 . 47 45 54 20 0>ASCII "GET ",0
004074A0 . 50 4F 53 54 2>ASCII "POST ",0
004074B0 . 2E 73 77 66 0>ASCII ".swf",0
004074B8 . 2E 66 6C 76 0>ASCII ".flv",0
004074C0 . 66 61 63 65 6>ASCII "facebook.com",0

004074D8 . 25 42 4F 54 4>ASCII "%BOTID%",0
004074E0 . 25 42 4F 54 4>ASCII "%BOTNET%",0
004074EC . 25 42 43 2D 2>ASCII "%BC-*-*-*-*%",0
004074FC . 25 56 49 44 4>ASCII "%VIDEO%",0
00407504 . 50 4F 53 54 0>ASCII "POST",0
0040750C . 47 45 54 00 ASCII "GET",0
00407510 . 43 6F 6F 6B 6>ASCII "Cookie: %s

Oben "tionscomputerbla" war eventuell die URL des Masterservers drin.
Oder auch net (ist nicht erreichbar).
=>
Zeus? Eventuell alte oder falsch konfigurierte Version?

Schaut zumindest nicht nach einem 0815 "Isch hab mein Hello-World
geschrieben, jetzt code ich einen Bot in NET!!!" Bot aus.
C/C++ Bots sind eher selten und wenn ich auf die Qualität des Codes
alleine aus der Behandlung und Prüfung der Rückgabewerte der APIs
schließen dürfte (denn andere, komplexe Parts könnten auch Copy&Pasted
sein), so ist das Teil zumindest in der höheren Liga anzusiedeln.

10 Kommentare

Ich habs nicht.

Oh weh da muss ich ja gleich meine AV/Firewall Suite von Snake-Oil Software Inc. auf den neusten Stand bringen X) Und wie soll die injection stattgefunden haben? Firefox + Cross-Site-Script? Den Google teil verstehe ich nicht aber wäre lustig wenn der kram über Adsense verbreitet werden würde. Microsoft hat sowas ähnliches ja schon fast mit dem Windows Update geschafft.

habe nen mac, wurde aber aufmerksam als ich von der sache mit facebook gelesen habe, war heute abend für ne halbe stunde down bei mir...
auf der anderen seite sind keine probleme bei macs nach deinen informationen ja bekannt..kümmer ich mich morgen drum

are-you-wizard.jpg

Das ist meiner, der tut euch nix böses. Ihr macht automatisch ein paar Likes, ich bekomme ein paar Cent dafür und keinem wird Schade zugefügt.

Dann ist ja alles gut. Moment mal...ipm6vvc8.jpg

Admin

Du sollst keine anderen Foren neben mydealz haben

admin

Du sollst keine anderen Foren neben mydealz haben




Haha

Keine Sorge, ich gehe dir schon nicht flöten

subby

Facebook Restored After Site Maintenance Disrupted Some Access. Das zum "down" von Facebook. Nur ein kleiner hänger im DNS.



Ok, danke

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Ein etwas anderer Deal...1217
    2. Dolce Gusto Adventskalender 2016 - SESAM ÖFFNE DICH! - Alle Türchen Offen57
    3. Bausparvertrag - Jetzt der richtige Zeitpunkt?1214
    4. Wo Sparkonto und Depot für ein Kind eröffnen?89

    Weitere Diskussionen