[HaBo]

illuminatorx87 · 23.11.11, 18:44

Hallo @all
ich bin neu hier und mein Anliegen ist folgendes extrem merkwürdiges Problem:

ich habe zu testzwecken versucht einen DarkComet server undetected zu bekommen mit eigenen mitteln (wollte es nicht verteilen, kein scherz)

um zu sehen wie es klappt habe ich es (ich weiß normalerweise sollte man es nicht aber es war für mich wirklich nur ein test) auf virustotal hochgeladen.

nach einer weile rumprobieren (no-ip dns war konfiguriert) und diversen uploads bei virustotal hab ich auf einmal einen GAST der auf dark comet angezeigt wird. und ich habe es DEFINITV NICHT irgendwo außer bei virustotal hochgeladen oder verteilt.
der gast war aus den USA mit win xp rechner.
meine vermutung war direkt, dass es ein testpc von einem AV hersteller ist.
ist das möglich?

vor schreck wollte ich direkt den server deinstallieren, was aber nicht ging.
jetzt habe ich meinen no-ip account mal gelöscht. ich wollte wirklich niemandem schaden.

GrafZahl · 23.11.11, 19:14

das war kein test pc ... *g*

ich denke der test pc war in dem fall wohl eher deiner ...

Anzeige

- Anzeige -

illuminatorx87 · 23.11.11, 22:30

also war das quasi "jemand" der meine ports gescannt, den offenen DC port gesehen und sich dann als "opfer" ausgegeben hat?

enkore · 24.11.11, 20:22

pwned

GrafZahl · 24.11.11, 21:22

Zitat:

Zitat von illuminatorx87

also war das quasi "jemand" der meine ports gescannt, den offenen DC port gesehen und sich dann als "opfer" ausgegeben hat?

errr ... nein ... vermutlich wurde eher deine bei VT hochgeladene exe zerpflückt, dein rechner als cnc server identifiziert und mal ne verbindung hergestellt ... wenn die kontrollinstanz auf deinem rechner ne beabsichtigte oder unbeabsichtigte hintertür hat, dürfte das hiermit zusammenhängen ...

oder wenn du lieber (nochmal) die kurzfassung hören möchtest:

pwned

illuminatorx87 · 28.11.11, 17:06

welche sorgen sollte ich mir im bezug darauf machen, was habe ich falsch gemacht, wie lässt sich das verhindern?

verbindung stand ca 5 sekunden

wäre für nähere erklärung dankbar

edit: der testserver hatte kein passwort... da was war wohl ein dummer fehler... aber wäre trotzdem nach wie vor über weitere infos erfreut zu obigen fragen

Chakky · 28.11.11, 20:26

Zitat:

Zitat von illuminatorx87

welche sorgen sollte ich mir im bezug darauf machen, was habe ich falsch gemacht, wie lässt sich das verhindern?

verbindung stand ca 5 sekunden

wäre für nähere erklärung dankbar

edit: der testserver hatte kein passwort... da was war wohl ein dummer fehler... aber wäre trotzdem nach wie vor über weitere infos erfreut zu obigen fragen

Du wirst dich wohl selber infiziert haben, bei deinen Testversuchen oder schon dir malware eingefangen haben beim entpacken der files.....

illuminatorx87 · 28.11.11, 20:49

du meinst dass ich mich selbst als "gast" gesehen hab?
nein...war ein anderer pc name, ip und land :-/

GrafZahl · 29.11.11, 14:16

also die langfassung:

exe bei vt hochgeladen

exe entweder voll- oder halb-automatisch untersucht

parameter deines servers werden protokolliert

bei dieser protokollierung fallen alle daten an, mit denen du das teil gefüttert hast ...

es folgt die voll- oder halb-automatische untersuchung des CNC servers (deines rechners) duch den AV hersteller, dafür wird eine testverbindung aufgebaut, und man gibt sich als dein trojaner aus ... alle nötigen informationen hast du ja bei vt hochgeladen ...

es folgt das übliche: erkennung der steuersoftware ... bei standard trojanern kann man davon ausgehen, dass bei dir die dazu passende standard steuer software läuft ... wenn diese erkannt wird, wirds lustig ... möglicherweise steckt in der steuersoftware ebenfalls ein trojaner, den der entwickler da eingepflanzt hat, oder das teil hat sonstige schwachstellen im code ...

da du das ding im netz gefunden hast, wird auch der AV hersteller eine kopie davon haben ... die hat er vermutlich untersucht, und kennt schwachstellen, oder hintertüren ...

die kann er dann quasi jetzt für seine zwecke nutzen ...

in der regel wollen die auf die tour aber nur wissen, ob der CNC server automatisch weitere malware auf dem zielrechner nachinstalliert ...

sprich theoretisch kann das auch eine echte instanz deiner exe gewesen sein, die in einer dummy vm geladen wurde, um vorher nacher snapshots zu machen ...

illuminatorx87 · 29.11.11, 16:51

@GrafZahl: vielen Dank

das hat mir definitiv mehr geholfen als "pwned"

sollte ich mir da weiter sorgen machen?

enkore · 29.11.11, 19:10

Das übliche, PC oder VM plattmachen.

Anzeige

- Anzeige -

23.11.11, 18:44	#1 (permalink)
illuminatorx87 Registriert seit: 23.11.11 Likes: 0	DarkComet - Victim ohne Grund / AV Hersteller? Anzeige Hallo @all ich bin neu hier und mein Anliegen ist folgendes extrem merkwürdiges Problem: ich habe zu testzwecken versucht einen DarkComet server undetected zu bekommen mit eigenen mitteln (wollte es nicht verteilen, kein scherz) um zu sehen wie es klappt habe ich es (ich weiß normalerweise sollte man es nicht aber es war für mich wirklich nur ein test) auf virustotal hochgeladen. nach einer weile rumprobieren (no-ip dns war konfiguriert) und diversen uploads bei virustotal hab ich auf einmal einen GAST der auf dark comet angezeigt wird. und ich habe es DEFINITV NICHT irgendwo außer bei virustotal hochgeladen oder verteilt. der gast war aus den USA mit win xp rechner. meine vermutung war direkt, dass es ein testpc von einem AV hersteller ist. ist das möglich? vor schreck wollte ich direkt den server deinstallieren, was aber nicht ging. jetzt habe ich meinen no-ip account mal gelöscht. ich wollte wirklich niemandem schaden.

23.11.11, 19:14	#2 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	das war kein test pc ... g ich denke der test pc war in dem fall wohl eher deiner ... ChiefWiggum and enkore like this. __________________ Code: :(){ :\|:& };: Veritas Aequitas

24.11.11, 20:22	#4 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	pwned __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

28.11.11, 17:06	#6 (permalink)
illuminatorx87 Themenstarter Registriert seit: 23.11.11 Likes: 0	welche sorgen sollte ich mir im bezug darauf machen, was habe ich falsch gemacht, wie lässt sich das verhindern? verbindung stand ca 5 sekunden wäre für nähere erklärung dankbar edit: der testserver hatte kein passwort... da was war wohl ein dummer fehler... aber wäre trotzdem nach wie vor über weitere infos erfreut zu obigen fragen Geändert von illuminatorx87 (28.11.11 um 17:09 Uhr)

29.11.11, 14:16	#9 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	also die langfassung: exe bei vt hochgeladen exe entweder voll- oder halb-automatisch untersucht parameter deines servers werden protokolliert bei dieser protokollierung fallen alle daten an, mit denen du das teil gefüttert hast ... es folgt die voll- oder halb-automatische untersuchung des CNC servers (deines rechners) duch den AV hersteller, dafür wird eine testverbindung aufgebaut, und man gibt sich als dein trojaner aus ... alle nötigen informationen hast du ja bei vt hochgeladen ... es folgt das übliche: erkennung der steuersoftware ... bei standard trojanern kann man davon ausgehen, dass bei dir die dazu passende standard steuer software läuft ... wenn diese erkannt wird, wirds lustig ... möglicherweise steckt in der steuersoftware ebenfalls ein trojaner, den der entwickler da eingepflanzt hat, oder das teil hat sonstige schwachstellen im code ... da du das ding im netz gefunden hast, wird auch der AV hersteller eine kopie davon haben ... die hat er vermutlich untersucht, und kennt schwachstellen, oder hintertüren ... die kann er dann quasi jetzt für seine zwecke nutzen ... in der regel wollen die auf die tour aber nur wissen, ob der CNC server automatisch weitere malware auf dem zielrechner nachinstalliert ... sprich theoretisch kann das auch eine echte instanz deiner exe gewesen sein, die in einer dummy vm geladen wurde, um vorher nacher snapshots zu machen ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

23.11.11, 22:30	#3 (permalink)
illuminatorx87 Themenstarter Registriert seit: 23.11.11 Likes: 0	also war das quasi "jemand" der meine ports gescannt, den offenen DC port gesehen und sich dann als "opfer" ausgegeben hat?

28.11.11, 20:49	#8 (permalink)
illuminatorx87 Themenstarter Registriert seit: 23.11.11 Likes: 0	du meinst dass ich mich selbst als "gast" gesehen hab? nein...war ein anderer pc name, ip und land :-/

29.11.11, 16:51	#10 (permalink)
illuminatorx87 Themenstarter Registriert seit: 23.11.11 Likes: 0	@GrafZahl: vielen Dank das hat mir definitiv mehr geholfen als "pwned" sollte ich mir da weiter sorgen machen?

29.11.11, 19:10	#11 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Das übliche, PC oder VM plattmachen. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PC arbeitet plötzlich ohne Grund auf Hochleistung	Keisuke	Die Problemzone	11	27.07.11 19:32
Rechner friert ohne erkennbaren Grund ein	lBr1anl	Die Problemzone	3	22.01.08 16:55
Rechner stürzt ohne Grund ab?	ghost	Die Problemzone	2	19.08.06 12:07
Rechner startet ohne erkennbaren Grund neu!	djpahl	Die Problemzone	2	07.11.05 09:43
MP3z stoppen ohne Grund	Watchme	Music- & Filmbox	4	02.07.02 15:39

[HaBo]

DarkComet - Victim ohne Grund / AV Hersteller?