[HaBo]

Smokio · 08.09.06, 02:03

Hallo,ich hoffe ich bin hier richtig,ich bekam durch eine Mail eine Datei,jedoch war sie von einem Freund und da ich nichts ahnte hab ich sie mal geöffnet X( :rolleyes:

Naja,es stellte sich heraus dass es nen Viri/Wurm war,der sich BoMbExX nennt,ist ne Batch und mein system ist vollkommen im aRsch,windows geht noch aber mindestens 2/3 aller programme gehen nicht mehr richtig oder gar nicht mehr.Wenigstens hab ich den Code kopiert und hoffe ihr könnt mir helfen das system wieder ordentlich ans laufen zu bringen.

Code von diesem Teil:

Code:

entfernt

**CDW** · 08.09.06, 03:01

Mein Rat: installier neu. Ich konnte zwar keine "Böse getarnte Malware" entdecken (immerhin ist es ja ein Batchvirus

) aber die Zeilen ab

Zitat:

cd C:\WINDOWS\system32

sind, wenn ich den code richtig deute, nicht wirklich umkehrbare Eingriffe (er umbenennt einfach alles um - in Systemordnern etc)

Zitat:

cd C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Wenn Du ein deutschsprachiges Windows hast, sollte es kein Problem sein. Das Ding ist imho ein "l337 Ultr4c3wl Systemfucker" Script - denn sonst wären die Pfade nicht festkodiert

. Ist anscheinend die neuste Mode bei den Kids - wie man am schnellsten Systeme schrottet.

PS: so wie ich das sehe (ist ja schon spät), verschickt es sich nicht von alleine per Mail. An Deiner Stelle würde ich ein ernstes Wörtchen mit dem "Freund" reden

.

Anzeige

- Anzeige -

lBr1anl · 08.09.06, 18:18

Nur mal 'ne Frage zum Verständnis: was machen die Zeilen 55-150 genau? Irgendwas schicken die an den Localhost, nur was ?(

Gnome · 08.09.06, 18:53

Die packen einen eintrag in die Hostdatei, dass der Computer die IPs der URLs als 127.0.0.1 auflöst. Dann läd er also statt der Seiten die Dateien von localhost, wenn dort kein webserver läuft lädt er sie eben auch nicht. Ein recht einfacher weg um Seiten zu sperren z.B.

**CDW** · 08.09.06, 19:27

als kleine Ergänzung:
http://de.wikipedia.org/wiki/Hosts
bei einer anfrage wird zuerst in dieser Datei nachgeschaut, ob da eine Regel existiert.
Das Script schreibt für alle möglichen Antivirseiten eine falsche Adresse hin.

Das wäre übrigens nicht das Problem - eher dass er die Dateien einfach umbenennt. Das ganze per Hand zusammenzuflicken wäre weitaus aufwendiger als Neuaufsetzen.

geronimo89 · 08.09.06, 21:37

Code:

cd %userprofile%
cd "eigene dateien"
cd *music* > nul 2>&1
cd *mesh* > nul 2>&1

Was tuen diese Zeilen? Muss der Angreifer da nicht die Ordnernamen kennen? (Ist in diesem Fall doch wahrscheinlich, oder?)

ERit · 10.09.06, 10:38

wie meinst du das? " * " ist ein wildcard und alle dateien bzw in diesem fall ordner sind davon betroffen. im fall von "cd" betritt das script einen unterordner nach dem anderen. es kann natürlich nicht wissen ob da jetzt einer oder mehrere ordner liegen die " *music* " heißen.
lg

geronimo89 · 10.09.06, 13:03

Zitat:

Original von ERit
wie meinst du das? " * " ist ein wildcard und alle dateien bzw in diesem fall ordner sind davon betroffen. im fall von "cd" betritt das script einen unterordner nach dem anderen. es kann natürlich nicht wissen ob da jetzt einer oder mehrere ordner liegen die " *music* " heißen.
lg

Alles klar, wieder was gelernt

Dankeschön.

ERit · 10.09.06, 14:20

also ich hatte das schlecht erklärt:

* bedeutet dass alles genommen wird, was anstelle des sternes stehen würde

z.b. es liegen 3 dateien im ordner mit den namen "test1" "test2" und "test3"
möchte man alle 3 löschen

rm test*

bzw

del test*

lg

geronimo89 · 10.09.06, 14:49

Zitat:

Original von ERit
also ich hatte das schlecht erklärt:

* bedeutet dass alles genommen wird, was anstelle des sternes stehen würde

z.b. es liegen 3 dateien im ordner mit den namen "test1" "test2" und "test3"
möchte man alle 3 löschen

rm test*

bzw

del test*

lg

Ja, solche wildcards benutze ich eigentlich täglich unter Linux, das ist mir schon ein Begriff

nur mit batchverarbeitung kenne ich mich kaum aus.

nop · 10.09.06, 15:16

hrmpf, mir hat's gerade mein Post zerlegt, also nochmal.

Das Skript hat irgendein Kiddie gesaugt und erfolglos versucht es anzupassen.
Warum?
Das ganze Ding ist auf ein englisches System ausgelegt, nur beim löschen der eigenen Dateien wird als Ordnername "eigene Dateien" und nicht "my folder" verwendet. Ausserdem hat es beim Anpasser nicht mal dazu gereicht, festzustellen, dass Musik im englischen mit c, im Deutschen aber mit k geschrieben wird. Und das direkt eine Zeile später.

Whatever, wie CDW gesagt hat, setz das System neu auf. Der Aufwand das wiederherzustellen lohnt nicht. Ach ja, das Skript richtet auf deiner Kiste auch noch drei neue User ein, die du vielleicht auch nicht unbedingt haben möchtest.

heinzelJacKy · 10.09.06, 15:56

ich wuerd nich gern an dem pc sitzen auf dem dieses script gelaufen ist.. aber n wiederherstellungspunkt zu laden wär doch noch n versuch wert (falls du an nem xp-rechner sitzt)?
sieht fuer mich auch sehr nach nem scriptkiddiescript aus, v.a. täusch ich mich oder zerlegt das ding seine änderungen in \etc\hosts.txt in zeilen 200-202 wieder? ziemlich 1337

mfg jacky

**CDW** · 10.09.06, 16:44

ok, Quelle der Seuche: das voll kühle und elitäre "Scool of Hack Board"

. Genauer: der Supermoderator dieses Forums, "brocken-error" : http://www.soh-board.dl.am/
http://soh.szene-host.com/forum/dloa...gory&cat_id=12

Zitat:

Description: Batch Virus
Submited by: TheJT
Autor: broken-error
Version: 1.0
Date: 09 Sep 2006 07:09 pm
Last Updated: None
Last Download: 09 Sep 2006 10:49 pm
File Size: 1.78 KB
Rating: Not Rated (0 Votes)
Downloaded: 1

und

Zitat:

Typ: Wurm
Agressivität: Kritisch
Umlauf:Wenig verbreitet
Detected:No

Ausser AntiVIR meckert dass es spyware wäre o.O

Jo...^^

In Hacksector schon bekannt,Jugendhaus Computer haben auch schon bekanntschaft mit gemacht.Da sag ich nur System failure,NOT_BOOTABLE DLL'S not found,Bluescreen

Und als Schlüsswort: nun Smokio aka brocken-error, wolltest Du denn Kritik zu Deinem "Virus" hören? Dass es voll l337 ist ? Oder gar Anerkennung? Oder was soll die Aktion?

Beweisführung

Gnome · 10.09.06, 17:01

Gut kombiniert, Sherlock

Oi!Alex · 10.09.06, 17:33

löl wie peinlich ist das denn... aber danke cdw für deinen spürsinn, für den ich mich mehr begeistern kann als für den batch-code...

frag mich was das bringen soll ausser einen DAU etc. den rechner zu zerschissen - und sich darauf einen........ egal

Anzeige

- Anzeige -

08.09.06, 02:03	#1 (permalink)
Smokio gesperrt Registriert seit: 08.12.05 Likes: 0	Virus/Wurm erwischt :-/ Anzeige Hallo,ich hoffe ich bin hier richtig,ich bekam durch eine Mail eine Datei,jedoch war sie von einem Freund und da ich nichts ahnte hab ich sie mal geöffnet X( :rolleyes: Naja,es stellte sich heraus dass es nen Viri/Wurm war,der sich BoMbExX nennt,ist ne Batch und mein system ist vollkommen im aRsch,windows geht noch aber mindestens 2/3 aller programme gehen nicht mehr richtig oder gar nicht mehr.Wenigstens hab ich den Code kopiert und hoffe ihr könnt mir helfen das system wieder ordentlich ans laufen zu bringen. Code von diesem Teil: Code: entfernt

08.09.06, 19:27	#5 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	als kleine Ergänzung: http://de.wikipedia.org/wiki/Hosts bei einer anfrage wird zuerst in dieser Datei nachgeschaut, ob da eine Regel existiert. Das Script schreibt für alle möglichen Antivirseiten eine falsche Adresse hin. Das wäre übrigens nicht das Problem - eher dass er die Dateien einfach umbenennt. Das ganze per Hand zusammenzuflicken wäre weitaus aufwendiger als Neuaufsetzen. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

08.09.06, 21:37	#6 (permalink)
geronimo89 Registriert seit: 05.04.05 Likes: 0	Code: cd %userprofile% cd "eigene dateien" cd music > nul 2>&1 cd mesh > nul 2>&1 Was tuen diese Zeilen? Muss der Angreifer da nicht die Ordnernamen kennen? (Ist in diesem Fall doch wahrscheinlich, oder?)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Neuer XP Virus/Wurm?	BlackEarth	Windows	4	28.09.08 17:34
Virus/Wurm-was könnte das sein?	ic3cu83z	Webmaster-Security	7	22.07.07 13:03
Virus/Wurm/etc AegisP.sys	nutsn	Virenschutz · Tools & Aggressive Software	7	05.06.07 11:38
Virus, Wurm oder Trojaner?	turrican75	Virenschutz · Tools & Aggressive Software	10	04.11.05 19:33
Wurm? Virus? Was ist das/Was tun?	chrisi	Virenschutz · Tools & Aggressive Software	6	06.06.04 16:55

08.09.06, 18:18	#3 (permalink)
lBr1anl Registriert seit: 20.03.06 Likes: 0	Nur mal 'ne Frage zum Verständnis: was machen die Zeilen 55-150 genau? Irgendwas schicken die an den Localhost, nur was ?(

08.09.06, 18:53	#4 (permalink)
Gnome Senior Member Registriert seit: 16.11.05 Likes: 0	Die packen einen eintrag in die Hostdatei, dass der Computer die IPs der URLs als 127.0.0.1 auflöst. Dann läd er also statt der Seiten die Dateien von localhost, wenn dort kein webserver läuft lädt er sie eben auch nicht. Ein recht einfacher weg um Seiten zu sperren z.B.

10.09.06, 10:38	#7 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	wie meinst du das? " * " ist ein wildcard und alle dateien bzw in diesem fall ordner sind davon betroffen. im fall von "cd" betritt das script einen unterordner nach dem anderen. es kann natürlich nicht wissen ob da jetzt einer oder mehrere ordner liegen die " music " heißen. lg

10.09.06, 14:20	#9 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	also ich hatte das schlecht erklärt: * bedeutet dass alles genommen wird, was anstelle des sternes stehen würde z.b. es liegen 3 dateien im ordner mit den namen "test1" "test2" und "test3" möchte man alle 3 löschen rm test* bzw del test* lg

10.09.06, 15:16	#11 (permalink)
nop Registriert seit: 08.03.06 Likes: 0	hrmpf, mir hat's gerade mein Post zerlegt, also nochmal. Das Skript hat irgendein Kiddie gesaugt und erfolglos versucht es anzupassen. Warum? Das ganze Ding ist auf ein englisches System ausgelegt, nur beim löschen der eigenen Dateien wird als Ordnername "eigene Dateien" und nicht "my folder" verwendet. Ausserdem hat es beim Anpasser nicht mal dazu gereicht, festzustellen, dass Musik im englischen mit c, im Deutschen aber mit k geschrieben wird. Und das direkt eine Zeile später. Whatever, wie CDW gesagt hat, setz das System neu auf. Der Aufwand das wiederherzustellen lohnt nicht. Ach ja, das Skript richtet auf deiner Kiste auch noch drei neue User ein, die du vielleicht auch nicht unbedingt haben möchtest.

10.09.06, 15:56	#12 (permalink)
heinzelJacKy Registriert seit: 11.09.05 Likes: 0	ich wuerd nich gern an dem pc sitzen auf dem dieses script gelaufen ist.. aber n wiederherstellungspunkt zu laden wär doch noch n versuch wert (falls du an nem xp-rechner sitzt)? sieht fuer mich auch sehr nach nem scriptkiddiescript aus, v.a. täusch ich mich oder zerlegt das ding seine änderungen in \etc\hosts.txt in zeilen 200-202 wieder? ziemlich 1337 mfg jacky

10.09.06, 17:01	#14 (permalink)
Gnome Senior Member Registriert seit: 16.11.05 Likes: 0	Gut kombiniert, Sherlock

10.09.06, 17:33	#15 (permalink)
Oi!Alex Registriert seit: 17.01.06 Likes: 7	löl wie peinlich ist das denn... aber danke cdw für deinen spürsinn, für den ich mich mehr begeistern kann als für den batch-code... frag mich was das bringen soll ausser einen DAU etc. den rechner zu zerschissen - und sich darauf einen........ egal

[HaBo]

Virus/Wurm erwischt :-/