DarkComet - Victim ohne Grund / AV Hersteller?

I

illuminatorx87

0
Hallo @all
ich bin neu hier und mein Anliegen ist folgendes extrem merkwürdiges Problem:

ich habe zu testzwecken versucht einen DarkComet server undetected zu bekommen mit eigenen mitteln (wollte es nicht verteilen, kein scherz)

um zu sehen wie es klappt habe ich es (ich weiß normalerweise sollte man es nicht aber es war für mich wirklich nur ein test) auf virustotal hochgeladen.

nach einer weile rumprobieren (no-ip dns war konfiguriert) und diversen uploads bei virustotal hab ich auf einmal einen GAST der auf dark comet angezeigt wird. und ich habe es DEFINITV NICHT irgendwo außer bei virustotal hochgeladen oder verteilt.
der gast war aus den USA mit win xp rechner.
meine vermutung war direkt, dass es ein testpc von einem AV hersteller ist.
ist das möglich?

vor schreck wollte ich direkt den server deinstallieren, was aber nicht ging.
jetzt habe ich meinen no-ip account mal gelöscht. ich wollte wirklich niemandem schaden.
 
das war kein test pc ... *g*

ich denke der test pc war in dem fall wohl eher deiner ... :D
 
illuminatorx87 hat gesagt.:
also war das quasi "jemand" der meine ports gescannt, den offenen DC port gesehen und sich dann als "opfer" ausgegeben hat?
Zum Vergrößern anklicken....


errr ... nein ... vermutlich wurde eher deine bei VT hochgeladene exe zerpflückt, dein rechner als cnc server identifiziert und mal ne verbindung hergestellt ... wenn die kontrollinstanz auf deinem rechner ne beabsichtigte oder unbeabsichtigte hintertür hat, dürfte das hiermit zusammenhängen ...

oder wenn du lieber (nochmal) die kurzfassung hören möchtest:


pwned :D
 
welche sorgen sollte ich mir im bezug darauf machen, was habe ich falsch gemacht, wie lässt sich das verhindern? :confused:
verbindung stand ca 5 sekunden

wäre für nähere erklärung dankbar :)

edit: der testserver hatte kein passwort... da was war wohl ein dummer fehler... aber wäre trotzdem nach wie vor über weitere infos erfreut zu obigen fragen
 
Zuletzt bearbeitet:
illuminatorx87 hat gesagt.:
welche sorgen sollte ich mir im bezug darauf machen, was habe ich falsch gemacht, wie lässt sich das verhindern? :confused:
verbindung stand ca 5 sekunden

wäre für nähere erklärung dankbar :)

edit: der testserver hatte kein passwort... da was war wohl ein dummer fehler... aber wäre trotzdem nach wie vor über weitere infos erfreut zu obigen fragen
Zum Vergrößern anklicken....

Du wirst dich wohl selber infiziert haben, bei deinen Testversuchen oder schon dir malware eingefangen haben beim entpacken der files.....
 
also die langfassung:


exe bei vt hochgeladen

exe entweder voll- oder halb-automatisch untersucht

parameter deines servers werden protokolliert

bei dieser protokollierung fallen alle daten an, mit denen du das teil gefüttert hast ...

es folgt die voll- oder halb-automatische untersuchung des CNC servers (deines rechners) duch den AV hersteller, dafür wird eine testverbindung aufgebaut, und man gibt sich als dein trojaner aus ... alle nötigen informationen hast du ja bei vt hochgeladen ...

es folgt das übliche: erkennung der steuersoftware ... bei standard trojanern kann man davon ausgehen, dass bei dir die dazu passende standard steuer software läuft ... wenn diese erkannt wird, wirds lustig ... möglicherweise steckt in der steuersoftware ebenfalls ein trojaner, den der entwickler da eingepflanzt hat, oder das teil hat sonstige schwachstellen im code ...

da du das ding im netz gefunden hast, wird auch der AV hersteller eine kopie davon haben ... die hat er vermutlich untersucht, und kennt schwachstellen, oder hintertüren ...

die kann er dann quasi jetzt für seine zwecke nutzen ...

in der regel wollen die auf die tour aber nur wissen, ob der CNC server automatisch weitere malware auf dem zielrechner nachinstalliert ...

sprich theoretisch kann das auch eine echte instanz deiner exe gewesen sein, die in einer dummy vm geladen wurde, um vorher nacher snapshots zu machen ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben