![[HaBo]](/styles/default/logoklein.png){kind=small}
So! Freunde des Hackens, hier ist wieder euer verrückter Dr. Berry
mit einem interessanten Viruscode Teil.
Dieser Virus ist relativ neu und laut den Virendatenbanken
sehr unerforscht, ich bin nicht sicher ob es dieser ist oder eine Art vom dem.
Naja des ist derzeit uninteressant.
Ich hab ihn nur anhand eines Command and Controll Server als Z-Bot identifiziert, aber ich bin mir nicht komplett sicher, obs der's ist.
Er besteht ursprünglich aus 2 bis 3 Stammdateien, diese Dateien sind unter Windows und Ubuntu unsichtbar, nur unter richtigen Linuxsystemen
kann man diese versteckten Dateien sehen:
USB Laufwerkinfizierer laut HEX Editor:
autorun.inf
;qAIgiDERdHpYtwyDHDAhymZkjKVupOpIDaOyoqSJAWO
[AuTOrUn
;CCnbiRqztGNtQKpPvdOjEEwOt
open=yvdymz.exe
;b
shell\open\Command=yvdymz.exe
;IsrTCbsXVMqxUJbC
shell\open\Default=1
;45F17A241FC4BFE4DD1A015E083CBEAA8F8E0F99B223D6B7BEBC14033AEE
;PFnUiMBcCPHZIgWuDoWjNwJrNVBhjSahncVosKBqFkUZqYMLdftXRaOXuEFh
;utfqNYzJSPIvkxVWstMoeAmmCtKtjlROdyQWQjuETyq
ich könnte erahnen was dieser Code anstellt, schon beim einstöpseln
des USB Sticks wird man infiziert.
Die restlichen Gewirr Codes sind warscheinlich ein Entschlüsselungs Schlüssel für den eigentlichen Virus nammens yvdymz.exe
Bei virustotal.com findet der nichts, Virustotal ist einfach nur schlecht...
csrcs.exe -> aggressiver Virus/Trojan Installer, ist ein Icon mit einem Japaner mit Mikrofon im Hintergrund eines grau unterlegten Ordners
(ist der Windowsdatei csrss.exe ähnlich)
und prexi.exe -> Verursacht diverse Fehlermeldungen... ensteht aus csrcs.exe
z.B: prexi.exe ist keine gültige windows32 Anwendung oder Fehler im Code balblabla
Die manipulierte explorer.exe Datei versucht mehrere Verbindungen
zu bestimmten Command and Control Server aufzubauen, einige IPs sind in schwarzen Malware Listen gelistet andere nicht.
Haupt Command and Controll Server: 108.162.206.169 und 119.60.6.254 (<- da läuft ein ftp, ssh, smtp, 111 aber kein pop3 Server, d.h Spammailer Host!)!
Eine IP war aus Frankreich aber hat sich schnell getrennt.
Kommunikations Ports: 1330, 13337 (bestimmt für leet) und 11496.
Dumme Ports des sieht doch jeder Blinde mit einem Krückstock das diese Verbindungen abnormal sind... ich würde unauffälligere wie z.B. 443 verwenden... aber ich bin ja kein Krimineller sondern ein Aufklärer
Ein cooler Virus den ich bekommen habe, theoretisch könnte ich den gegen USB Stick Diebe verwenden ^^
wenn ich den später mit DeASM zerhacke und umprogrammiere.
Mir können Trojaner und Viren keine Schäden anrichten, weil ich meistens mit Linux arbeite und Festplattenlesegeräte von der Firma habe und ständig Backups mache.
Über www.chip.de sollte man nichts mehr downloaden, es kann sein das dieser Virus viele Dateien infiziert hat, trotz ihre angebliche "Virenfreie Zone" für Freie Downloads... :thumb_down:
was lernen wir dadraus
lade nie mehr was von chip.de herunter.
Code owned by I <3 my Revenge_SpyBot.net und F1-renf0rsch3r Dr. Berry
Frage nun an euch ^^ weiß jemand was dieser Code genau macht?
Ich poste später weitere Codeteile, für die Bastler unter euch.
Weitere Infos:
https://www.virustotal.com/file/068...cab7726f7c03049047cc7c12b0690e9ef4c/analysis/
^ist aber nur eine Vermutung, ich bin nicht sicher ob es dieser Trojaner ist...
Zitat aus virustotal:
DNS requests...
polyatskieyw.com (119.60.6.254) siehe oben
mit einem interessanten Viruscode Teil.
Dieser Virus ist relativ neu und laut den Virendatenbanken
sehr unerforscht, ich bin nicht sicher ob es dieser ist oder eine Art vom dem.
Naja des ist derzeit uninteressant.
Ich hab ihn nur anhand eines Command and Controll Server als Z-Bot identifiziert, aber ich bin mir nicht komplett sicher, obs der's ist.
Er besteht ursprünglich aus 2 bis 3 Stammdateien, diese Dateien sind unter Windows und Ubuntu unsichtbar, nur unter richtigen Linuxsystemen
kann man diese versteckten Dateien sehen:
USB Laufwerkinfizierer laut HEX Editor:
autorun.inf
;qAIgiDERdHpYtwyDHDAhymZkjKVupOpIDaOyoqSJAWO
[AuTOrUn
;CCnbiRqztGNtQKpPvdOjEEwOt
open=yvdymz.exe
;b
shell\open\Command=yvdymz.exe
;IsrTCbsXVMqxUJbC
shell\open\Default=1
;45F17A241FC4BFE4DD1A015E083CBEAA8F8E0F99B223D6B7BEBC14033AEE
;PFnUiMBcCPHZIgWuDoWjNwJrNVBhjSahncVosKBqFkUZqYMLdftXRaOXuEFh
;utfqNYzJSPIvkxVWstMoeAmmCtKtjlROdyQWQjuETyq
ich könnte erahnen was dieser Code anstellt, schon beim einstöpseln
des USB Sticks wird man infiziert.
Die restlichen Gewirr Codes sind warscheinlich ein Entschlüsselungs Schlüssel für den eigentlichen Virus nammens yvdymz.exe
Bei virustotal.com findet der nichts, Virustotal ist einfach nur schlecht...
csrcs.exe -> aggressiver Virus/Trojan Installer, ist ein Icon mit einem Japaner mit Mikrofon im Hintergrund eines grau unterlegten Ordners
(ist der Windowsdatei csrss.exe ähnlich)
und prexi.exe -> Verursacht diverse Fehlermeldungen... ensteht aus csrcs.exe
z.B: prexi.exe ist keine gültige windows32 Anwendung oder Fehler im Code balblabla
Die manipulierte explorer.exe Datei versucht mehrere Verbindungen
zu bestimmten Command and Control Server aufzubauen, einige IPs sind in schwarzen Malware Listen gelistet andere nicht.
Haupt Command and Controll Server: 108.162.206.169 und 119.60.6.254 (<- da läuft ein ftp, ssh, smtp, 111 aber kein pop3 Server, d.h Spammailer Host!)!
Eine IP war aus Frankreich aber hat sich schnell getrennt.
Kommunikations Ports: 1330, 13337 (bestimmt für leet) und 11496.
Dumme Ports des sieht doch jeder Blinde mit einem Krückstock das diese Verbindungen abnormal sind... ich würde unauffälligere wie z.B. 443 verwenden... aber ich bin ja kein Krimineller sondern ein Aufklärer
Ein cooler Virus den ich bekommen habe, theoretisch könnte ich den gegen USB Stick Diebe verwenden ^^
wenn ich den später mit DeASM zerhacke und umprogrammiere.
Mir können Trojaner und Viren keine Schäden anrichten, weil ich meistens mit Linux arbeite und Festplattenlesegeräte von der Firma habe und ständig Backups mache.
Über www.chip.de sollte man nichts mehr downloaden, es kann sein das dieser Virus viele Dateien infiziert hat, trotz ihre angebliche "Virenfreie Zone" für Freie Downloads... :thumb_down:
was lernen wir dadraus
lade nie mehr was von chip.de herunter.Code owned by I <3 my Revenge_SpyBot.net und F1-renf0rsch3r Dr. Berry
Frage nun an euch ^^ weiß jemand was dieser Code genau macht?
Ich poste später weitere Codeteile, für die Bastler unter euch
.Weitere Infos:
https://www.virustotal.com/file/068...cab7726f7c03049047cc7c12b0690e9ef4c/analysis/
^ist aber nur eine Vermutung, ich bin nicht sicher ob es dieser Trojaner ist...
Zitat aus virustotal:
DNS requests...
polyatskieyw.com (119.60.6.254) siehe oben
Zuletzt bearbeitet:
