Schadsoftware analysieren

[acdc]

Ich habe letztens in einem Forum einen Trojaner (Keylogger) gefunden und bitte euch mir zu helfen, wer "dahinter steckt".

Ich habe schon versucht mir alle Strings anzeigen zu lassen oder den Netzwerkverkahr zu beobachten, leider erfolglos.
(Also ich suche nach eventuellen Hostnamen und/oder Email-Adressen)

Die Datei findet ihr hier.
Ist ziemlich einfach zu entfernen. Zuerst im taskmgr killen und dann per "msconfig" den autostart verhindern und eventuell registry einträge löschen.

lg, acdc

 

[Jigsaw]

vielleicht http://www.wireshark.org/

 

[acdc]

Genau den habe ich doch benutzt.

 

[Jigsaw]

Tut mir Leid meine Glaskugel funktioniert nicht

Es gibt noch TCPView und PRTGTrafficGrapher

EDIT: Mit Filemon kannst du auch noch Dateien analysieren

 

[acdc]

Naja, wenn ich sage, dass ich den Netzwerkverkehr beobachtet habe, kannst du mir das auch glauben. Welches Tool ich da benutzt habe ist nebensächlich, solange alles wie gewüscht funktioniert.

Deine aufgelisteten Tools werde ich mir genauer anschauen.

 

[CDW]

Welches Tool ich da benutzt habe ist nebensächlich, solange alles wie gewüscht funktioniert.

Anti-Wireshark & Anti-VM Funktionen sind "quasi-standard". Daher ist das Tool an sich nicht nebensächlich .
Eine mögliche Lösung wäre den Trojaner selbst in einer nicht so verbreiteten VM (z.B VirtualBox, QEMU) laufen zu lassen und Wireshark auf dem "echten" Rechner. Oder eben eine andere Software als Wireshark zu nutzen.
Weiterhin: Keylogger sind häufig nicht ständig "online", sondern senden ihre Daten in bestimmten Zeitabständen.

 

[AngelDelivery]

Anti-Wireshark & Anti-VM Funktionen sind "quasi-standard". Daher ist das Tool an sich nicht nebensächlich .
Eine mögliche Lösung wäre den Trojaner selbst in einer nicht so verbreiteten VM (z.B VirtualBox, QEMU) laufen zu lassen und Wireshark auf dem "echten" Rechner. Oder eben eine andere Software als Wireshark zu nutzen.
Weiterhin: Keylogger sind häufig nicht ständig "online", sondern senden ihre Daten in bestimmten Zeitabständen.

Meinst Du eine Anti-Wirehark oder eine "Anti wpcap" Lösung ?
Also ich denke es gibt beide. Im Falle der Zweiten, wäre imo die Analyse auch nicht durch die meisten anderen capturing tools möglich, ich denke die VM Lösung wäre sinnvoll. Einem kompromitierten System kann man nicht vertrauen.

 

[CDW]

Meinst Du eine Anti-Wirehark oder eine "Anti wpcap" Lösung ?

Eigentlich Anti-Wireshark. Denn diese Funktionen als "Copy&Paste fertiger Code" gibt es in einschlägigen Foren in Masse - und dementsprechend werden diese am häufigsten eingesetzt. Natürlich hast Du recht - es gibt auch anti-wpcap (z.B fällt mir da eine relativ simple Treibermodulabfrage ein). Nur ist die imho nicht soo verbreitet und daher zumindest einen Versuch wert.

Einem kompromitierten System kann man nicht vertrauen.

Jep, ich bin eigentlich davon ausgegangen, dass der Topicstarter es in einer VM startet.
Nur sind die VMware und VirtualPC die am häufigsten eingesetzten VMs und dementsprechend ist die Chance sehr hoch, dass die Malware gerade diese VMs abfragt. Ideal wäre natürlich ein alter Rechner ohne jegliche Zusatzsoftware, dessen Trafic man dann auf einen zweiten "Analyserechner" leitet.

Sonst fällt mir auf Anhieb nur noch die Debuggermethode ein. Großteil der Malware hat da keinen wirksamen Gegenschutz. Allerdings erfordert die Methode gewisse Assembly/Debugging/WinAPI Kenntnisse

 

[AngelDelivery]

Ideal wäre natürlich ein alter Rechner ohne jegliche Zusatzsoftware, dessen Trafic man dann auf einen zweiten "Analyserechner" leitet.

Ja leider ist es so. Das schlimme daran ist, dass man sich niemals sicher sein kann, dass man nicht Opfer einer Malware ist. Man kann infiziert sein ohne dass man es weiß; auch wenn man eine Desktop Firewall und ein av Produkt einsetzt, und verchiedene capturing tools zu rate zieht.
Warscheinlich sollte man immer einen Analyserechner mitlaufen lassen was ?

@ the op:

Mit Haushaltsmitteln könnte man nochwas probieren wenn Dein (warscheinlich eingesetzter) dsl router Firewallregel-Brüche protokolliert. Dann blockiere doch mal für einen ganzen Tag alle Verbingungen nach außen, und tippe immer mal wieder auf der Tastatur rum. Schau Dir dann mal die Logs an....