Virus/Wurm erwischt :-/

[Smokio]

Hallo,ich hoffe ich bin hier richtig,ich bekam durch eine Mail eine Datei,jedoch war sie von einem Freund und da ich nichts ahnte hab ich sie mal geöffnet X(

Naja,es stellte sich heraus dass es nen Viri/Wurm war,der sich BoMbExX nennt,ist ne Batch und mein system ist vollkommen im aRsch,windows geht noch aber mindestens 2/3 aller programme gehen nicht mehr richtig oder gar nicht mehr.Wenigstens hab ich den Code kopiert und hoffe ihr könnt mir helfen das system wieder ordentlich ans laufen zu bringen.

Code von diesem Teil:

entfernt

 

[CDW]

Mein Rat: installier neu. Ich konnte zwar keine "Böse getarnte Malware" entdecken (immerhin ist es ja ein Batchvirus ) aber die Zeilen ab

cd C:\WINDOWS\system32

sind, wenn ich den code richtig deute, nicht wirklich umkehrbare Eingriffe (er umbenennt einfach alles um - in Systemordnern etc)

cd C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Wenn Du ein deutschsprachiges Windows hast, sollte es kein Problem sein. Das Ding ist imho ein "l337 Ultr4c3wl Systemfucker" Script - denn sonst wären die Pfade nicht festkodiert . Ist anscheinend die neuste Mode bei den Kids - wie man am schnellsten Systeme schrottet.

PS: so wie ich das sehe (ist ja schon spät), verschickt es sich nicht von alleine per Mail. An Deiner Stelle würde ich ein ernstes Wörtchen mit dem "Freund" reden .

 

[lBr1anl]

Nur mal 'ne Frage zum Verständnis: was machen die Zeilen 55-150 genau? Irgendwas schicken die an den Localhost, nur was ?(

 

[Gnome]

Die packen einen eintrag in die Hostdatei, dass der Computer die IPs der URLs als 127.0.0.1 auflöst. Dann läd er also statt der Seiten die Dateien von localhost, wenn dort kein webserver läuft lädt er sie eben auch nicht. Ein recht einfacher weg um Seiten zu sperren z.B.

 

[CDW]

als kleine Ergänzung:
http://de.wikipedia.org/wiki/Hosts
bei einer anfrage wird zuerst in dieser Datei nachgeschaut, ob da eine Regel existiert.
Das Script schreibt für alle möglichen Antivirseiten eine falsche Adresse hin.

Das wäre übrigens nicht das Problem - eher dass er die Dateien einfach umbenennt. Das ganze per Hand zusammenzuflicken wäre weitaus aufwendiger als Neuaufsetzen.

 

[geronimo89]

cd %userprofile%
cd "eigene dateien"
cd *music* > nul 2>&1
cd *mesh* > nul 2>&1

Was tuen diese Zeilen? Muss der Angreifer da nicht die Ordnernamen kennen? (Ist in diesem Fall doch wahrscheinlich, oder?)

 

[ERit]

wie meinst du das? " * " ist ein wildcard und alle dateien bzw in diesem fall ordner sind davon betroffen. im fall von "cd" betritt das script einen unterordner nach dem anderen. es kann natürlich nicht wissen ob da jetzt einer oder mehrere ordner liegen die " *music* " heißen.
lg

 

[geronimo89]

Original von ERit
wie meinst du das? " * " ist ein wildcard und alle dateien bzw in diesem fall ordner sind davon betroffen. im fall von "cd" betritt das script einen unterordner nach dem anderen. es kann natürlich nicht wissen ob da jetzt einer oder mehrere ordner liegen die " *music* " heißen.
lg

Alles klar, wieder was gelernt

Dankeschön.

 

[ERit]

also ich hatte das schlecht erklärt:

* bedeutet dass alles genommen wird, was anstelle des sternes stehen würde

z.b. es liegen 3 dateien im ordner mit den namen "test1" "test2" und "test3"
möchte man alle 3 löschen

rm test*

bzw

del test*

lg

 

[geronimo89]

Original von ERit
also ich hatte das schlecht erklärt:

* bedeutet dass alles genommen wird, was anstelle des sternes stehen würde

z.b. es liegen 3 dateien im ordner mit den namen "test1" "test2" und "test3"
möchte man alle 3 löschen

rm test*

bzw

del test*

lg

Ja, solche wildcards benutze ich eigentlich täglich unter Linux, das ist mir schon ein Begriff nur mit batchverarbeitung kenne ich mich kaum aus.

 

[nop]

hrmpf, mir hat's gerade mein Post zerlegt, also nochmal.

Das Skript hat irgendein Kiddie gesaugt und erfolglos versucht es anzupassen.
Warum?
Das ganze Ding ist auf ein englisches System ausgelegt, nur beim löschen der eigenen Dateien wird als Ordnername "eigene Dateien" und nicht "my folder" verwendet. Ausserdem hat es beim Anpasser nicht mal dazu gereicht, festzustellen, dass Musik im englischen mit c, im Deutschen aber mit k geschrieben wird. Und das direkt eine Zeile später.

Whatever, wie CDW gesagt hat, setz das System neu auf. Der Aufwand das wiederherzustellen lohnt nicht. Ach ja, das Skript richtet auf deiner Kiste auch noch drei neue User ein, die du vielleicht auch nicht unbedingt haben möchtest.

 

[heinzelJacKy]

ich wuerd nich gern an dem pc sitzen auf dem dieses script gelaufen ist.. aber n wiederherstellungspunkt zu laden wär doch noch n versuch wert (falls du an nem xp-rechner sitzt)?
sieht fuer mich auch sehr nach nem scriptkiddiescript aus, v.a. täusch ich mich oder zerlegt das ding seine änderungen in \etc\hosts.txt in zeilen 200-202 wieder? ziemlich 1337 8)

mfg jacky

 

[CDW]

ok, Quelle der Seuche: das voll kühle und elitäre "Scool of Hack Board" . Genauer: der Supermoderator dieses Forums, "brocken-error" : http://www.soh-board.dl.am/
http://soh.szene-host.com/forum/dload.php?action=category&cat_id=12

Description: Batch Virus
Submited by: TheJT
Autor: broken-error
Version: 1.0
Date: 09 Sep 2006 07:09 pm
Last Updated: None
Last Download: 09 Sep 2006 10:49 pm
File Size: 1.78 KB
Rating: Not Rated (0 Votes)
Downloaded: 1

und

Typ: Wurm
Agressivität: Kritisch
Umlauf:Wenig verbreitet
Detected:No

Ausser AntiVIR meckert dass es spyware wäre

Jo...^^

In Hacksector schon bekannt,Jugendhaus Computer haben auch schon bekanntschaft mit gemacht.Da sag ich nur System failure,NOT_BOOTABLE DLL'S not found,Bluescreen

Und als Schlüsswort: nun Smokio aka brocken-error, wolltest Du denn Kritik zu Deinem "Virus" hören? Dass es voll l337 ist ? Oder gar Anerkennung? Oder was soll die Aktion?

Spoiler: Beweisführung

PS: bevor hier Kritik kommt, dass ich einen armen unschuldigen User belästeige:
brocken-error ist auch auf dem höchst elitärem HaX0rsector registriert (will jetzt kein Link setzen, um nicht noch mehr Werbung für die zu machen). Da gibt er auch an, er wäre der Autor von Bombex. Soweit so gut. In einem anderen Posting lässt er paar Worte über HaBo fallen - dass man ihm hier beim C++ geholfen hätte. Natürlich gibt es beim Habo keinen "brocken-Error" user. Aber eine Suche nach dem Stichwort findet diesen Post von Smokio:
[Batch] ANTI VIRUS

cho *******************
echo * Virus Destroyer *
echo *******************
echo.
echo Codet by broken-error
echo.
echo To launch my programme please press any key

das hier passt auch ins Bild:
batch---->in anderen ordner speichern
und schließlich seine C++ Threads.


Beweis duch Indizien abgeschlossen

 

[Gnome]

Gut kombiniert, Sherlock

 

[Oi!Alex]

löl wie peinlich ist das denn... aber danke cdw für deinen spürsinn, für den ich mich mehr begeistern kann als für den batch-code...

frag mich was das bringen soll ausser einen DAU etc. den rechner zu zerschissen - und sich darauf einen........ egal

 

[CDW]

@alex: es kommt noch besser
Mietglied der 404 Battailon Crew
http://bad-shit.de.vu/
Kann sich ja jeder ein Urteil bilden.
Aber lassen wir das. Es ist nur ärgerlich, dass hier offenbar die Zeit von anderen Usern vergeudet werden soll.

 

[SUID:root]

Danke CDW für deine Recherche. Das ist wohl Grund genug, diesen Thread zu schließen.

Gruß

root