7 Antworten in diesem Thema

[Blackfox]

Heute als ich meinen PC startete, ploppte kurz ein kleines CMD-Fenster auf, was normalerweise nicht der Fall ist.

Schädling inklusive Autostarteintrag habe ich schon gefunden und entfernt. Nun würde ich aber gerne wissen, was für Schandtaten es macht/gemacht hat. Kann Jemand mal bitte die 2 Dateien auf ihre Funktionsweise analysieren?

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

[Cube]

FIle Nummero 1 wurde vom Hoster gesperrt.

Schau ich gern mal etwas an.

Musste aber reupen

 

EDIT:

FIle Nummer 2:

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

.Net 4.0

Obfuscated

 

Dürfte Sich in die Registry eintragen bezüglich Autostart.

 

Keine Ahnung welcher Protector/Obfuscater.

Kommt sicher jemand anderer weiter

 

 

Lg

Cube

Bearbeitet von Cube, 15 February 2015 - 11:15 Uhr.

[most_uniQue]

Zu File 2:

Confused mit Confuser V1.9.

ToDo: Deobfuscaten. In Progress....

 

EDIT#1: Hier File2: Deobfuscated :

Please Login HERE or Register HERE to see this link!

Dürfte deutscher Herkunft sein. Hab ne Resource gefunden die nennt sich " senden ". Arbeitet auch mit Invokes. Ich glaube die beiden Files korrespondieren miteinander. ReUp doch mal bitte das erste File dann schau ich mir das nochmal an.

Bearbeitet von most_uniQue, 15 February 2015 - 12:08 Uhr.

[smc2014]

2tes File:

Ich hoffe das du nicht nur die Datei:

C:\PROGRA~1\COMMON~1\MICROS~1\DW\DW20.EXE gelöscht hast sondern auch dein Temp file

 

Wie @most_uniQue schon gesagt: "beide Files korrespondieren miteinander".

 

LG

[Cube]

Es sollte auch eine Datei in C:\ProgramData\DaDa.ini geben. 

Mehr dazu editier ich hier dann heut noch!

 

Es wird ein Wert in der Registry ausgelesen: LocalMachine -->SOFTWARE\Microsoft\Windows NT\CurrentVersion --> DigitalProductId

Mit dieser wird dann gearbeitet... Kein Plan wozu die dienen soll^^

Damit wird der Windows LizenzKey ausgelesen bzw die ID anscheinend.

 

 

Brauchen die eigentliche erste Datei!

Bearbeitet von Cube, 15 February 2015 - 14:52 Uhr.

[most_uniQue]

Danke erstmal an @ Cube , der den Server ausfindig gemacht hat, an den die Files anscheinend connecten. Das wäre dieser :

Please Login HERE or Register HERE to see this link!

 

Ich war so frei und habe alle .exe-Dateien mir gezogen und die beiden "Hacks", welche ebenfalls mitm Confuser obfuscated waren, deobfuscated und alle anderen .exe mal in ein Archiv gepackt für weitere analyse eurerseits, wenn ihr Bock habt.

Ich warte immernoch auf File 1

Please Login HERE or Register HERE to see this link!

[Cube]

Merci @most_uniQue Nunja meines Erachtens is das alles purer Schrott was der Typ da praktiziert.

Entweder ich übersehe etwas dramatisches oder was weiß ich.

 

Nunja "S4-Hack.exe" sieht wie folgt mal aus:

Please Login HERE or Register HERE to see this link!

 

Augenkrebsfördernd....

Auf jedenfall macht das Tool praktisch nichts außer sich die .txt Files vom besagten Server zu laden.

Zumindest seh ich sonst nichts.

 

Und ZickZackHD-Hack.exe sieht so aus:

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

Ebenfalls zum kotzn^^

Nun hier wird auf den S4-hack zugegriffen.

Kein Plan wie genau und was.

Sieht etwas verkorkst aus.

 

Auf jedenfall scheint hier nicht viel zu passieren bis eigentlich gar nichts.

 

Kann es sein, dass beim deobfuscaten Source verloren geht?

 

Ansonsten kann es sein, dass lediglich File 1 irgendwas ungutes anstellt.

 

Naja abwartn.

[most_uniQue]

Ne ich habe eigenentlich sauber deobfuscated. Gegen den Confuser gibt es ein sauberes Gegenmittel, welches ich immer benutzt habe.

Ich glaube auch eher, dass wir auf File 1 warten müssen.