19 replies to this topic

[Bypass]

Guten Tag Community, 

 

Hab mir mal aus einem Forum den Pony 1.9 Stealer heruntergeladen. und diesen habe ich dann per Sandboxie ausgeführt (PonyBuilder.exe). Die PonyBuilder.exe ging, kommte damit Builden etc. Jedoch wollte ich es heute Abend genauer angucken, weil ich weg musste. Aber seitdem kommt jede 2 Minute auf meinen Desktop eine Fehlermeldung, die mir besagt:

 

"basecsp reagiert nicht, warten auf rückmeldung"

 

Naja, habe mir anfangs nichts dabei gedacht, jedoch war es schon komisch weil die basecsp.exe garnicht in dem Ponyordner (bzw. sie generell bei keinem Ordner) dabei war.

 

 

Das war der Ordner & noch das Webpanel. Davon hab ich nur die PonyBuilder.exe per Sandboxie gestartet. 

 

Also, habe ich dann noch ein komischen Pfad gefunden, mit "upd.exe" & "Pony.exe" -> beide haben so ziemlich identische Icons. Doch als ich bei denen beide auf "Eigenschaften" gedrückt habe stand noch das die irgendwie mit der basecsp.exe verknüpft sind. Jedoch habe ich die beide Dateien nicht gestartet, lediglich nur die Ponybuilder.exe. Ich weiß jetzt nicht ob die Ponybuilder.exe 'nen RAT ist (obwohl die funktioniert hat) Vielleicht könnt ihr mir mehr sagen.

 

 

 

Naja, das irritiert mich alles ein bisschen. Vielleicht findet ihr ja etwas. Deswegen das Thema "RAT Überprüfung" :/

Zudem muss noch gesagt werden: Ich habe mich noch nie richtig mit Malware/RAT's/Stealer" befasst, deswegen bin ich in dem Bereich der absolute Anfänger. Jedoch Interessiert es mich, weswegen ich mir alles genauer anschauen will.

 

Und ich muss noch dazu sagen, dass bei dem Forum wo ich es heruntergeladen habe, nur Positive Feedbacks waren, bzw keiner sich Beschwert hat. Was mich recht wundert.

 

Downloadlink: 

Please Login HERE or Register HERE to see this link!

 

 

[caspR]

Ich frag mich, warum der "RAT" eine selbst extrahierende Datei ist, in der sich 3 (!) Dateien verstecken?

 

Zusätzlich frag ich mich, warum die ursprüngliche Datei "BAM2.exe" heißt?!

 

Hoffe du hast das Teil nicht auf deinem main System ausgeführt.

 

Auch interessant (Pony.exe > svchost.exe):


Die svchost.exe verschwindet nach ein paar Minuten kurz, erscheint dann aber wieder und sendet Pakete?!

Edited by caspR, 19 February 2015 - 18:44 Uhr.

[Cyber Tjak]

Pony.exe:

- Hook in svchost.exe

- Autorun

- VT 39/57

Please Login HERE or Register HERE to see this link!

- stellt eine Verbindung zu darkbyte.serveftp.com her -> 204.95.99.109

 

 

upd.exe:

- stellt eine Verbindung zu 46.246.87.92, 66.171.248.172, 5.135.127.68 her

- sammelt Daten (u.a. Passwoerter vom IE)

- droppt 6 verschiedene Dateien (pidloc.txt, wbemprox.log, holderwb.txt, pid.txt, holdermail.txt, rsaenh.dll)

-> letztere dient der Verschluesselung

- Autorun

- VT 39/57

Please Login HERE or Register HERE to see this link!

 

 

Ist eine obfuscated .net crypted Malware, tippe auf einen Bot oder einen RAT.

Edited by Cyber Tjak, 19 February 2015 - 18:53 Uhr.

[Bypass]

Jop, war mir klar das es Infected ist.

 

Ich hab es auf meinen Main SYSTEM gestartet (via Sandboxie) 

Wie krieg ich den dreck jetzt am besten weg? 

[Cyber Tjak]

Per Live Boot CD z.B. mit Kaspersky scannen lassen & cleanen oder neuinstallieren (empfehle letztere Methode).

[Bypass]

Denkste wenn ich vollen scan via ESET durchführe, geht das teil weg?

[Cyber Tjak]

Scheint persistent zu sein (der Hook geschieht nicht umsonst), daher eher nein. Wie gesagt lieber ohne Windows am laufen zu haben.

[smc2014]

@Bypass

 

Zu allererst

 

basecsp.dll ist eine DLL-Datei, die für die Komponente Microsoft Base Smart Card Crypto Provider in Windows-Systemen wie Windows 7 Professional Edition 64-bit ist.

erstellt: 21.Nov.2010

Größe 166.784 Bytes

Version 6.1.7601.17514

 

Wenn auf aktuellen Stand.

 

Zum RAT, bin noch dran zu schaun

[Bypass]

Alles klar, danke für die Info. 

Ich scan erstmal komplett mein System via ESET. Immerhin etwas. 

Weil eine neuinstallation könnte ich nicht machen, weil ich sooooooooooo viele Daten habe, die einfach viel zu wichtig sind.. <.< (ü. 500 gb)

Müsste irgendwie auch anderst gehen.

Edited by Bypass, 19 February 2015 - 19:04 Uhr.

[smc2014]

Schau dir mal das an:

 

Analyse zum RAT.

Please Login HERE or Register HERE to see this link!

 

Ich würde dir erstmal empfehlen Autoruns oder ccleaner .... und Prozess Hacker runter zulanden und zu benutzen.

• Autoruns zeigt dir alles auf was in Autostart, Registry , sowie Service........ installiert ist und kannst es dann "deaktivieren" oder LÖSCHEN! (mit Vorsicht benutzen!!)
• ccleaner bizte das System Reinigen, Temporary files ...... auch mal manuell im Temp ordner reingehen, sowie im Ordner APPDATA...
• Prozess Hacker, kontrollierst du was mit wem in verbindung ist, sowie was gerade zum Inet verbindet ....

LG

 Meinste die 3 Dateien???? )

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\Pony.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\PonyBuilder.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\upd.exe

[Bypass]

Genau die Dateien, das sind die. 

[Cube]

Du kannst das system nur halbwegs sauberbekommen.

Indem Moment wo man sich infected --> immer neu aufsetzen.

Man weiß ja nie.

 

Mir persönlich zu heikel.

Vorallem bei Persistance und Co...

 

Ansonstn mal TempOrdner leeren, Appdata durchschaun, Autostart, Dokumente/Settings Ordner etc. etc.

Via Live CD Avira/Kaspersky scannen lassen.

 

Vlt auf einen Wiederherstellungspunkt zurücksetzen.

Oder wenn vorhanden, ein altes Backup einspielen.

 

LG

[smc2014]

Führe mal die 3 Punkte aus... und benutze mal nen Vernünftigen AV.. meiner hatte sofort angeschlagen, musste Ihn deaktivieren.

 

PS: alle 3 Programme sind Portable verfügbar.. also mal aufn Stick für Notfälle

 

LG

 

Links

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

hier noch zur Info... der Zusammenhang der SVCHost.exe WinSCard.dll und Basecsp.dll....

 

Please Login HERE or Register HERE to see this link!

 

Aber dennoch wie @ Cube geschrieben hat, "neu aufsetzen" und nächstes mal VM machen und benutzen...

Edited by smc2014, 19 February 2015 - 19:23 Uhr.

[Bypass]

Danke nochmal für die aufklärung @ all

Also ich kann ehrlich gesagt aber nicht verstehen, wie die upd.exe und Pony.exe ausgeführt wurden.. Ich hab sie schließlich nicht gestartet.

Und zudem meinen ja alle, dass das ausführen via Sandboxie sicher ist, damit man es auch letztendlich löschen kann, wenn es Malware ist etc.

 

Gilt das "gesetz" auch noch hier? Denn ich hab die Ponybuilder.exe via Sandboxie ausgeführt. 

 

Und würde es helfen wenn ich mein Laptop auf 2 tage zurücksetze?

Edited by Bypass, 19 February 2015 - 23:21 Uhr.

[Lopus]

Danke nochmal für die aufklärung @ all

Also ich kann ehrlich gesagt aber nicht verstehen, wie die upd.exe und Pony.exe ausgeführt wurden.. Ich hab sie schließlich nicht gestartet.

Und zudem meinen ja alle, dass das ausführen via Sandboxie sicher ist, damit man es auch letztendlich löschen kann, wenn es Malware ist etc.

 

Gilt das "gesetz" auch noch hier? Denn ich hab die Ponybuilder.exe via Sandboxie ausgeführt. 

 

Und würde es helfen wenn ich mein Laptop auf 2 tage zurücksetze?

Ja wenn das ausführen der Schadware nicht länger als 2 Tage ist schon. Also wenn das Backup vor dem starten der Malware war, dann bringt es (meines Wissens) nach etwas. Korrigiert mich wenn ich falsch liege

[Bypass]

Das wäre dann die beste lösung. Weil das ding habe ich gestern gestartet. Und ich habe nicht genug Speicherplatz meine ganzen sachen in einen USB Stick zu ziehen, wenn ich mal vorhabe es neuzuinstallieren

Aber da du dir auch nicht so sicher bist, warte ich mal auf mehrere(andere) antworten. 

[Cyber Tjak]

Wenn die Malware klug genug ist, sich in Pfade einzunisten, die mit einem Backup nicht ueberschrieben werden bzw. wenn es sich ins Backup eingenistet hat, dann wird das nichts bringen. Ohne weitere aufwendige Analyse ist das aber nicht herauszufinden, die einfachste und vor allem sicherste Methode ist das Neuinstallieren (selbst das kann man mittlerweile als unsicher betrachten, siehe HDD Firmware Malware etc. aber die Malware, die du da hast, scheint nicht derart ausgekluegelt wie ein Staatstrojaner zu sein).

[pdr0]

Sieht so aus als ob die IP schon Microsoft gehoert.

 

Please Login HERE or Register HERE to see this link!

[Bypass]

@ Tjak, danke für die Info, muss dann wohl wahrscheinlich doch die Neuinstallation machen.

 

@ pdr0, also gehört dann die IP adresse von darkbyte.com bzw darkbyte.serveftp.com microsoft oder wie soll ich das jetzt verstehen?

[most_uniQue]

Hast du aber schon gecheckt, dass dieser PonyBuilder ein WinrarSFX ist ? Falls das noch keinem aufgefallen ist und wenn ja, sorry, dass ich nicht alles verfolgt hab