Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

[HELP] RAT Überprüfung

- - - - -

  • Bitte melde dich an um zu Antworten
19 Antworten in diesem Thema

#1
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Guten Tag Community, 

 

Hab mir mal aus einem Forum den Pony 1.9 Stealer heruntergeladen. und diesen habe ich dann per Sandboxie ausgeführt (PonyBuilder.exe). Die PonyBuilder.exe ging, kommte damit Builden etc. Jedoch wollte ich es heute Abend genauer angucken, weil ich weg musste. Aber seitdem kommt jede 2 Minute auf meinen Desktop eine Fehlermeldung, die mir besagt:

 

"basecsp reagiert nicht, warten auf rückmeldung"

 

Naja, habe mir anfangs nichts dabei gedacht, jedoch war es schon komisch weil die basecsp.exe garnicht in dem Ponyordner (bzw. sie generell bei keinem Ordner) dabei war.

 

g3Fff.png

 

Das war der Ordner & noch das Webpanel. Davon hab ich nur die PonyBuilder.exe per Sandboxie gestartet. 

 

Also, habe ich dann noch ein komischen Pfad gefunden, mit "upd.exe" & "Pony.exe" -> beide haben so ziemlich identische Icons. Doch als ich bei denen beide auf "Eigenschaften" gedrückt habe stand noch das die irgendwie mit der basecsp.exe verknüpft sind. Jedoch habe ich die beide Dateien nicht gestartet, lediglich nur die Ponybuilder.exe. Ich weiß jetzt nicht ob die Ponybuilder.exe 'nen RAT ist (obwohl die funktioniert hat) Vielleicht könnt ihr mir mehr sagen.

 

g3FlX.png

 

 

Naja, das irritiert mich alles ein bisschen. Vielleicht findet ihr ja etwas. Deswegen das Thema "RAT Überprüfung" :/

Zudem muss noch gesagt werden: Ich habe mich noch nie richtig mit Malware/RAT's/Stealer" befasst, deswegen bin ich in dem Bereich der absolute Anfänger. Jedoch Interessiert es mich, weswegen ich mir alles genauer anschauen will.

 

Und ich muss noch dazu sagen, dass bei dem Forum wo ich es heruntergeladen habe, nur Positive Feedbacks waren, bzw keiner sich Beschwert hat. Was mich recht wundert.

 

Downloadlink: 

Please Login HERE or Register HERE to see this link!

 

 



#2
caspR

caspR

    Noob

  • Members
  • PIPPIP
  • Likes
    3
  • 11 Beiträge
  • 0 Bedankt
  • Android [root]
  • Linux

Ich frag mich, warum der "RAT" eine selbst extrahierende Datei ist, in der sich 3 (!) Dateien verstecken?

 

qqtUn0a.png

Zusätzlich frag ich mich, warum die ursprüngliche Datei "BAM2.exe" heißt?!

 

YEKYMaR.png

Hoffe du hast das Teil nicht auf deinem main System ausgeführt.

 

Auch interessant (Pony.exe > svchost.exe):
cfT1bYL.png

Die svchost.exe verschwindet nach ein paar Minuten kurz, erscheint dann aber wieder und sendet Pakete?!


Bearbeitet von caspR, 19 February 2015 - 18:44 Uhr.

  • Bypass gefällt das

#3
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    78
  • 55 Beiträge
  • 66 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows
Pony.exe:
- Hook in svchost.exe
- Autorun
- VT 39/57

Please Login HERE or Register HERE to see this link!

- stellt eine Verbindung zu darkbyte.serveftp.com her -> 204.95.99.109
 
 
upd.exe:
- stellt eine Verbindung zu 46.246.87.92, 66.171.248.172, 5.135.127.68 her
- sammelt Daten (u.a. Passwoerter vom IE)
- droppt 6 verschiedene Dateien (pidloc.txt, wbemprox.log, holderwb.txt, pid.txt, holdermail.txt, rsaenh.dll)
-> letztere dient der Verschluesselung
- Autorun
- VT 39/57

Please Login HERE or Register HERE to see this link!

 
 
Ist eine obfuscated .net crypted Malware, tippe auf einen Bot oder einen RAT.

Bearbeitet von Cyber Tjak, 19 February 2015 - 18:53 Uhr.

  • Bypass und caspR gefällt das

Eingefügtes Bild

Ich bin der Stoff aus dem die Traeume sind.


#4
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Jop, war mir klar das es Infected ist.

 

Ich hab es auf meinen Main SYSTEM gestartet (via Sandboxie) 

Wie krieg ich den dreck jetzt am besten weg? 



#5
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    78
  • 55 Beiträge
  • 66 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows

Per Live Boot CD z.B. mit Kaspersky scannen lassen & cleanen oder neuinstallieren (empfehle letztere Methode).


  • Bypass gefällt das

Eingefügtes Bild

Ich bin der Stoff aus dem die Traeume sind.


#6
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Denkste wenn ich vollen scan via ESET durchführe, geht das teil weg?



#7
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    78
  • 55 Beiträge
  • 66 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows

Scheint persistent zu sein (der Hook geschieht nicht umsonst), daher eher nein. Wie gesagt lieber ohne Windows am laufen zu haben.


  • Bypass gefällt das

Eingefügtes Bild

Ich bin der Stoff aus dem die Traeume sind.


#8
smc2014

smc2014

    Moderator

  • Moderator
  • Likes
    344
  • 576 Beiträge
  • 240 Bedankt
  • Spender
  • Android [root]
  • Windows, Linux

@Bypass

 

Zu allererst

 

basecsp.dll ist eine DLL-Datei, die für die Komponente Microsoft Base Smart Card Crypto Provider in Windows-Systemen wie Windows 7 Professional Edition 64-bit ist.

erstellt: 21.Nov.2010

Größe 166.784 Bytes

Version 6.1.7601.17514

 

Wenn auf aktuellen Stand.

 

Zum RAT, bin noch dran zu schaun ;)


  • Bypass gefällt das

#9
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Alles klar, danke für die Info. 

Ich scan erstmal komplett mein System via ESET. Immerhin etwas. 

Weil eine neuinstallation könnte ich nicht machen, weil ich sooooooooooo viele Daten habe, die einfach viel zu wichtig sind.. <.< (ü. 500 gb)

Müsste irgendwie auch anderst gehen.


Bearbeitet von Bypass, 19 February 2015 - 19:04 Uhr.


#10
smc2014

smc2014

    Moderator

  • Moderator
  • Likes
    344
  • 576 Beiträge
  • 240 Bedankt
  • Spender
  • Android [root]
  • Windows, Linux

Schau dir mal das an:

 

Analyse zum RAT.

Please Login HERE or Register HERE to see this link!

 

Ich würde dir erstmal empfehlen Autoruns oder ccleaner .... und Prozess Hacker runter zulanden und zu benutzen.

  • Autoruns zeigt dir alles auf was in Autostart, Registry , sowie Service........ installiert ist und kannst es dann "deaktivieren" oder LÖSCHEN! (mit Vorsicht benutzen!!)
  • ccleaner bizte das System Reinigen, Temporary files ...... auch mal manuell im Temp ordner reingehen, sowie im Ordner APPDATA...
  • Prozess Hacker, kontrollierst du was mit wem in verbindung ist, sowie was gerade zum Inet verbindet ....

LG

 Meinste die 3 Dateien???? ;))

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\Pony.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\PonyBuilder.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\upd.exe


  • Bypass gefällt das

Thanked by 1 Member:
Bypass

#11
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Genau die Dateien, das sind die. 



#12
Cube

Cube

    Würfel

  • Banned
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    7
  • 819 Beiträge
  • 1062 Bedankt
  • Android, Android [root]
  • Windows, Linux

Du kannst das system nur halbwegs sauberbekommen.

Indem Moment wo man sich infected --> immer neu aufsetzen.

Man weiß ja nie.

 

Mir persönlich zu heikel.

Vorallem bei Persistance und Co...

 

Ansonstn mal TempOrdner leeren, Appdata durchschaun, Autostart, Dokumente/Settings Ordner etc. etc.

Via Live CD Avira/Kaspersky scannen lassen.

 

Vlt auf einen Wiederherstellungspunkt zurücksetzen.

Oder wenn vorhanden, ein altes Backup einspielen.

 

LG


  • Bypass gefällt das

Jabber: cube@exploit.im

Only with OTR!

 

HQ Password-Recovery-Tool (Browser, Mail uvm.): TripleCCC


#13
smc2014

smc2014

    Moderator

  • Moderator
  • Likes
    344
  • 576 Beiträge
  • 240 Bedankt
  • Spender
  • Android [root]
  • Windows, Linux

Führe mal die 3 Punkte aus... und benutze mal nen Vernünftigen AV.. meiner hatte sofort angeschlagen, musste Ihn deaktivieren.

 

PS: alle 3 Programme sind Portable verfügbar.. also mal aufn Stick für Notfälle ;)

 

LG

 

Links

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

hier noch zur Info... der Zusammenhang der SVCHost.exe WinSCard.dll und Basecsp.dll....

 

Please Login HERE or Register HERE to see this link!

 

Aber dennoch wie @ Cube geschrieben hat, "neu aufsetzen" und nächstes mal VM machen und benutzen...


Bearbeitet von smc2014, 19 February 2015 - 19:23 Uhr.

  • Cube und Bypass gefällt das

#14
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Danke nochmal für die aufklärung @ all

Also ich kann ehrlich gesagt aber nicht verstehen, wie die upd.exe und Pony.exe ausgeführt wurden.. Ich hab sie schließlich nicht gestartet.

Und zudem meinen ja alle, dass das ausführen via Sandboxie sicher ist, damit man es auch letztendlich löschen kann, wenn es Malware ist etc.

 

Gilt das "gesetz" auch noch hier? Denn ich hab die Ponybuilder.exe via Sandboxie ausgeführt. 

 

Und würde es helfen wenn ich mein Laptop auf 2 tage zurücksetze?


Bearbeitet von Bypass, 19 February 2015 - 23:21 Uhr.


#15
Lopus

Lopus

    Script Kiddie

  • Banned
  • PIPPIPPIPPIP
  • Likes
    14
  • 31 Beiträge
  • 22 Bedankt

Danke nochmal für die aufklärung @ all

Also ich kann ehrlich gesagt aber nicht verstehen, wie die upd.exe und Pony.exe ausgeführt wurden.. Ich hab sie schließlich nicht gestartet.

Und zudem meinen ja alle, dass das ausführen via Sandboxie sicher ist, damit man es auch letztendlich löschen kann, wenn es Malware ist etc.

 

Gilt das "gesetz" auch noch hier? Denn ich hab die Ponybuilder.exe via Sandboxie ausgeführt. 

 

Und würde es helfen wenn ich mein Laptop auf 2 tage zurücksetze?

Ja wenn das ausführen der Schadware nicht länger als 2 Tage ist schon. Also wenn das Backup vor dem starten der Malware war, dann bringt es (meines Wissens) nach etwas. Korrigiert mich wenn ich falsch liege


  • Bypass gefällt das

#16
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

Das wäre dann die beste lösung. Weil das ding habe ich gestern gestartet. Und ich habe nicht genug Speicherplatz meine ganzen sachen in einen USB Stick zu ziehen, wenn ich mal vorhabe es neuzuinstallieren <_<

Aber da du dir auch nicht so sicher bist, warte ich mal auf mehrere(andere) antworten. 



#17
Cyber Tjak

Cyber Tjak

    Tjak <3

  • Premium Member
  • Likes
    78
  • 55 Beiträge
  • 66 Bedankt
  • 578980365
  • verifiziert
  • Android [root], iPhone
  • Windows

Wenn die Malware klug genug ist, sich in Pfade einzunisten, die mit einem Backup nicht ueberschrieben werden bzw. wenn es sich ins Backup eingenistet hat, dann wird das nichts bringen. Ohne weitere aufwendige Analyse ist das aber nicht herauszufinden, die einfachste und vor allem sicherste Methode ist das Neuinstallieren (selbst das kann man mittlerweile als unsicher betrachten, siehe HDD Firmware Malware etc. aber die Malware, die du da hast, scheint nicht derart ausgekluegelt wie ein Staatstrojaner zu sein).


  • Bypass gefällt das

Eingefügtes Bild

Ich bin der Stoff aus dem die Traeume sind.


#18
pdr0

pdr0

    Pentester

  • Premium Member
  • Likes
    86
  • 148 Beiträge
  • 87 Bedankt

Sieht so aus als ob die IP schon Microsoft gehoert.

 

Please Login HERE or Register HERE to see this link!


  • Bypass gefällt das

#19
Bypass

Bypass

    Bekannter Propagandist

  • Elite Member
  • Likes
    233
  • 194 Beiträge
  • 567 Bedankt
  • 671702599
  • Spender
  • verifiziert

@ Tjak, danke für die Info, muss dann wohl wahrscheinlich doch die Neuinstallation machen.

 

@ pdr0, also gehört dann die IP adresse von darkbyte.com bzw darkbyte.serveftp.com microsoft oder wie soll ich das jetzt verstehen? :D



#20
most_uniQue

most_uniQue

    AV Agent

  • Premium Member
  • Likes
    228
  • 478 Beiträge
  • 500 Bedankt
  • iPhone
  • Windows, Linux, Mac OS

Hast du aber schon gecheckt, dass dieser PonyBuilder ein WinrarSFX ist ? Falls das noch keinem aufgefallen ist und wenn ja, sorry, dass ich nicht alles verfolgt hab ^^


Eingefügtes Bild




  Thema Forum Themenstarter Statistik Letzter Beitrag

Dieses Thema wurde von 66 Mitglied(ern) gelesen


    , Ar@m!s, Bagdadxx, Becks, BlackZetsu, blue_eyed_devil, Born2Hack, Bot4ng, bumg2, Bypass, cache, caspR, Ch!ller, corkscrew, Crap, Cube, Cyber Tjak, Denver, desmond, Drew, drpepper11, e0xtt, easysurfer, eXalT, Framerater, FullMetall, G0rki, Geier, haZZ, holz96, Injection, Juri, keyb0ardz, kiwitone, KrankenHaus, krynation, Leak, lion., loginman1, lolorollo, Lopus, LtoG, luvar, Lyrix, Masterzyklon, MiD_NiGHT, most_uniQue, NoName1618, notfound, opheus, paulaner, pdr0, PyTh@n, R3s1stanc3, SAR, smc2014, Stanley, styl0r^, Take1T, Th3xploiterZ, Toskom4n, vital, Xenio, xxzodiakxx, zepsus, Zorrez
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.