Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> O15 - Trusted Zone: http://*.63.219.181.7, ...eine besonders üble Art von Hijacking
DerBilk
Beitrag 29.11.2004, 11:35
Beitrag #1



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 63
Mitglied seit: 02.05.2003
Wohnort: Bielefeld
Mitglieds-Nr.: 74

Betriebssystem:
WinXP Pro SP2
Virenscanner:
AVIRA
Firewall:
-



Wie gestern in diesem Thread versprochen, will ich mal meine ersten Erfahrungen mit dieser imho besonders perfiden Methode des Browser-Hijackings weitergeben.

Es fing recht harmlos an. Ein (leitender) Mitarbeiter unserer Fa. gab mir sein privates Notebook mit der Aussage, der Internet-Explorer öffne immer nur irgendwelche ominösen Suchseiten, oder 'zweifelhafte' Seiten. Außerdem würde er bombadiert mit Pop-Ups.

Jo, alles klar.
Mal wieder ein Hijacking-Opfer. Also das übliche Ritual durchgespielt. Erst einmal eScan (mit 68 Funden!), danach HijackThis. Löschen mit eScan (ältere Version) war kein Problem.

Bei HijackThis stolperte ich dann über den nicht gefixten Eintrag O15 - Trusted Zone: http://*.63.219.181.7 Vielleicht das Häckchen vergessen? Na gut, nochmal... Immer noch steht der Eintrag im Log confused.gif
Dann habe ich die Meldung über die Beta-Version von HijackThis 1.99 gelesen und die Mitteilung, dass ein entsprechender Bug behoben wurde...

raman wieß mich dann auf folgendes hin:
Post bei Wilders Security
Daher weht also der Wind! Der Eintrag Trusted Zone war also das einzige erkennbare 'Mitbringsel' eines doch recht üblen Hijackers. Ich habe dann heute Morgen das Tool Ms4Hd_look aus o.g. Thread heruntergeladen, sowie die Killbox und die Registry-Datei

Ms4Hd_look war dann wohl ein Volltreffer.
Folgende Dateien habe ich so gefunden:
QUOTE
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\ie4unit.exe
C:\WINDOWS\system32\ipxroutex.exe
C:\WINDOWS\system32\rdshost32.exe
C:\WINDOWS\system32\rshe.exe
C:\WINDOWS\system32\net2.exe
C:\WINDOWS\system32\mqsvch.exe
C:\WINDOWS\system32\dllhostxp.exe
C:\WINDOWS\system32\extrac16.exe
C:\WINDOWS\system32\mqbckup.exe
C:\WINDOWS\system32\pxhping.exe
C:\WINDOWS\system32\rdpnr.exe
C:\WINDOWS\system32\slservc.exe
C:\WINDOWS\system32\clfmon.exe
C:\WINDOWS\system32\hdr.dll
C:\WINDOWS\system32\msacmx.dll
C:\WINDOWS\system32\d3dxov.dll
C:\WINDOWS\system32\winsrv32.dll


Mit Killbox konnte ich die Dateien problemlos löschen. Anschließend noch die weiteren Schritte die bei Wilders angegeben sind und nach allem was ich bisher sagen kann ist diese Kröte von Hijacker geschluckt...

Ich habe ja nun schon einiges an Hijackern erlebt, aber diese Dimension ist mir bisher nicht untergekommen. Habt ihr ähnliche 'Erlebnisse' schon machen dürfen??



BTW: Bei diesem nicht unerheblichen Zeitaufwand hätte ich das Notebook auch locker neu aufsetzen können. Aber dies war mir vom Eigentümer 'untersagt'.


--------------------
Gruß,
Lutz
Go to the top of the page
 
+Quote Post
raman
Beitrag 29.11.2004, 12:25
Beitrag #2



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich habe warscheinlich den Downloader fuer einen Teil dieser Malware gefunden. Ich will mal schauen, ob ich das "installationslog" davon bekomme.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Witti_*
Beitrag 29.11.2004, 12:56
Beitrag #3






Gäste






Habe mal die zugehörige IP durch die Boardsuche geschickt. 2 Threads:

http://www.rokop-security.de/board/index.p...92;.181\.7

http://www.rokop-security.de/board/index.p...92;.181\.7

Im letzteren findet sich dort eine .cab Datei, die einen Dialer enthält.
Go to the top of the page
 
+Quote Post
raman
Beitrag 29.11.2004, 16:35
Beitrag #4



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ja, von dem Server mit der IP Adresse wird anscheinend mehr Malware geladen. Bei der Variante, die ich meine sind es folgende Dateien:

(FOLDER) C:\WINDOWS\system32
(+)(FILE) clfmon.exe = 12:41 29.11.04 23552 bytes
(+)(FILE) getdns.exe = 12:42 29.11.04 6656 bytes
(+)(FILE) netcfg.dll = 12:45 29.11.04 11264 bytes
(+)(FILE) netssh.exe = 12:41 29.11.04 14380 bytes
(+)(FILE) odbcfg32.dll = 12:41 29.11.04 10752 bytes
(+)(FILE) p2pserv.dll = 12:42 29.11.04 27648 bytes
(+)(FILE) rsn.exe = 12:42 29.11.04 16896 bytes
(+)(FILE) syspack.dll = 12:45 29.11.04 14848 bytes


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
raman
Beitrag 29.11.2004, 21:40
Beitrag #5



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Nur so als Info, hier kann man schoen sehen, was so alles passiert, wenn man einen Hijacker untergeschobn bekommt!:)

http://board.protecus.de/showtopic.php?threadid=13792

Der Beitrag wurde von raman bearbeitet: 29.11.2004, 21:41


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 12.12.2024, 21:45
Impressum