O15 - Trusted Zone: http://*.63.219.181.7, ...eine besonders üble Art von Hijacking |
Willkommen, Gast ( Anmelden | Registrierung )
O15 - Trusted Zone: http://*.63.219.181.7, ...eine besonders üble Art von Hijacking |
29.11.2004, 11:35
Beitrag
#1
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
Wie gestern in diesem Thread versprochen, will ich mal meine ersten Erfahrungen mit dieser imho besonders perfiden Methode des Browser-Hijackings weitergeben.
Es fing recht harmlos an. Ein (leitender) Mitarbeiter unserer Fa. gab mir sein privates Notebook mit der Aussage, der Internet-Explorer öffne immer nur irgendwelche ominösen Suchseiten, oder 'zweifelhafte' Seiten. Außerdem würde er bombadiert mit Pop-Ups. Jo, alles klar. Mal wieder ein Hijacking-Opfer. Also das übliche Ritual durchgespielt. Erst einmal eScan (mit 68 Funden!), danach HijackThis. Löschen mit eScan (ältere Version) war kein Problem. Bei HijackThis stolperte ich dann über den nicht gefixten Eintrag O15 - Trusted Zone: http://*.63.219.181.7 Vielleicht das Häckchen vergessen? Na gut, nochmal... Immer noch steht der Eintrag im Log Dann habe ich die Meldung über die Beta-Version von HijackThis 1.99 gelesen und die Mitteilung, dass ein entsprechender Bug behoben wurde... raman wieß mich dann auf folgendes hin: Post bei Wilders Security Daher weht also der Wind! Der Eintrag Trusted Zone war also das einzige erkennbare 'Mitbringsel' eines doch recht üblen Hijackers. Ich habe dann heute Morgen das Tool Ms4Hd_look aus o.g. Thread heruntergeladen, sowie die Killbox und die Registry-Datei Ms4Hd_look war dann wohl ein Volltreffer. Folgende Dateien habe ich so gefunden: QUOTE C:\WINDOWS\system32\service.exe C:\WINDOWS\system32\ie4unit.exe C:\WINDOWS\system32\ipxroutex.exe C:\WINDOWS\system32\rdshost32.exe C:\WINDOWS\system32\rshe.exe C:\WINDOWS\system32\net2.exe C:\WINDOWS\system32\mqsvch.exe C:\WINDOWS\system32\dllhostxp.exe C:\WINDOWS\system32\extrac16.exe C:\WINDOWS\system32\mqbckup.exe C:\WINDOWS\system32\pxhping.exe C:\WINDOWS\system32\rdpnr.exe C:\WINDOWS\system32\slservc.exe C:\WINDOWS\system32\clfmon.exe C:\WINDOWS\system32\hdr.dll C:\WINDOWS\system32\msacmx.dll C:\WINDOWS\system32\d3dxov.dll C:\WINDOWS\system32\winsrv32.dll Mit Killbox konnte ich die Dateien problemlos löschen. Anschließend noch die weiteren Schritte die bei Wilders angegeben sind und nach allem was ich bisher sagen kann ist diese Kröte von Hijacker geschluckt... Ich habe ja nun schon einiges an Hijackern erlebt, aber diese Dimension ist mir bisher nicht untergekommen. Habt ihr ähnliche 'Erlebnisse' schon machen dürfen?? BTW: Bei diesem nicht unerheblichen Zeitaufwand hätte ich das Notebook auch locker neu aufsetzen können. Aber dies war mir vom Eigentümer 'untersagt'. -------------------- Gruß,
Lutz |
|
|
29.11.2004, 12:25
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich habe warscheinlich den Downloader fuer einen Teil dieser Malware gefunden. Ich will mal schauen, ob ich das "installationslog" davon bekomme.
-------------------- MfG Ralf
|
|
|
Gast_Witti_* |
29.11.2004, 12:56
Beitrag
#3
|
Gäste |
Habe mal die zugehörige IP durch die Boardsuche geschickt. 2 Threads:
http://www.rokop-security.de/board/index.p...92;.181\.7 http://www.rokop-security.de/board/index.p...92;.181\.7 Im letzteren findet sich dort eine .cab Datei, die einen Dialer enthält. |
|
|
29.11.2004, 16:35
Beitrag
#4
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ja, von dem Server mit der IP Adresse wird anscheinend mehr Malware geladen. Bei der Variante, die ich meine sind es folgende Dateien:
(FOLDER) C:\WINDOWS\system32 (+)(FILE) clfmon.exe = 12:41 29.11.04 23552 bytes (+)(FILE) getdns.exe = 12:42 29.11.04 6656 bytes (+)(FILE) netcfg.dll = 12:45 29.11.04 11264 bytes (+)(FILE) netssh.exe = 12:41 29.11.04 14380 bytes (+)(FILE) odbcfg32.dll = 12:41 29.11.04 10752 bytes (+)(FILE) p2pserv.dll = 12:42 29.11.04 27648 bytes (+)(FILE) rsn.exe = 12:42 29.11.04 16896 bytes (+)(FILE) syspack.dll = 12:45 29.11.04 14848 bytes -------------------- MfG Ralf
|
|
|
29.11.2004, 21:40
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Nur so als Info, hier kann man schoen sehen, was so alles passiert, wenn man einen Hijacker untergeschobn bekommt!:)
http://board.protecus.de/showtopic.php?threadid=13792 Der Beitrag wurde von raman bearbeitet: 29.11.2004, 21:41 -------------------- MfG Ralf
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 12.12.2024, 21:45 |