Gestern landete in den PN-Fächern von den (Super-)/Moderatoren des RR-Teams eine PN mit einem sehr interessanten Inhalt. Ein User bot den Moderatoren ein Programm an mit dem das Moderieren vereinfacht werden sollte. Es war aber nicht nur ein 0815 Text, sondern die PN war relativ gut geschrieben und vertrauenerweckend. Das Produkt wurde gut beschrieben und die Funktionen hörten sich sinnvoll an. Malware-Angriff auf das RR-Team weiterlesen
Schlagwort: Malware
Malware Analyse: TDL Rootkit 64-Bit Infektion
Ich konnte mir eine neuere Version des TDL Rootkits besorgen und diese hat schon Unterstützung für 64-Bit Windows Betriebssysteme. Von dieser besonderen Version konnte man auch einiges bei News Seiten lesen (z.B. bei Computerbase), denn es ist in der Tat das erste massenhaft in Umlauf gebrachte Rootkit, das in der Lage ist die Rootkit Funktionen in einem 64-Bit Windows zu nutzen. Trotzdem sollte man sich nicht beirren lassen: 64-Bit Windows ist immer noch viel sicherer als das 32-Bit Pendant. Wer also die Wahl hat (ab 2 GB RAM und halbwegs aktuelle Hardware) sollte sich unbedingt für die 64-Bit Variante entscheiden! Malware Analyse: TDL Rootkit 64-Bit Infektion weiterlesen
Malware Analyse: Gefährliches Rootkit TDL – Teil 2
Der Trick mit der DLL
Nun wird es erst richtig spannend. Um noch mal zusammenzufassen: Die EXE kopiert sich ins Temp Verzeichnis und veranlasst spoolsv.exe diese EXE als DLL zu laden. Spoolsv.exe verwendet eine LoadLibrary Funktion um die DLL zu laden. Damit wir wissen was unsere Malware nun macht, müssen wir das emulieren bzw. vorgaukeln. Malware Analyse: Gefährliches Rootkit TDL – Teil 2 weiterlesen
Malware Analyse: Gefährliches Rootkit TDL – Teil 1
Ein Raid-Rush Board User hat mich darum gebeten eine Datei zu analysieren, die bei RR angeboten wurde. Er schilderte mir, dass sich auf seinem PC ständig Webseiten im Webbrowser öffnen seit er diese Datei ausgeführt hatte. Nach einem ersten Blick dachte ich zunächst, dass es sich um 0815 Malware handelte, aber nach genauerer Analyse stellte sich heraus, dass es sich um die zurzeit beste und gefährlichste Malware handelt mit dem offiziellen Namen TDL, auch bekannt als TDSS, Alureon oder Olmarik. Malware Analyse: Gefährliches Rootkit TDL – Teil 1 weiterlesen
Was taugt HijackThis?
HijackThis ist ein gern eingesetztes Programm zur Bekämpfung von Malware aller Art, aber was macht dieses Programm so besonders? Selbst im RR Board wird dieses Tool von „Experten“ empfohlen zum Scannen des Computers auf schädliche Programme. Die Frage ist nur was kann dieses Tool wirklich. Hier ein kleiner Test. Was taugt HijackThis? weiterlesen
Netzwerk Sniffer modden
Wireshark ist einer der besten Netzwerk Analyzer bzw. Netzwerk Sniffer den es gibt. Ideal um allen möglichen Internet Traffic mitzuschneiden. Aufgrund seiner Beliebtheit ist er aber auch vielen ein Dorn im Auge bspw. haben Malware Autoren ein großes Interesse daran das der Traffic nicht aufgezeichnet wird. Trojaner, DDOS Bots oder Password Stealer versuchen deshalb gerne Netzwerk Sniffer zu erkennen um sich nicht zu verraten und die Daten-Empfangsserver zu schützen. Netzwerk Sniffer modden weiterlesen
Malware Analyse (1) PW Stealer
Gestern hat ein User bei RR einen Link zu einer unbekannten EXE Datei gepostet mit der einfachen Frage „was ist das?“ Thread-Link Anti-Virenscanner liefern für diese Frage keine klare Antwort, wie man an dem Virustotal.com Analyse Report sehen kann Klick Lediglich 3 von 36 Virenscanner meinen das es eine schädliche Datei ist.
Was ist das nun für eine Datei?