Fotos
Feeds
Suchen
Partner / Links
Archiv
- November 2008 (1)
- September 2008 (2)
- August 2008 (12)
- Juli 2008 (28)
Kategorien
- News (8)
- Tutorials (1)
- Scanning (1)
- Hacking (2)
- Crypter/Packer/Protector (9)
- Tools (1)
- Sonstiges (7)
- Found Botnets (2)
- Rxbot (1)
- Security - Tools (1)
- Mp3-mixxes (1)
- RFI (Perlbot/Phpbot/etc.) (4)
- infected stuff (1)
- Remote File Inclusion (1)
Donnerstag, 14. august 2008
HuHu liebe leser und mitleser,
bin grade dabei das rfi-project zu analysieren und weis bis jetzt noch nicht wirklich was ich zu dem vorwurf backdoored halten soll z.b. zeigt jotti folgendes an
Die avs die etwas finden sagen das es ein trojan injector/downloader ist ikarus erkennt es als rootkit nun müsste man überlegen worum bei den program geht soweit ich weis ist es ja ein win32 tools was rfi-bugs sucht und exploited sogesehn hätten die av´s indirekt recht mit trojan downloader/injector weil man ja damit auf fremden seiten rfi-codes ausführt so das die fremde seite z.b. nen bot runterlädt/weiterverteilt also kann uns jotti soweit leider erstmal nicht helfen :( schade naja gibt ja noch mehr wege also testen wir mal das nächste :)
So starten wir das Programm mal in Unserer Sandbox :) ich habe die Sandboxie Control ist eine, ne eigendlich die beste Win32 Sandbox :) Wenn ihr Sandboxie nicht habt besorgen könnt ihr euch euch eine kostenlose version auf
http://www.sandboxie.com/index.php?DownloadSandboxie (Version 3.28) allerdings werde ich unten noch einen direkten downloadlink posten für euch :)
So also starten wir doch mal die RFI.exe in unserer Sandbox mal schaun was passiert
So nun haben wir die rfi.exe gestartet und ich sehe sofort das es wirklich sein kann das diese file backdoored oder trojanized ist weil normalerweile würde ich sagen wenn ich eine andere normale exe starte sollte der name der exe beibleiben also auch in sandboxie rfi.exe stehen (dazu findet ihr weiter untern bei den ***** gleich ein beispiel) hier wie wir sehen werden aber die normale rfi.exe gestartet was ja ok ist allerdings als *begleiter* allerdings wird noch eine 2.te exe gestarten und zwar die wnscr.exe diese kommt mir sehr sehr unseriös vor. Euch doch sicherlich auch oder nicht ? schaut selber :)
***** ***** ***** ***** *****
So ganz kurz zu einer exe bei so einem relativ kleinen programm sollte es z.b. so aussehen wenn sie gestartet bzw ausgeführt wird in der Sandbox ich nehme mal die stinger.exe ist ein avprog von mc affe oder so :D
So wie eben schon gesagt normal ist es wenn man eine .exe anklickt das auch nur eine .exe startet ich hoffe dieser vergleich hat euch bissel geholfe ^^
***** ***** ***** ***** *****
So nachdem wir das programm in der sandbox gestartet haben beenden wir das programm wieder über die sandbox geht am besten und shcnellsten im sandboxie fenster Programme schließen/beenden nun gehen wir auf Start >> Ausführen und geben dort *regedit* ein jetzt öffnen sich unser registrierungseditor dort geht ihr auf HKEY_Users gehen dann auf Datei >> Struktur Laden dort fügen wir die Datei RegHive ein, aus dem ordner wo ihr sandboxie installed habt in meinem fall ist das C:\Sandbox\1x33x7\DefaultBox und laden diese jetzt solltet ihr noch den Registrierungsschlüssel eingeben in meinem fall sandboxie würde ich euch auch empfehlen so kann man es leicht unterscheiden. danach sollte es unter HKEY_USERS so aussehen
Wir haben jetzt also unsere Registry einträge von unserem *Virtuellen System* von Sandboxie geladen so können wir schauen nachdem wir ein programm gestartet hatten was es z.b. für spuren hinterlassen hat :) dazu geht ihr auf Sandboxie wie oben angezeigt ist. Jetzt geht ihr auf Machine >> Software >>Microsoft>>CurrentVersion>>Run
dort könnt ihr nun sehen was die rfi.exe macht bzw ob sie sich zum service oder sowas hinzugefügt hat :)
So nun sehen
wir diesen eintrag dort hmmm -.- kommt mir echt ein bissel seltsam vor könnte ja sein das die rfi.exe dort tmp dateien anlegt lieber nochmal weitertesten.
Also schicke ich das ganze mal rüber zu anubis :) mal schaun was die dazu sagen die geben ja informationen zum fileprocess etc und ob dort villt ein bot startet was wir ja wissen wollen also schikcen wirs hin und warten kurz :)
so hier der link zu den Anubis results
http://anubis.iseclab.org/result.php?taskid=5cfa73100ebb597421655f07ea8e45a0&refresh=1#id2293550
wie ihr dort sehen könnt wird ein ordner erstellt in C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP dort werden dann folgende dateien erstellt laut Anubis
bin grade dabei das rfi-project zu analysieren und weis bis jetzt noch nicht wirklich was ich zu dem vorwurf backdoored halten soll z.b. zeigt jotti folgendes an
Die avs die etwas finden sagen das es ein trojan injector/downloader ist ikarus erkennt es als rootkit nun müsste man überlegen worum bei den program geht soweit ich weis ist es ja ein win32 tools was rfi-bugs sucht und exploited sogesehn hätten die av´s indirekt recht mit trojan downloader/injector weil man ja damit auf fremden seiten rfi-codes ausführt so das die fremde seite z.b. nen bot runterlädt/weiterverteilt also kann uns jotti soweit leider erstmal nicht helfen :( schade naja gibt ja noch mehr wege also testen wir mal das nächste :)
So starten wir das Programm mal in Unserer Sandbox :) ich habe die Sandboxie Control ist eine, ne eigendlich die beste Win32 Sandbox :) Wenn ihr Sandboxie nicht habt besorgen könnt ihr euch euch eine kostenlose version auf
http://www.sandboxie.com/index.php?DownloadSandboxie (Version 3.28) allerdings werde ich unten noch einen direkten downloadlink posten für euch :)
So also starten wir doch mal die RFI.exe in unserer Sandbox mal schaun was passiert
So nun haben wir die rfi.exe gestartet und ich sehe sofort das es wirklich sein kann das diese file backdoored oder trojanized ist weil normalerweile würde ich sagen wenn ich eine andere normale exe starte sollte der name der exe beibleiben also auch in sandboxie rfi.exe stehen (dazu findet ihr weiter untern bei den ***** gleich ein beispiel) hier wie wir sehen werden aber die normale rfi.exe gestartet was ja ok ist allerdings als *begleiter* allerdings wird noch eine 2.te exe gestarten und zwar die wnscr.exe diese kommt mir sehr sehr unseriös vor. Euch doch sicherlich auch oder nicht ? schaut selber :)
***** ***** ***** ***** *****
So ganz kurz zu einer exe bei so einem relativ kleinen programm sollte es z.b. so aussehen wenn sie gestartet bzw ausgeführt wird in der Sandbox ich nehme mal die stinger.exe ist ein avprog von mc affe oder so :D
So wie eben schon gesagt normal ist es wenn man eine .exe anklickt das auch nur eine .exe startet ich hoffe dieser vergleich hat euch bissel geholfe ^^
***** ***** ***** ***** *****
So nachdem wir das programm in der sandbox gestartet haben beenden wir das programm wieder über die sandbox geht am besten und shcnellsten im sandboxie fenster Programme schließen/beenden nun gehen wir auf Start >> Ausführen und geben dort *regedit* ein jetzt öffnen sich unser registrierungseditor dort geht ihr auf HKEY_Users gehen dann auf Datei >> Struktur Laden dort fügen wir die Datei RegHive ein, aus dem ordner wo ihr sandboxie installed habt in meinem fall ist das C:\Sandbox\1x33x7\DefaultBox und laden diese jetzt solltet ihr noch den Registrierungsschlüssel eingeben in meinem fall sandboxie würde ich euch auch empfehlen so kann man es leicht unterscheiden. danach sollte es unter HKEY_USERS so aussehen
Wir haben jetzt also unsere Registry einträge von unserem *Virtuellen System* von Sandboxie geladen so können wir schauen nachdem wir ein programm gestartet hatten was es z.b. für spuren hinterlassen hat :) dazu geht ihr auf Sandboxie wie oben angezeigt ist. Jetzt geht ihr auf Machine >> Software >>Microsoft>>CurrentVersion>>Run
dort könnt ihr nun sehen was die rfi.exe macht bzw ob sie sich zum service oder sowas hinzugefügt hat :)
So nun sehen
wir diesen eintrag dort hmmm -.- kommt mir echt ein bissel seltsam vor könnte ja sein das die rfi.exe dort tmp dateien anlegt lieber nochmal weitertesten.Also schicke ich das ganze mal rüber zu anubis :) mal schaun was die dazu sagen die geben ja informationen zum fileprocess etc und ob dort villt ein bot startet was wir ja wissen wollen also schikcen wirs hin und warten kurz :)
so hier der link zu den Anubis results
http://anubis.iseclab.org/result.php?taskid=5cfa73100ebb597421655f07ea8e45a0&refresh=1#id2293550
wie ihr dort sehen könnt wird ein ordner erstellt in C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP dort werden dann folgende dateien erstellt laut Anubis
|
|
- Files Created: |
|---|
| C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\RFI.exe |
| C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\TMP4351$.TMP |
| C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\wnscr.exe |
und auch ausgeführt
|
|
- Processes Created: |
|---|
| Executable | Command Line |
| C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\wnscr.exe | |
| C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\RFI.exe |
danach aber sofort wieder gelöscht
|
|||
|
wie ihr sehen könnt wird die rfi.exe gestartet das sogenannte RFI-Project was ein fake zu sein scheint und leider auch die wnscr.exe wo ich mal sehr stark davon auseghe das dieses ein bot/trojaner sein wird der sich wohl auchnoch in die explorer.exe einnistet und dann folgende exe startet
|
|
|
|
|---|
diese scheint das ursprüngliche programm zu seinwelches unter einigen maßnahmen versucht wurde zu verstecken wie ihr sehen könnt
Hier nochmal das was Normans Sandbox ausgespuckt hat
Hier nochmal das was Normans Sandbox ausgespuckt hat
[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK
[ General information ]
* Creating several executable files on hard-drive.
* Decompressing LZSS.
* File length: 199168 bytes.
* MD5 hash: dd7eef16be30baccba3e3e23cce9b348.
[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.
[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
[ Process/window information ]
* Creates process "wnscr.exe".
* Creates process "RFI.exe".
* Creates process "sxe6748.tmp"".
[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp (8967 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp (15872 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe (12800 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe (124928 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp (167936 bytes) : no signature detection.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: NO
* TLS hooks: NO
* Executable type: Application
* Executable file structure: OK
[ General information ]
* Creating several executable files on hard-drive.
* Decompressing LZSS.
* File length: 199168 bytes.
* MD5 hash: dd7eef16be30baccba3e3e23cce9b348.
[ Changes to filesystem ]
* Deletes directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates directory C:\WINDOWS\TEMP\IXP0.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\TMP4351$.TMP.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp.
* Creates file C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp.
* Deletes file C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp.
[ Changes to registry ]
* Accesses Registry key "HKLM\System\CurrentControlSet\Control\Session Manager".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
* Sets value "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\TEMP\IXP0.TMP\"" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce".
[ Process/window information ]
* Creates process "wnscr.exe".
* Creates process "RFI.exe".
* Creates process "sxe6748.tmp"".
[ Signature Scanning ]
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7986.tmp (8967 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe7481.tmp (15872 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\wnscr.exe (12800 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\RFI.exe (124928 bytes) : no signature detection.
* C:\WINDOWS\TEMP\IXP0.TMP\sxe6748.tmp (167936 bytes) : no signature detection.
Im grunde alles das was wir nun schon wissen und auch sicher sein können das diese file backdoored ist
tut mir echt leid das wusste ich vorher nicht sieht wohl so aus das ich auch weiterhin lieber alles testen sollte bevor ich es poste -.- naja man lernt immerwieder dazu XD
tut mir echt leid das wusste ich vorher nicht sieht wohl so aus das ich auch weiterhin lieber alles testen sollte bevor ich es poste -.- naja man lernt immerwieder dazu XD
Wünsche euch allen noch nen schönen Tag
mfg Bloody1x33x7 - Home
Zufallsbilder
-
cat-owned.jpg
Forum
Kalender
| November 2009 | ||||||||||
| M | D | M | D | F | S | S | ||||
| 1 | ||||||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 | ||||
| 9 | 10 | 11 | 12 | 13 | 14 | 15 | ||||
| 16 | 17 | 18 | 19 | 20 | 21 | 22 | ||||
| 23 | 24 | 25 | 26 | 27 | 28 | 29 | ||||
| 30 | ||||||||||
|
||||||||||
Neueste Kommentare