Warnung, Eddy Keylogger

Page 3 of 5 12 3 45
11/30/2010 18:19 .Infinity#31
Quote:
Originally Posted by werdernator View Post
Hm, da die Scripts ja jetzt weg sind, dürfte doch eig. keine Gefahr mehr bestehen ^^
Sobald sie wieder einer rein macht beginnt das Spiel von vorne.
Sicher ist es erst, wenn der Root down oder der PC formatiert ist ;)


Nochmal zusammengefasst,
der Backdoor erstellt einen neuen Prozess in der WinNT Exe.
Er öffnet local die Ports 1481 und 6894 und versucht am Ende auf eines der beiden Script zuzugreifen ->

[Only registered and activated users can see links. Click Here To Register...]
[Only registered and activated users can see links. Click Here To Register...]
11/30/2010 18:23 °IceCold°#32
Durch welches Programm wurde der denn verbreitet?
11/30/2010 18:25 Hanashi#33
Quote:
Originally Posted by °IceCold° View Post
Durch welches Programm wurde der denn verbreitet?
Mir wurde gesagt die Datei heißt "ichbinblöd.exe" oder der jenige der mir das gesagt hat ist einfach nur blöd xD (nichts gegen dich schero)

MfG Hanashi
11/30/2010 18:25 Computerfreek#34
@Infi:
Auf beide nacheinander. Aber ansonsten stimmts.
Ich gehe mal davon aus, dass einer der Ports ein Port fürn Socks5 (Vicsocks) ist.


@All:
Ladet euch "Malwarebytes' Anti-Malware" runter und lasst es durchlaufen.
Ist für Scans das meiner Meinung nach beste Programm.
Im Scan lässt sich auch nachvollziehen was genau gemacht wird.

Beendet den Prozess "WinNT.exe" im Taskmanager und dann löscht die Dateien oder besser benennt sie einfach um.
Danach Malwarebytes & alles wieder gut. Meistens ;)
11/30/2010 18:26 Jan²#35
Quote:
Originally Posted by lolkid2009 View Post
Ist kein Keylogger scheint mehr was zu sein womit dein pc ferngesteuert werden kann und auch wie bei TV angesehen werden kann was du gerade machst.
Sehr richtig. Es handelt sich um die neueste Version des sog. "Cyber-Gates", eine RAT Technologie, welche ähnlich wie Teamviewer funktioniert. Allerdings gibt es halt einige "Extras" wie:
  • Zugang ohne Passwort
  • Offline-Keylogger (d.h. die Daten, welche der Keylogger erhält werden erst zum Main-Server geschickt, wenn ihr online geht)
  • Webcam-Zugriff (Etwas unnötig..)
  • Volle Kontrolle (Fernwartungs-like)
  • Downloader, der euch irgendwelche Sachen downloaden lässt & sie dann entweder seedet, oder weiterbenutzt
  • Rootkit, welches dich Teil eines Botnets werden lässt

Jo. Also auf jeden Fall gilt: Der Virus ist nicht UD/FUD! Sogar kostenlose AV-Proggis wie Avira AntiVir finden ihn. Sicherer ist natürlich die Formatierung eures Betriebsystems. Sollten wirklich wichtige Sachen dadurch abhanden gekommen sein (das können auch 10€ psc aus euren Datenbanken etc. sein), so stellt am Besten Strafantrag bei einem Polizeirevier in eurer Nähe. Selbst wenn Eddy² den selfinfected Crypter benutzt hat, trägt er eine Mitschuld. Die Administration von Elitepvpers wird dann an die Polizei weitere Daten des Nutzers weiterleiten.

Soviel zu eurer Vorgehensweise.

Ich habe schon vor ~einer halben Stunde die Abuse-Mail etwas "professioneller" an OVH geschickt, damit das ganze ein wenig Seriosität bekommt. Die Antwort enthielt nur eine Dank-Mail von OVH & den Vermerk, dass man sich darum kümmern werde und es nicht noch einmal zu solch einem Vorfall komme.

Meine Sicht der Dinge wäre, dass Eddy sich da wirklich reingeritten hat. Selbst wenn er es nicht war, so sollte er das wirklich bekannt geben (nein, nicht in einem Thread als einfachen Beitrag, wo dieser untergeht ) & evtl. Beweise etc. vorlegen. Denn atm glaube ich ihm einfach nicht.

So long
Jan

€dit:
Quote:
Mir wurde gesagt die Datei heißt "ichbinblöd.exe" oder der jenige der mir das gesagt hat ist einfach nur blöd xD (nichts gegen dich schero)

MfG Hanashi
Nein, das programm heißt eigentlich "409_expeditor.exe"
& Schero ist ja wohl hammer der tolle :D
11/30/2010 18:31 .Infinity#36
Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!
11/30/2010 18:31 X0R0N#37
Du musst natürlich Eddy schreiben? Von MIR ist der Editor. Nicht der Virus also schreibe meinen namen bitte nicht in verbindung mit Worten wie "Keylogger", das ist Rufmord.
[Only registered and activated users can see links. Click Here To Register...]
11/30/2010 18:32 Computerfreek#38
Quote:
Originally Posted by Jan² View Post
Sehr richtig. Es handelt sich um die neueste Version des sog. "Cyber-Gates", eine RAT Technologie, welche ähnlich wie Teamviewer funktioniert. Allerdings gibt es halt einige "Extras" wie:
  • Zugang ohne Passwort
  • Offline-Keylogger (d.h. die Daten, welche der Keylogger erhält werden erst zum Main-Server geschickt, wenn ihr online geht)
  • Webcam-Zugriff (Etwas unnötig..)
  • Volle Kontrolle (Fernwartungs-like)
  • Downloader, der euch irgendwelche Sachen downloaden lässt & sie dann entweder seedet, oder weiterbenutzt
  • Rootkit, welches dich Teil eines Botnets werden lässt

Jo. Also auf jeden Fall gilt: Der Virus ist nicht UD/FUD! Sogar kostenlose AV-Proggis wie Avira AntiVir finden ihn. Sicherer ist natürlich die Formatierung eures Betriebsystems. Sollten wirklich wichtige Sachen dadurch abhanden gekommen sein (das können auch 10€ psc aus euren Datenbanken etc. sein), so stellt am Besten Strafantrag bei einem Polizeirevier in eurer Nähe. Selbst wenn Eddy² den selfinfected Crypter benutzt hat, trägt er eine Mitschuld. Die Administration von Elitepvpers wird dann an die Polizei weitere Daten des Nutzers weiterleiten.

Soviel zu eurer Vorgehensweise.

Meine Sicht der Dinge wäre, dass Eddy sich da wirklich reingeritten hat. Selbst wenn er es nicht war, so sollte er das wirklich bekannt geben & evtl. Beweise etc. vorlegen. Denn atm glaube ich ihm einfach nicht.

So long
Jan

€dit:

Nein, das programm heißt eigentlich "409_expeditor.exe"
& Schero ist ja wohl hammer der tolle :D
Hab bisher noch keine CG-Version die über ein Webpanel läuft.
Die Dateien sind wie die im ZeuS-Panel benannt :O
11/30/2010 18:32 King Sora#39
Woher sollte man sich sowas runterladen? Als Client oder Patcher? Oder eher Serverside?

Ich verstehe nicht wieso sich sowas jemadn runterladen sollte.
11/30/2010 18:33 #SoNiice#40
Quote:
Originally Posted by .Infinity View Post
Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!
UD = Undetected.
FUD = Full undetected.

Und joa, Eddy² failed.
11/30/2010 18:33 X0R0N#41
Quote:
Originally Posted by .Infinity View Post
was heißt UD und FUD?
Undetected,Full Undetected
11/30/2010 18:34 .Infinity#42
Quote:
Originally Posted by Eddy² View Post
Du musst natürlich Eddy schreiben? Von MIR ist der Editor. Nicht der Virus also schreibe meinen namen bitte nicht in verbindung mit Worten wie "Keylogger", das ist Rufmord.
[Only registered and activated users can see links. Click Here To Register...]
Tut mir leid,
ich editiere es vorne in meinem Post.
Es war auch nicht so gemeint ;)
ich hab den anderen Thread auch komplett gelesen und weiß bescheid !
11/30/2010 18:35 Levo.#43
Quote:
Originally Posted by .Infinity View Post
Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!
Remote Admin Tool ^^
Hatte auch mal sowas an Freunde geschickt zum testen die wussten das auch, war schon krass was man damit anstellen konnte. Oo


UD Undetected wird nicht von Antivir erkannt. Aber paar erkennen es noch.
Und FUD heißt Full Undetected wird von keinem Antivir erkannt.

Crypter heißt das er deine .exe Datei die erkennnt wird von Antivir nicht erkennbar macht. ^^
11/30/2010 18:36 Tamay.#44
Wie kann man sich infizieren?Verstehe das gerade nicht so >:D
11/30/2010 18:36 Computerfreek#45
Und nochwas.
@Infinity:
RAT =! Remote Acces Trojaner
RAT = Remote Administration Tool

Bitte verbreite kein gefährliches Halbwissen..

Rest sollte man sich nun alles ergoogeln können.
Page 3 of 5 12 3 45