[RELEASE] M�Fish Angelbot

Page 344 of 411

344

04/29/2011 14:10 Computerfreek#5146

Okay, dass er Firesale benutzt ist wirklich ein Armutszeugnss x'D
Wie ich im anderen Thread schon geschrieben habe ist der komplette Angelbot infiziert.
Sowohl injector als auch die DLL.

Wer sich ein wenig damit auskennt sie beim VT-Scan direkt folgendes:

Code:

VXD Driver (0.7%)

Soll bedeuten: Es ist ein Rootkit darin versteckt.
Erpel hat sich wie es scheint einiges an M�he gemacht das Teil zu verstecken und so ausf�hren zu lassen, dass man es nurnoch schlecht vom PC runter bekommt wenn es einmal installiert ist.

04/29/2011 17:05 okid#5147

DAS DING IST NICHT VON ERPEL! der injector 1.3 is von erpel. da durch den proinjector ,welcher sich als systemtreiber installiert (um den injector auf ring0 laufen zulassen), der angelbot auf manchen 32 bit systemen lief, hat er den mit reingepackt..benutzung auf eigene gefahr, hat er auch irgendwo gepostet... ob da nun sich ein rootkit mit installiert, wei� keiner...

das ist dr originallink von dem proinjector [Only registered and activated users can see links. Click Here To Register...]

die m2fish.dll und der injector 1.3 ist auf jeden fall nicht infiziert, den sourcecode hab ich gesehen..was mit der dll vom proinjector ist, kann ich nicht sagen!

04/29/2011 18:11 Computerfreek#5148

Alleine schon der Umstand dass die DLL erkannt wird reicht mir vollkommen. Dass Injectoren erkannt werden ist normal - bei der DLL jedoch nicht.

04/29/2011 18:43 okid#5149

Quote:

Originally Posted by Computerfreek

Alleine schon der Umstand dass die DLL erkannt wird reicht mir vollkommen. Dass Injectoren erkannt werden ist normal - bei der DLL jedoch nicht.

dann benutz es nicht! <<Ironie on>>.ErpeL ist gerade dabei sein rootkit zu updaten. nachher kommt dann die neue version. alle sind willkommen im botnet. cu on! <<Ironie off>>

kommt nachher aber wirklich ne neue version, da funktioniert dann die uhr und so. kannste ja dann wieder analysieren, mal gucken was du noch so findest!

04/29/2011 18:56 werder95#5150

wenn ich die datei entpacke denn fehlt immer die injector datei wie mach ich das richtig?

04/29/2011 19:56 DerT�rke!#5151

kamarun oder jemand anderes der sich damit gut auskennt:
was kann ich jetz machen oder kann ich �berhaupt noch was machen??

04/29/2011 20:19 iDeliver#5152

Quote:

die m2fish.dll und der injector 1.3 ist auf jeden fall nicht infiziert, den sourcecode hab ich gesehen..was mit der dll vom proinjector ist, kann ich nicht sagen!

�hhhh......die m2fish.dll ist nat�rlich infiziert! wenn ich sie downloade, wird diese als trojaner angezeigt!!!!!

Quote:

wenn ich die datei entpacke denn fehlt immer die injector datei wie mach ich das richtig?

die injector datei (sprich die m2fish.dll) fehlt DESHALB , WEIL DEIN ANTIVIRUS DIESE DATEI SOFORT L�SCHT, WEGEN DEM TROJANER EBEN!!!!!!!!!!!

04/29/2011 20:24 okid#5153

wei�te was, dann lasst es doch bleiben, ihr m�sst es ja nicht runterladen...und ab jetzt �berlasse ich das wort erpel. kein bock mich hier rumzustreiten! im endeffekt wei� jetzt gar keiner mehr was er glauben soll! in dem injector ist definitiv kein schadcode, DEFINITIV (was die ganzen Antivirenprogramme da reininterpretieren sind alles fehlalarme; bei den injector 1.3 und genaus bei der m2fish.dll).......

04/29/2011 21:15 Computerfreek#5154

Quote:

Originally Posted by kamarun

Assembly-Version: 2.0.0.0.
Win32-Version: 2.0.50727.4952 (win7RTMGDR.050727-4900).
CodeBase: file:///D:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll.
----------------------------------------
Firesale Botnet - Klarer Code
Assembly-Version: 4.1.3.6.
Win32-Version: 8.3.6.1.
CodeBase: file:///D:/Users/Florian/AppData/Roaming/Microsoft/Windows/Templates/audiodh.exe.
----------------------------------------
Microsoft.VisualBasic
Assembly-Version: 8.0.0.0.
Win32-Version: 8.0.50727.4927 (NetFXspW7.050727-4900).
CodeBase: file:///D:/Windows/assembly/GAC_MSIL/Microsoft.VisualBasic/8.0.0.0__b03f5f7f11d50a3a/Microsoft.VisualBasic.dll.
----------------------------------------
[...]

Wenn der Ausschnitt wirklich vom JIT-Debugger war dann w�rde ich gerne mal die Ausrede daf�r h�ren.
Jedenfalls halt ich mich von nun ab raus. Falls eine neue Datei raus kommt so werd ich sie checken. Ob man es nun downloadet und ausf�hrt muss jeder f�r sich wissen. Warten wir ab.

so far,
greetz freek

04/29/2011 22:05 .ErpeL#5155

So hab die neue Version hochgeladen, im Archiev ist eine "Pointer.m2p" Datei entahlten, diese m�sst ihr in das Metin2 Verzeichnis kopieren. Die Shutdown Funktion wurde jetzt auch implementiert.

@kamarun
An deiner stelle w�rde ich mein Windows neu Installieren, anstelle mich hier zu denunzieren. Ich kann doch auch nichts daf�r das du in nem Botnetz bist !

04/29/2011 22:16 xPivotx#5156

Danke f�r die neue Version :)

04/29/2011 22:38 DonFedro#5157

[IMG][Only registered and activated users can see links. Click Here To Register...] Uploaded with [Only registered and activated users can see links. Click Here To Register...][/IMG]

04/29/2011 22:53 mirbeth1000#5158

geht bei mir nicht!!! der bot kann einen dll nicht finden aber, nicht die m2fish.dll hilfe-.-

04/29/2011 23:10 xPivotx#5159

mirbeth1000
habe das selbe problem ich verstehe es auch nicht ich lade mt2 nochmal neu runter und versuche es dann erneut

04/29/2011 23:27 xDichbinderolafxD#5160

bei mir funzt die neue datei net... wieder irgendwas mit antiviren system

Page 344 of 411