Warnung, Eddy Keylogger

.Infinity · 11/30/2010, 18:19

Quote:

Originally Posted by werdernator

Hm, da die Scripts ja jetzt weg sind, dürfte doch eig. keine Gefahr mehr bestehen ^^

Sobald sie wieder einer rein macht beginnt das Spiel von vorne.
Sicher ist es erst, wenn der Root down oder der PC formatiert ist

Nochmal zusammengefasst,
der Backdoor erstellt einen neuen Prozess in der WinNT Exe.
Er öffnet local die Ports 1481 und 6894 und versucht am Ende auf eines der beiden Script zuzugreifen ->

~~°IceCold°~~ · 11/30/2010, 18:23

Durch welches Programm wurde der denn verbreitet?

Hanashi · 11/30/2010, 18:25

Quote:

Originally Posted by °IceCold°

Durch welches Programm wurde der denn verbreitet?

Mir wurde gesagt die Datei heißt "ichbinblöd.exe" oder der jenige der mir das gesagt hat ist einfach nur blöd xD (nichts gegen dich schero)

MfG Hanashi

Computerfreek · 11/30/2010, 18:25

@Infi:
Auf beide nacheinander. Aber ansonsten stimmts.
Ich gehe mal davon aus, dass einer der Ports ein Port fürn Socks5 (Vicsocks) ist.

@All:
Ladet euch "Malwarebytes' Anti-Malware" runter und lasst es durchlaufen.
Ist für Scans das meiner Meinung nach beste Programm.
Im Scan lässt sich auch nachvollziehen was genau gemacht wird.

Beendet den Prozess "WinNT.exe" im Taskmanager und dann löscht die Dateien oder besser benennt sie einfach um.
Danach Malwarebytes & alles wieder gut. Meistens

Jan² · 11/30/2010, 18:26

Quote:

Originally Posted by lolkid2009

Ist kein Keylogger scheint mehr was zu sein womit dein pc ferngesteuert werden kann und auch wie bei TV angesehen werden kann was du gerade machst.

Sehr richtig. Es handelt sich um die neueste Version des sog. "Cyber-Gates", eine RAT Technologie, welche ähnlich wie Teamviewer funktioniert. Allerdings gibt es halt einige "Extras" wie:

Zugang ohne Passwort
Offline-Keylogger (d.h. die Daten, welche der Keylogger erhält werden erst zum Main-Server geschickt, wenn ihr online geht)
Webcam-Zugriff (Etwas unnötig..)
Volle Kontrolle (Fernwartungs-like)
Downloader, der euch irgendwelche Sachen downloaden lässt & sie dann entweder seedet, oder weiterbenutzt
Rootkit, welches dich Teil eines Botnets werden lässt

Jo. Also auf jeden Fall gilt: Der Virus ist nicht UD/FUD! Sogar kostenlose AV-Proggis wie Avira AntiVir finden ihn. Sicherer ist natürlich die Formatierung eures Betriebsystems. Sollten wirklich wichtige Sachen dadurch abhanden gekommen sein (das können auch 10€ psc aus euren Datenbanken etc. sein), so stellt am Besten Strafantrag bei einem Polizeirevier in eurer Nähe. Selbst wenn Eddy² den selfinfected Crypter benutzt hat, trägt er eine Mitschuld. Die Administration von Elitepvpers wird dann an die Polizei weitere Daten des Nutzers weiterleiten.

Soviel zu eurer Vorgehensweise.

Ich habe schon vor ~einer halben Stunde die Abuse-Mail etwas "professioneller" an OVH geschickt, damit das ganze ein wenig Seriosität bekommt. Die Antwort enthielt nur eine Dank-Mail von OVH & den Vermerk, dass man sich darum kümmern werde und es nicht noch einmal zu solch einem Vorfall komme.

Meine Sicht der Dinge wäre, dass Eddy sich da wirklich reingeritten hat. Selbst wenn er es nicht war, so sollte er das wirklich bekannt geben (nein, nicht in einem Thread als einfachen Beitrag, wo dieser untergeht ) & evtl. Beweise etc. vorlegen. Denn atm glaube ich ihm einfach nicht.

So long
Jan

€dit:

Quote:

Mir wurde gesagt die Datei heißt "ichbinblöd.exe" oder der jenige der mir das gesagt hat ist einfach nur blöd xD (nichts gegen dich schero)

MfG Hanashi

Nein, das programm heißt eigentlich "409_expeditor.exe"
& Schero ist ja wohl hammer der tolle

.Infinity · 11/30/2010, 18:31

Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!

X0R0N · 11/30/2010, 18:31

Du musst natürlich Eddy schreiben? Von MIR ist der Editor. Nicht der Virus also schreibe meinen namen bitte nicht in verbindung mit Worten wie "Keylogger", das ist Rufmord.

Computerfreek · 11/30/2010, 18:32

Quote:

Originally Posted by Jan²

Sehr richtig. Es handelt sich um die neueste Version des sog. "Cyber-Gates", eine RAT Technologie, welche ähnlich wie Teamviewer funktioniert. Allerdings gibt es halt einige "Extras" wie:
Zugang ohne Passwort

Offline-Keylogger (d.h. die Daten, welche der Keylogger erhält werden erst zum Main-Server geschickt, wenn ihr online geht)

Webcam-Zugriff (Etwas unnötig..)

Volle Kontrolle (Fernwartungs-like)

Downloader, der euch irgendwelche Sachen downloaden lässt & sie dann entweder seedet, oder weiterbenutzt

Rootkit, welches dich Teil eines Botnets werden lässt

Jo. Also auf jeden Fall gilt: Der Virus ist nicht UD/FUD! Sogar kostenlose AV-Proggis wie Avira AntiVir finden ihn. Sicherer ist natürlich die Formatierung eures Betriebsystems. Sollten wirklich wichtige Sachen dadurch abhanden gekommen sein (das können auch 10€ psc aus euren Datenbanken etc. sein), so stellt am Besten Strafantrag bei einem Polizeirevier in eurer Nähe. Selbst wenn Eddy² den selfinfected Crypter benutzt hat, trägt er eine Mitschuld. Die Administration von Elitepvpers wird dann an die Polizei weitere Daten des Nutzers weiterleiten.

Soviel zu eurer Vorgehensweise.

Meine Sicht der Dinge wäre, dass Eddy sich da wirklich reingeritten hat. Selbst wenn er es nicht war, so sollte er das wirklich bekannt geben & evtl. Beweise etc. vorlegen. Denn atm glaube ich ihm einfach nicht.

So long
Jan

€dit:

Nein, das programm heißt eigentlich "409_expeditor.exe"
& Schero ist ja wohl hammer der tolle

Hab bisher noch keine CG-Version die über ein Webpanel läuft.
Die Dateien sind wie die im ZeuS-Panel benannt :O

King Sora · 11/30/2010, 18:32

Woher sollte man sich sowas runterladen? Als Client oder Patcher? Oder eher Serverside?

Ich verstehe nicht wieso sich sowas jemadn runterladen sollte.

~~#SoNiice~~ · 11/30/2010, 18:33

Quote:

Originally Posted by .Infinity

Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!

UD = Undetected.
FUD = Full undetected.

Und joa, Eddy² failed.

X0R0N · 11/30/2010, 18:33

Quote:

Originally Posted by .Infinity

was heißt UD und FUD?

Undetected,Full Undetected

.Infinity · 11/30/2010, 18:34

Quote:

Originally Posted by Eddy²

Du musst natürlich Eddy schreiben? Von MIR ist der Editor. Nicht der Virus also schreibe meinen namen bitte nicht in verbindung mit Worten wie "Keylogger", das ist Rufmord.

Tut mir leid,
ich editiere es vorne in meinem Post.
Es war auch nicht so gemeint

ich hab den anderen Thread auch komplett gelesen und weiß bescheid !

Levo. · 11/30/2010, 18:35

Quote:

Originally Posted by .Infinity

Ich hab jedes wurd verstanden,
aber ich frag mich seit Anfang an, was heißt UD und FUD????

xD

Achja an alle unwissende, RAT -> Remote Acces Trojaner!

Remote Admin Tool ^^
Hatte auch mal sowas an Freunde geschickt zum testen die wussten das auch, war schon krass was man damit anstellen konnte. Oo

UD Undetected wird nicht von Antivir erkannt. Aber paar erkennen es noch.
Und FUD heißt Full Undetected wird von keinem Antivir erkannt.

Crypter heißt das er deine .exe Datei die erkennnt wird von Antivir nicht erkennbar macht. ^^

~~Tamay.~~ · 11/30/2010, 18:36

Wie kann man sich infizieren?Verstehe das gerade nicht so >

Computerfreek · 11/30/2010, 18:36

Und nochwas.
@Infinity:
RAT =! Remote Acces Trojaner
RAT = Remote Administration Tool

Bitte verbreite kein gefährliches Halbwissen..

Rest sollte man sich nun alles ergoogeln können.