Virus: XProfaner bitte testen!

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Ist das ein Trojaner? Oder ein Rootkit? Beides? Versucht da jemand - ähnlich wie Sony damals - irgendein Digital Rights Management bzw. Copy-Schutz zu realisieren? Weil: Wie kann denn bitte reguläre Software eines halbwegs seriösen Unternehmens sonst zur Quelle solcher Schweinereien werden? Die wären doch sofort tot?

      Gruss
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • @Horst: Da werden andere Dateien erzeugt.

      @p.specht: Das ist scheinbar ein Backdoor - mit dem Teil soll über die befallenen Rechner Geld verdient werden. Seit kurzem erstellt das Ding einen LSP Eintrag und leitet auch innerhalb der Telephonie was um. Hier mal eine solche LSP - DLL, die noch recht gut erkannt wird :D:
      virustotal.com/file/2b095dd0ec…d83c4c76921928e/analysis/
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Die Erkennungsrate für die LSPs steigt jetzt, leider fixen mache Antivirenprogramme den Schlüssel dort "scheinbar" etwas falsch, was darin endet, dass die User nicht mehr ins Internet kommen (siehe hier).
      Der vermutliche Downloader wird weiterhin nicht erkannt und von den Antivirenprogrammen auf dem Rechner belassen. Die Erkennungsrate der .TSP Dateienen die in die "VOIP Kette" eingeschleust werden, geht weiterhin gegen null: virustotal.com/file/b8a008ffe4…d8ffb8ea1fcbe2f/analysis/

      Anregung: Programm erstellen, was bei Fehlern beide Ketten untersucht und Fehler fixt sowie bei Bedarf dort was rausschmeißt (auswählbar vom User). Sollte auch unter 64Bit gehen. Sowas dürfte mit XProfan recht einfach und schnell zu erstellen sein.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Es wäre natürlich unheimlich toll, wenn so ein Tool auch noch die wichtigsten Infos aus der Dateiresource der verlinkten DLLs anzeigen würde und auch die Signatur auslesen könnte. PCU zum Auslesen der Signatur würde ich zur Verfügung stellen - das ist echt nicht leicht zu proggen. Ich denke, einige Leute aus dem XProfan Bereich können da mehr als der Typ, der die Sache bei dem verlinkten User kaputtrepariert hat und das wohl beruflich macht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Das oben angesprochene Tool wird übrigens dringend gebraucht. Die Erkennungsrate für die TSP Dateien liegt weiterhin bei null - ist der Schlüssel nicht bereinigt, lädt sich der Trojaner die LSP-DLL nach und alles fängt von vorne an. Hat niemand genug Ahnung, um so was zu proggen? Gibt's doch gar nicht...
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Bin leider zu doof. Aber Frage: Wenn man das Backdoor-Dingens als Text in Notepad öffnet: Ergeben sich irgenwelche Hinweise auf die Herkunft? Schreibt vielleicht einer irgendeinen Text "Haha, reingelegt" oder sowas ähnliches? Ich meine, irgendwas charakteristisches?
      Win7-64HomPremSP1,XProfan11.2a,XPIA,JWasm,xpse,IntelCoreQuad2.5GHz/4GB/je1TB HD intern:esataBay:USB3
    • Nein, der hört mit ziemlicher Sicherheit zur Zeit ab - den kompletten Internetverkehr und die VOIP Telephonie - das ist meine Meinung zu dem Ding. Spionagesoftware ist das für mich im Augenblick. Die DLL im Lanmanworkstation und die andere DLL installiert einen Backdoor, mit dem weitere beliebiege Malware auf die Rechner gepackt werden kann. Habe ich Recht, ist der, der das geschrieben hat, den Leuten bei den Antivirenherstellern weit über. Der weiß genau was er tut.
      Ich habe zur Zeit die Befürchtung, dass das eine ganz große Sache ist. Der muss ja auch irgendwie an die gültige Signatur kommen...

      Leider habe ich zur Zeit keine Zeit zum Proggen solcher Sachen - hier laufen täglich drei Leute auf, die sich damit infiziert haben - und die bereinige ich. Wenn sich kein anderer darum kümmern möchte, schreibe ich innerhalb der nächsten Monate was dafür - die Leute brauchen das aber schneller. Was ist übrigens am Beseitigen von Spionagesoftware trocken?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT