Vorsicht bei Onlineanalysen mit Farbar!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

  • So...
    Ich habe vor kurzem Hinweise darauf gefunden, dass sich zu mindest ein Trojaner auf die in Onlineforen üblichen Analyseverfahren eingeschossen hat und die Art, wie dort vorgegangen wird, ausnutzt.
    Er infiziert unter anderem das Analysetool und macht die Infektion scheinbar für das Tool selbst mit einer RootKit ähnlichen Technik unsichtbar. Er tut das, um nach einer Bereinigung noch auf dem Rechner zu bleiben.
    Des Weiteren trifft der Trojaner einige Vorkehrungen, um nach einer Neuinstallation möglichst wieder auf dem Rechner zu sein. Auch diese "Vorkehrungen" werden in den LOGS von Farbar in der Regel nicht sichtbar.


    Bei Fragen bitte Konversation an mich richten:

    Bei dem besagten Trojaner handelt es sich um einen Backdoor, der scheinbar über Cracks und Keygens verteilt wird.

  • Moin AHT,


    Ich habe vor kurzem Hinweise darauf gefunden, dass sich zu mindest ein Trojaner auf die in Onlineforen üblichen Analyseverfahren eingeschossen hat und die Art, wie dort vorgegangen wird, ausnutzt.

    Nix Neues. :P


    Die Keygens usw. werden schon ewig bei Virustotal getestet.
    Bei einer Erkennungsrate von 0% erfolgt dann die Freigabe.


    Ist quasi eine ISO-Zertifizierung.
    https://de.wikipedia.org/wiki/Qualit%C3%A4tsmanagementnorm



    Des Weiteren trifft der Trojaner einige Vorkehrungen, um nach einer Neuinstallation möglichst wieder auf dem Rechner zu sein.

    Und das wäre??



    Bei dem besagten Trojaner handelt es sich um einen Backdoor, der scheinbar über Cracks und Keygens verteilt wird.

    Wenn es eine eingebaute Hintertüre ist, bin ich gespannt wann das Bot-Net gestartet wird.


    Tschau

  • Und das wäre??

    Er versucht auf mehrere Arten externe (und weitere interne) Datenträger zu infizieren. Zwei Arten, wie er das macht, sollt ihr wohl nicht unbedingt sehen.
    Eine davon ist auf die Installation mit einer älteren Windows7 DVD ausgelegt. Auch das fällt aus den LOGs ja raus.
    Dass das in der Regel hundertprozentig hinhaut und das Ding nachher nach der Neuinstallation wohl wieder auf dem Rechner ist, hast du ja in dem Beitrag im Forum gesehen. Da wurde dem User ja sogar genau gesagt, was er zu tun und zu lassen hat - er hat das trotzdem nicht getan.


    Nicht die Technik ist da interessant, sondern dass er das scheinbar sehr gezielt tut. Wenn er das nicht gezielt in Bezug auf Onlineforen tun würde, müsste er eine Sache gar nicht tun - oder er könnte sie sehr viel einfacher tun, als er sie da programmiertechnisch löst und würde im Prinzip noch mehr erreichen. Er könnte dann bei einem Standard bleiben, den es schon sehr lange gibt - genau das tut er aber nicht.


    Der, der hauptsächlich an dem Ding gearbeitet hat, gefällt mir als Programmierer sehr gut. Der hat Überblick ohne Ende und spielt auch mit den Verhaltensweisen und Denkweisen von Menschen herum. Der könnte im Prinzip ganz andere Sachen tun.


    Nix Neues.


    Die Keygens usw. werden schon ewig bei Virustotal getestet.

    Für manche User wohl schon. Es gibt immer noch Leute, die wirklich im Ernst glauben, dass die Erkennungen nur von den Antivirenfirmen geschrieben werden, weil die mit den Softwareherstellern zusammenarbeiten.
    Die Hinweise, dass der besagte Trojaner mit einem Crack für eine Adobe Software ausgeliefert wurde, habe ich aber unter anderem vom Trojaner selbst (aus dessen virtuellem Speicher). Nicht von irgendeiner Erkennung.

  • Der Virus infiziert eigentlich nur EXE Dateien, die aktuell aus dem Netz geladen worden sind (also bis zu einem bestimmten Datum). Alles andere lässt er unberührt. Er braucht etwas Zeit, um erst mal eine heruntergeladene EXE überhaupt zu infizieren (scheinbar auch ein Teil der Tarnung).
    Es kann also sein, dass beim ersten Scan mit Farbar das Tool noch nicht infiziert ist. Bereinigt man dann aber, sitzt der Fileinfektor dann in Farbar selbst.
    Ist die Infektion eingeleitet (vorher nicht), ist in den LOGs von Farbar bei den neu erstellten Dateien unter Umständen folgendes zu sehen:


    Zitat von FRST.txt

    2017-10-13 09:06 - 2017-10-13 09:06 - 002401792 ___SH (Farbar) C:\Users\Name\Desktop\frst64.exe
    2017-10-13 09:03 - 2017-10-13 09:04 - 002613720 _____ (Microsoft) C:\Users\Name\Desktop\FRST64.exe

    Da steht 2x die EXE von Farbar. Die klein geschriebene hat ein Leerzeichen hinter der Dateierweiterung. Die mit dem Firmennamen Microsoft ist die infizierte EXE.
    Bei den geladenen Prozessen sieht man aber folgendes:


    Zitat von FRST.txt

    ==================== Processes (Whitelisted) =================
    (If an entry is included in the fixlist, the process will be closed. The file will not be moved.)
    ...
    (Farbar) C:\Users\Name\Desktop\frst64.exe

    Angeblich läuft hier die EXE mit dem Leerzeichen, die nicht infiziert ist. Das geht eigentlich nach meinem Verständnis gar nicht. Das Tool ist scheinbar schon infiziert. Ist das Tool bereits infiziert, ist das, was da als Prozess zurückgegeben wird, gefakt. Ist der Prozess gefakt, kann das nur ein Angriff auf Scantools wie Farbar direkt sein.


    Farbar listet leider nur die CompanyName Resource - also den Firmennamen. Der Trojaner setzt aber auch die Resource Produktname in der EXE, die er infiziert hat, auf einen neuen Wert. Der heißt dann Win. An dieser Resource lässt sich diese Infektion sehr leicht erkennen - die wird von Farbar aber gar nicht gelistet.

  • Der Virus versucht gar nicht, irgendwie zu verheimlichen, dass der Rechner infiziert ist. Wird bereinigt, sieht die Bereinigung immer erfolgreich aus - der Trojaner läuft aber immer noch im Scantools. Selbst bei einem Scan im Recovery Modus von Windows ist das so, da Farbar ja erst heruntergeladen werden muss da dann, wenn man in den Recovery Modus zum Scannen wechselt, ja keine Internetverbindung besteht.
    Installierte Dateien infiziert er nicht. Er handelt damit ziemlich unauffällig.

    • Zu mindest auf manchen Rechnern werden autorun.inf Dateien auf allen internen und extern angeschlossenen Datenträgern erstellt, die automatisch ein infiziertes Script starten sollen. Auf aktuellen Systemen verhindern Updates das Ausführen dieser verlinkten Scripte. Wird ein Windows7 Rechner neu aufgesetzt, fehlen eventuell beim Neuaufsetzen genau die Updates, die das automatische Starten verhindern und der Rechner ist sofort wieder infiziert. Farbar listet autorun.inf Dateien und was damit gestartet wird nicht.
    • Werden heruntergeladene EXE-Dateien auf externen Datenträgern abgespeichert (Treiber zum Beispiel), ist der Rechner natürlich nach dem Neuaufsetzen auch wieder infiziert. Aus den Farbar LOGs ist nicht erkennbar, ob irgendwo irgendwelche Dateien noch infiziert sind, da dies nur aus der Resource Produktname zu erkennen ist und diese Resource von Farbar nicht ausgelesen wird.

    Ein Grund mehr, bei so etwas eine Neuinstallation vorzunehmen. WÜrde ich nach diesem Exkurs nicht bereinigen, macht keinen Sinn.

    Das so etwas vorliegt, kannst du allein mit Farbar gar nicht erkennen. Beim ersten Scan mit Farbar war bei dem Rechner im Forum das Tool von Farbar noch nicht infiziert - der Fileinfektor lief aber bereits und hatte andere Dateien befallen (mit Farbar nicht erkennbar).

  • Nägel mit Köpfen, alles andere hilft nicht.


    Externe Platte einbinden, Rechner mit Linux starten, Gparted starten, Platte säubern. Also Partitionstabelle löschen/neu/neue Partition.


    Wichtige Daten an allen Rechnern per Linux auf diese Platte sichern. Nichts ausführbares.


    Dann Rechner neu einrichten, bei der Windows Installation auf allen lokalen Laufwerken die Partitionen löschen. Dann Windows neu installieren.


    Alle übrigen externen Datenträger ebenso neu einrichten wie die Sicherungsplatte.


    Das wird auch dieses fiese Kerlchen nicht überleben.

  • Guter Ratschlag. Wie gesagt - dass das vorliegt, ist mit Farbar eigentlich gar nicht erkennbar. Darum geht es mir.
    Ich kann noch genau sagen, was bei den Rechnern genau passiert, wenn man überhaupt versucht zu bereinigen. Da mit dem PPFScanner der Fileinfektor beim ersten Blick zu erkennen war, habe ich die Bereinigung gar nicht erst angefangen. Ich wusste ja, dass mein Tool infiziert ist.
    Alle anderen Leute, die ich im Netz mit dem Trojaner gefunden habe (alle Helfer, die ich gefunden habe, haben das "übersehen"), haben sich nach dem ersten Bereinigungsversuch nicht mehr in den Foren gemeldet.

  • Moin,


    Nägel mit Köpfen, alles andere hilft nicht.


    Externe Platte einbinden, Rechner mit Linux starten, Gparted starten, Platte säubern. Also Partitionstabelle löschen/neu/neue Partition.

    Uii, mit Linux kann man aber auch mal einen Blick auf die Autorun.inf werfen.

    Alle anderen Leute, die ich im Netz mit dem Trojaner gefunden habe (alle Helfer, die ich gefunden habe, haben das "übersehen"), haben sich nach dem ersten Bereinigungsversuch nicht mehr in den Foren gemeldet.

    Ist doch logisch oder?


    Tschau

  • Uii, mit Linux kann man aber auch mal einen Blick auf die Autorun.inf werfen.

    Wenn man weiß, dass die Dateien da sind und der User darauf hingewiesen wird, dass er danach schauen muss, kann man die sogar noch mit ganz anderen Sachen sehen.
    Die Helfer, die Farbar nutzen, sehen die nur nicht. Oder sagt du jedem der User, der neu aufsetzt, dass er speziell unter Windows7 beim Neuaufsetzen vorher mit Linux nach den Dateien schauen soll?
    Sagst du jedem, dass er alle Datenträger komplett formatieren muss (auch die externen) weil sich dort noch eine infizierte EXE Datei befinden könnte. Selbst wenn man sehen kann, dass die da sind, sehen die Helfer die in den LOGs von Farbar nicht.


    Habr Ihr schon eine Alternative für den Onlinescan?

    Ohne Alternative wüsste ich selbst nicht, dass dort diese Sachen auf Rechnern sind. Wie sollte ich die denn dann sehen?
    Wenn ich die nicht nutzen würde, wäre ich ebenfalls bei solchen Sachen komplett blind! Eine Verbesserung wäre da zum Beispiel, Sachen auch anders zu tun - auf andere Art, aber genauso flexibel (oder sogar mit noch mehr Flexibilität). Falsch ist, weltweit alles gleich zu tun und immer nur auf eine Art.
    Eine Alternative, die weltweit überall und immer auf die gleiche Weise genutzt wird, wäre im gleichen Moment, in dem man das tut, eigentlich keine Alternative mehr.


    Gibt es schon eine Stellungname von Farbar?

    Ich persönlich leite nichts mehr an Farbar weiter. Ich habe früher schon mal selbst Code für Farbar geschrieben um bei einer Sache auszuhelfen, die für ihn nicht lösbar war und auch viele Sachen verbessern lassen. Bei manchen Dingen, die ich in Folge davon später gesehen und auch anderweitig erfahren habe, habe ich aber den starken Eindruck gewonnen, dass es wenig Zweck hat, dass Tool besser machen zu wollen. So, wie Sachen zur Zeit insgesamt laufen, hat das eigentlich gar keinen Zweck. Da das Tool in Autoit geschrieben ist, ist der ganze Quellcode zum Beispiel für alle, die sich nicht an Gesetze gebunden fühlen, komplett Opensource. Das ist aber nur das kleinste Problem.


    Das es ein schlechtes Tool ist, will ich damit nicht sagen. Der Umgang damit ist für mich nur nicht vertretbar - also die Art der Nutzung. Bei manchen Sachen bekomme ich Bauchschmerzen. Die gehören hier jetzt aber nicht hin.

  • Hallo AHT,



    Wenn man weiß, dass die Dateien da sind und der User darauf hingewiesen wird, dass er danach schauen muss, kann man die sogar noch mit ganz anderen Sachen sehen.

    Jo, stimmt.


    Oder sagt du jedem der User, der neu aufsetzt, dass er speziell unter Windows7 beim Neuaufsetzen vorher mit Linux nach den Dateien schauen soll?

    Nee, sage ich nicht.


    Sagst du jedem, dass er alle Datenträger komplett formatieren muss (auch die externen) weil sich dort noch eine infizierte EXE Datei befinden könnte.

    Nee, das sage ich nicht expliziet.


    Bei einem Fileinfektor muss man Nägel mit Köpfen machen, das hat schon der Meierkurt bemerkt.

    Wobei ich bei wichtigen Daten nicht mit dem Meierkurt gleicher Meinung bin.
    Denn die hat man eh auf CD/DVD/Stick oder den Backupplatten.


    Tschau

  • Wobei ich bei wichtigen Daten nicht mit dem Meierkurt gleicher Meinung bin.
    Denn die hat man eh auf CD/DVD/Stick oder den Backupplatten.

    Und die sind dann eventuell auch infiziert (wenn es sich zum Beispiel um Treiber handelt), wenn der Trojaner bereits 6 Monate auf dem Gerät war, wie bei dem Fall hier im Forum. ;-)
    Wie willst du wissen, was auf welche Art infiziert ist, wenn du das gar nicht siehst - und deshalb nicht siehst, weil jemand explizit will, dass du bestimmte Sachen nicht siehst. Es weiß doch jeder genau, wie nach Sachen gesucht wird.
    Das Tool von Farbar ist für Malwareschreiber Opensource. Man kann jeden Fehler, jede ausgelassene und nicht gelistete Startmöglichkeit, und jede nicht bedachte Sache nachlesen. Das ist mit der Sprache Autoit so einfach, wie ich das noch nie bei irgendeiner anderen Sprache überhaupt gesehen habe.
    Es ist meines Wissens nach zur Zeit sogar noch möglich, bestimmte Sachen auch aus den LOGs verschwinden zu lassen, wenn das Tool den Eintrag listet. Bei den Erweiterungen für Edge dürfte das unter anderem noch möglich sein. Das sehe sogar ich - und ich verdiene nicht mein Geld damit, Sicherheitslücken zu suchen und diese auszunutzen und ich schaue nicht in den Quellcode der Anwendung, um diese zu suchen. Diese Sachen laufen mir zufällig über den Weg. Leute, die damit ihr Geld verdienen, sind im Sehen von Lücken besser als ich - das weiß ich aus meiner eigenen Erfahrung. Sehr viel besser.

  • Hallo AHT,


    Und die sind dann eventuell auch infiziert (wenn es sich zum Beispiel um Treiber handelt), wenn der Trojaner bereits 6 Monate auf dem Gerät war, wie bei dem Fall hier im Forum.
    Wie willst du wissen, was auf welche Art infiziert ist, wenn du das gar nicht siehst - und deshalb nicht siehst, weil jemand explizit will, dass du bestimmte Sachen nicht siehst. Es weiß doch jeder genau, wie nach Sachen gesucht wird.

    Wenn es um spezielle, gezielte Angriffe geht, helfen die Tools natürlich nicht.
    Auch ein Aluhut schützt dich nicht vor einem Blitzschlag.



    Diese Sachen laufen mir zufällig über den Weg. Leute, die damit ihr Geld verdienen, sind im Sehen von Lücken besser als ich - das weiß ich aus meiner eigenen Erfahrung. Sehr viel besser.

    Die Leute, die die Löcher in die Software einbauen sind die Genies der Entwickler. :pfeifend:


    Tschau

  • Die Leute, die die Löcher in die Software einbauen sind die Genies der Entwickler.

    Das Fehler passieren und Sachen offen bleiben, ist ganz normal. Das passiert jedem, der Software schreibt. Microsoft auch. In Powershell ist zur Zeit zum Beispiel noch was drin.
    Es ist aber wichtig, überhaupt eine Chance zu haben, auf solche Fehler zu stoßen. Hat man keine Vergleichsmöglichkeit, stößt man eventuell nie auf Sachen.


    Wenn es um spezielle, gezielte Angriffe geht, helfen die Tools natürlich nicht.

    Interesse daran, solche Angriffe durchzuführen, hat auf jeden Fall nicht jede Malware. Gerade bei einer so offenen Software (Programmiersprache Autoit) müsste man aber auf ganz offensichtliche Lücken extrem schnell reagieren und die weiterleiten. Das man, wenn einem als Helfer irgendwas merkwürdig vorkommt, als Helfer um die 10 Jahre lang gar nicht fragt, warum Sachen denn in dem einen LOG so stehen und was das denn bedeutet, geht gar nicht.
    Au Mann. 10 Jahre lang!
    Man kann da nur beten, dass sämtliche Malwareschreiber das Fixen mit den Tools gar nicht ernst nehmen. 10 Jahre lang stehen da Lücken offen im Netz. 10 Jahre!!!
    10 Jahre - und keiner, der das sieht, fragt!

  • Es ist aber wichtig, überhaupt eine Chance zu haben, auf solche Fehler zu stoßen. Hat man keine Vergleichsmöglichkeit, stößt man eventuell nie auf Sachen.

    Vielleicht bin ich da auch etwas zu hart. Es hat natürlich auch einen riesen Vorteil, fast weltweit nur ein einziges Tool bei Onlineanalysen zu nutzen (wie das bei dem Tool von Farbar der Fall ist) - sieht man etwas nicht, können alle anderen das auch nicht sehen. Absolut niemand kann sich dann beschweren - ist doch geil, oder? :top:


    Das ist leider aber nicht meine Art, wie ich persönlich mit fremden Rechnern umgehen möchte. Ich persönlich möchte irgendeine Chance haben, möglichst schnell auf Sachen zu stoßen, die ich nicht sehe.
    Hier gibt es im Forum zwei Beiträge:

    Dort sind zwei Tools für die Onlineanalyse aufgeführt (Farbar und der PPFScanner) - nicht nur eines.

    • Ich bitte jeden User hiermit in seinem eigenen Interesse, mindestens ein Mal im Verlauf des ganzen Vorgangs wirklich mit beiden Tools LOGs zu erstellen und die online zu stellen, auch wenn der jeweilige Helfer nur die LOGs von einem Tool anfordert und auswertet.
    • Ich bitte hiermit jeden Helfer hier im Forum, wenn möglich mindestens ein Mal während des Vorgangs LOGs von beiden Tools anzufordern, auch wenn erst mal nur die LOGs von einem Tool ausgewertet werden.
    • Ich möchte die Moderatoren hier bitten, den PPFScanner nicht erneut wieder aus diesen oben genannten Beiträgen zu entfernen, wenn ich über längere Zeit hier nicht online sein sollte.

    Das hat den Sinn, überhaupt eine akzeptable Chance zu schaffen, auf Sachen, wie ich sie in diesem Beitrag hier beschreibe, stoßen zu können.
    Die Chance ist ansonsten nicht da.

  • Wie sehe ich ob ich betroffen bin?
    Mit dem PPFScanner?

    Bist du in irgendeinem Forum ein Helfer?
    Analysierst du Malwareprobleme selbst mit Farbar?


    Wenn du auf eine der Fragen mit "ja" beantworten kannst, hätte ich da Sachen für dich, die du dir mal ansehen solltest...
    Dann gibt es eine PM von mir.