Artikel mit Tag photo.exe
Nachtrag zur photo.exe
Submitted by Christian Schneider on Do, 2007-11- 1 01:35
In Masochismus (was: Viren via ICQ automagisch verschicken...) habe ich das tcpdump capture file zum Download angeboten, aber anscheinend ist kalkin nicht der einzige der mit der Datei Probleme hat. Ich hab das File jetzt zu einem PDF konvertiert und unter http://strcat.de/tmp/photo-exe.pdf heruntergeladen werden.
Masochismus (was: Viren via ICQ automagisch verschicken...)
Submitted by Christian Schneider on Di, 2007-10-30 04:39
Ein Kumpel von mir, der lesenderweise im BuHa-Board vorhanden ist, hat mir heute den Link zur Diskussion Viren via ICQ automagisch verschicken... gezeigt und weil hier noch eine Windows XP - CD rumliegt (war beim Laptop dabei), hab ich heute mal Windows installiert. Eine typische "OK", "Bestaetigen" - Installation. Es wurde nur noch zusaetzlich Wireshark zum Sniffen und G DATA InternetSecurity 2007 30 Tage Trialversion installiert. Und logischerweise die photo.exe. Bei G DATA habe ich nichts geaendert, sondern die Standardeinstellungen gelassen (welche laut Meldung ja ausreichend fuer normale Benutzer ist).
Also Wireshark an, photo.exe doppelklicken und warten bis irgendwas passiert. Ist ja auch was passiert.. aber nicht das was passieren sollte Wireshark roedelt im Hintergrund und zeichnet ein 173K grosses tcpdump capture file auf, aber G DATA bleibt stumm. Weder die Firewall, noch der Virenscanner schlaegt Alarm (war mir aber irgendwie klar). Also mal nachgucken und den Taskmanager von Windows aufrufen, "Prozesse" anklicken und feststellen das die photo.exe gar nicht laeuft.. zumindest nicht mehr als Prozess im Hintergrund. Stattdessen laufen einige Prozesse, mit deren Namen ich nichts anfangen kann.
Hoert sich jetzt wahnsinnig komplex und unglaublich suspekt an, aber die photo.exe macht nichts anderes, als eine Verbindung zu einem Webserver aufzubauen und von dort weitere Dateien herunter zu laden und diese auszufuehren. Wenn alle Dateien heruntergeladen wurden, wird unter in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run folgende Zeichenfolge eingetragen:
Was diese sagenumwobene photo.exe bzw. die Programme, die dadurch heruntergeladen werden macht, interessiert mich nicht. Nicht im geringsten. Ich hoffe irgendwas kaputt oder kostenintensives (U-Boote oder Campingwagen bei eBay bestellen oder sowas). Lernen durch Schmerz; anders funktioniert es nicht. Das solche Firewalls und Virenscanner nicht funktionieren, ist auch keine Neuheit. Virenscanner erkennen nur Schadprogramme, die in einer Datenbank stehen und ich bezweifle das dort mehr als 5% aller existentierenden Viren enthalten sind und solche Firewalls.. danke DLL-Injection sind die nicht wirklich ein Hindernis. Die haben noch nie funktioniert und werden nie funktionieren. Und das Prinzip eines "Downloadprogrammes" ist auch uralt. Sowas gab es schon zu Mailbox-Zeiten, wo Shellscripte als SHAR-Files verschickt wurden, welche anschliessend die notwendigen Libs von einem Server heruntergeladen haben.
Ich geh jetzt erstmal Windows mit einer Portion OpenBSD desinfizieren; wer Interesse hat, kann sich das Logfile von Wireshark ansehen.
Also Wireshark an, photo.exe doppelklicken und warten bis irgendwas passiert. Ist ja auch was passiert.. aber nicht das was passieren sollte Wireshark roedelt im Hintergrund und zeichnet ein 173K grosses tcpdump capture file auf, aber G DATA bleibt stumm. Weder die Firewall, noch der Virenscanner schlaegt Alarm (war mir aber irgendwie klar). Also mal nachgucken und den Taskmanager von Windows aufrufen, "Prozesse" anklicken und feststellen das die photo.exe gar nicht laeuft.. zumindest nicht mehr als Prozess im Hintergrund. Stattdessen laufen einige Prozesse, mit deren Namen ich nichts anfangen kann.
Hoert sich jetzt wahnsinnig komplex und unglaublich suspekt an, aber die photo.exe macht nichts anderes, als eine Verbindung zu einem Webserver aufzubauen und von dort weitere Dateien herunter zu laden und diese auszufuehren. Wenn alle Dateien heruntergeladen wurden, wird unter in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run folgende Zeichenfolge eingetragen:
C:\WINDOWS\System32\chater.exe swelche letztendlich eins der Schadprogramme ist. Wenn man sich aber unter C:\WINDOWS\System32 umsieht und die Dateien nach dem Aenderungsdatum sortiert, findet aber noch drei weitere Programme; naemlich mstafram.exe, wshncscu.exe und kbdidpla.exe incl. den Dateien kbdidpla.DAT, kbdidpla.dll und ciadmspa.dll welche ebenfalls dazu gehoeren. Es tauchen im Taskmanager auch noch einige Prozesse wie 6.tmp, 5.dll, .. auf, aber die werden IMO nur temporaer gestartet (hab ich aber nicht wirklich ueberprueft wozu die da sind).
Was diese sagenumwobene photo.exe bzw. die Programme, die dadurch heruntergeladen werden macht, interessiert mich nicht. Nicht im geringsten. Ich hoffe irgendwas kaputt oder kostenintensives (U-Boote oder Campingwagen bei eBay bestellen oder sowas). Lernen durch Schmerz; anders funktioniert es nicht. Das solche Firewalls und Virenscanner nicht funktionieren, ist auch keine Neuheit. Virenscanner erkennen nur Schadprogramme, die in einer Datenbank stehen und ich bezweifle das dort mehr als 5% aller existentierenden Viren enthalten sind und solche Firewalls.. danke DLL-Injection sind die nicht wirklich ein Hindernis. Die haben noch nie funktioniert und werden nie funktionieren. Und das Prinzip eines "Downloadprogrammes" ist auch uralt. Sowas gab es schon zu Mailbox-Zeiten, wo Shellscripte als SHAR-Files verschickt wurden, welche anschliessend die notwendigen Libs von einem Server heruntergeladen haben.
Ich geh jetzt erstmal Windows mit einer Portion OpenBSD desinfizieren; wer Interesse hat, kann sich das Logfile von Wireshark ansehen.
3694ad233424a02883f1e80636a11a08 photo-exe.pcap
Last ten comments: