Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

rootkit - mchlnjDrv ?





Frage

ahoi, heute morgen hat sich seit längerem mal wieder der UnHackMe - monitor gemeldet und mir nahegelegt auf diesen [code]HKLM\System\CurrentControlSet\Services\mchlnjDrv[/code] eintrag zu reagieren. habe ihn wie vorgeschlagen in die tonne getreten und zur sicherheit noch mal den userland-catchme drüberlaufen lassen. so weit scheint alles in ordnung... allerdings hätte ich gerne gewußt in welchem mäntelchen oben genannter eintrag zu mir kam. vieleicht hatte ja einer der geneigten leser hier schon das zweifelhafte vergnügen sich damit auseinandersetzen zu müssen. holaro john

Antwort 1 von micDA

*schieb*

Antwort 2 von Arno_Nym

http://www.sophos.com/security/analyses/trojfeutelas.html

Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.

Arno

Antwort 3 von micDA

hallo arno_nym,

Zitat:
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.


ich werde deinen ratschlag, wie auch schon die letzten 15 jahre gerne befolgen...
...scherz beiseite.

das feutel mit dem gleichen eintrag in der registry erscheint war mir schon bekannt, neu war mir allerdings das er diesen eintrag versteckt anlegt, auf den keylogger und den pigeon_server verzichtet und erst in einer sandbox zu erkennen war. ich vermute das der coder einen teil des obengenannten trojaners in sein rootkit eingebunden hat und diesen wohl per java-script über eine (mir noch unbekannte) webseite installiert hat. mittlerweile habe ich zwei verbindungen zu einem russischen ftp-server in den logs meines packetyzer gefunden über die jedoch, abgesehen vom üblichen verbindungsgedöns keine weiteren daten übertragen wurden.

vieleicht findet sich ja doch noch jemand der dazu mehr informationen als den standardlink hat.

gruß

Antwort 4 von Massaraksch

Du kannst auch mal nach Infos über den "mad code hook injection driver" aus der Delphi-MadCollection von Madshi suchen.

Wird gern für Delphi Progs mit DLL-Injection verwendet und eben deshalb auch für Trojaner gern genommen.

Da lautet der Eintrag zwar wohl eher
mchInjDrv
(also i statt L), aber das kann man als Coder ja ändern.

Massaraksch

Antwort 5 von micDA

hallo massaraksch,

vielen dank für den tip.
scheint in die richtige richtung zu gehen. ist wohl so das bei
mchInjDrv (also i statt L) AVnorton alarm schlägt, da liegt eine umbennung nahe.
muss/werde mich dort mal einlesen...

nochmals und ausdrücklich vielen dank für den hinweis

gruß