Supportnet / Forum / Security/Viren
rootkit - mchlnjDrv ?
Frage
ahoi,
heute morgen hat sich seit längerem mal wieder der UnHackMe - monitor gemeldet und mir nahegelegt auf diesen
[code]HKLM\System\CurrentControlSet\Services\mchlnjDrv[/code]
eintrag zu reagieren. habe ihn wie vorgeschlagen in die tonne getreten und zur sicherheit noch mal den userland-catchme drüberlaufen lassen. so weit scheint alles in ordnung...
allerdings hätte ich gerne gewußt in welchem mäntelchen oben genannter eintrag zu mir kam. vieleicht hatte ja einer der geneigten leser hier schon das zweifelhafte vergnügen sich damit auseinandersetzen zu müssen.
holaro
john
Antwort 1 von micDA
*schieb*
Antwort 2 von Arno_Nym
http://www.sophos.com/security/analyses/trojfeutelas.html
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Arno
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Arno
Antwort 3 von micDA
hallo arno_nym,
ich werde deinen ratschlag, wie auch schon die letzten 15 jahre gerne befolgen...
...scherz beiseite.
das feutel mit dem gleichen eintrag in der registry erscheint war mir schon bekannt, neu war mir allerdings das er diesen eintrag versteckt anlegt, auf den keylogger und den pigeon_server verzichtet und erst in einer sandbox zu erkennen war. ich vermute das der coder einen teil des obengenannten trojaners in sein rootkit eingebunden hat und diesen wohl per java-script über eine (mir noch unbekannte) webseite installiert hat. mittlerweile habe ich zwei verbindungen zu einem russischen ftp-server in den logs meines packetyzer gefunden über die jedoch, abgesehen vom üblichen verbindungsgedöns keine weiteren daten übertragen wurden.
vieleicht findet sich ja doch noch jemand der dazu mehr informationen als den standardlink hat.
gruß
Zitat:
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
ich werde deinen ratschlag, wie auch schon die letzten 15 jahre gerne befolgen...
...scherz beiseite.
das feutel mit dem gleichen eintrag in der registry erscheint war mir schon bekannt, neu war mir allerdings das er diesen eintrag versteckt anlegt, auf den keylogger und den pigeon_server verzichtet und erst in einer sandbox zu erkennen war. ich vermute das der coder einen teil des obengenannten trojaners in sein rootkit eingebunden hat und diesen wohl per java-script über eine (mir noch unbekannte) webseite installiert hat. mittlerweile habe ich zwei verbindungen zu einem russischen ftp-server in den logs meines packetyzer gefunden über die jedoch, abgesehen vom üblichen verbindungsgedöns keine weiteren daten übertragen wurden.
vieleicht findet sich ja doch noch jemand der dazu mehr informationen als den standardlink hat.
gruß
Antwort 4 von Massaraksch
Du kannst auch mal nach Infos über den "mad code hook injection driver" aus der Delphi-MadCollection von Madshi suchen.
Wird gern für Delphi Progs mit DLL-Injection verwendet und eben deshalb auch für Trojaner gern genommen.
Da lautet der Eintrag zwar wohl eher
Massaraksch
Wird gern für Delphi Progs mit DLL-Injection verwendet und eben deshalb auch für Trojaner gern genommen.
Da lautet der Eintrag zwar wohl eher
mchInjDrv
(also i statt L), aber das kann man als Coder ja ändern.Massaraksch
Antwort 5 von micDA
hallo massaraksch,
vielen dank für den tip.
scheint in die richtige richtung zu gehen. ist wohl so das bei
mchInjDrv (also i statt L) AVnorton alarm schlägt, da liegt eine umbennung nahe.
muss/werde mich dort mal einlesen...
nochmals und ausdrücklich vielen dank für den hinweis
gruß
vielen dank für den tip.
scheint in die richtige richtung zu gehen. ist wohl so das bei
mchInjDrv (also i statt L) AVnorton alarm schlägt, da liegt eine umbennung nahe.
muss/werde mich dort mal einlesen...
nochmals und ausdrücklich vielen dank für den hinweis
gruß