Gruppen
- Top Gruppen
- Betriebsysteme
- Windows classik
- Linux
- BS-Sonstige
- Software
- Datenbanken
- Bildbearbeitung
- Audio/mp3/Video
- Security/Viren
- SW-Sonstige
- Hardware
- Mainboard/CPU
- Grafikkarten
- Peripherie
- Laptop/Notebook
- HW-Sonstiges
- Netzwerk
- Telefon,ISDN,Modem
- W-Lan
- NW-Sonstiges
- Programmierung
- PHP,ASP,Perl...
- Java,C++...
- Webseiten/HTML
- Sonstiges
- PC-Sonstiges
- Plauderecke
- SN Intern
- Test
/ Forum / Security/Viren
Security/Viren
Fragevon micDA vom 10.02.2019, 14:35 Options
rootkit - mchlnjDrv ?
ahoi,
heute morgen hat sich seit längerem mal wieder der UnHackMe - monitor gemeldet und mir nahegelegt auf diesen
eintrag zu reagieren. habe ihn wie vorgeschlagen in die tonne getreten und zur sicherheit noch mal den userland-catchme drüberlaufen lassen. so weit scheint alles in ordnung...
allerdings hätte ich gerne gewußt in welchem mäntelchen oben genannter eintrag zu mir kam. vieleicht hatte ja einer der geneigten leser hier schon das zweifelhafte vergnügen sich damit auseinandersetzen zu müssen.
holaro
john
heute morgen hat sich seit längerem mal wieder der UnHackMe - monitor gemeldet und mir nahegelegt auf diesen
HKLM\System\CurrentControlSet\Services\mchlnjDrveintrag zu reagieren. habe ihn wie vorgeschlagen in die tonne getreten und zur sicherheit noch mal den userland-catchme drüberlaufen lassen. so weit scheint alles in ordnung...
allerdings hätte ich gerne gewußt in welchem mäntelchen oben genannter eintrag zu mir kam. vieleicht hatte ja einer der geneigten leser hier schon das zweifelhafte vergnügen sich damit auseinandersetzen zu müssen.
holaro
john
Antwort 2 von Arno_Nym vom 14.02.2019, 17:32 Options
http://www.sophos.com/security/analyses/trojfeutelas.html
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Arno
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Arno
Antwort 3 von micDA vom 16.02.2019, 16:27 Options
hallo arno_nym,
ich werde deinen ratschlag, wie auch schon die letzten 15 jahre gerne befolgen...
...scherz beiseite.
das feutel mit dem gleichen eintrag in der registry erscheint war mir schon bekannt, neu war mir allerdings das er diesen eintrag versteckt anlegt, auf den keylogger und den pigeon_server verzichtet und erst in einer sandbox zu erkennen war. ich vermute das der coder einen teil des obengenannten trojaners in sein rootkit eingebunden hat und diesen wohl per java-script über eine (mir noch unbekannte) webseite installiert hat. mittlerweile habe ich zwei verbindungen zu einem russischen ftp-server in den logs meines packetyzer gefunden über die jedoch, abgesehen vom üblichen verbindungsgedöns keine weiteren daten übertragen wurden.
vieleicht findet sich ja doch noch jemand der dazu mehr informationen als den standardlink hat.
gruß
Zitat:
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
Solltest besser aufpassen, wo und womit du surfst, was für Mails du öffnest, was du so runterlädtst und ausführst etc.
ich werde deinen ratschlag, wie auch schon die letzten 15 jahre gerne befolgen...
...scherz beiseite.
das feutel mit dem gleichen eintrag in der registry erscheint war mir schon bekannt, neu war mir allerdings das er diesen eintrag versteckt anlegt, auf den keylogger und den pigeon_server verzichtet und erst in einer sandbox zu erkennen war. ich vermute das der coder einen teil des obengenannten trojaners in sein rootkit eingebunden hat und diesen wohl per java-script über eine (mir noch unbekannte) webseite installiert hat. mittlerweile habe ich zwei verbindungen zu einem russischen ftp-server in den logs meines packetyzer gefunden über die jedoch, abgesehen vom üblichen verbindungsgedöns keine weiteren daten übertragen wurden.
vieleicht findet sich ja doch noch jemand der dazu mehr informationen als den standardlink hat.
gruß
Antwort 4 von Massaraksch vom 17.02.2019, 21:37 Options
Du kannst auch mal nach Infos über den "mad code hook injection driver" aus der Delphi-MadCollection von Madshi suchen.
Wird gern für Delphi Progs mit DLL-Injection verwendet und eben deshalb auch für Trojaner gern genommen.
Da lautet der Eintrag zwar wohl eher
Massaraksch
Wird gern für Delphi Progs mit DLL-Injection verwendet und eben deshalb auch für Trojaner gern genommen.
Da lautet der Eintrag zwar wohl eher
mch[b]I[/b]njDrvMassaraksch
Antwort 5 von micDA vom 18.02.2019, 21:12 Options
hallo massaraksch,
vielen dank für den tip.
scheint in die richtige richtung zu gehen. ist wohl so das bei
mchInjDrv (also i statt L) AVnorton alarm schlägt, da liegt eine umbennung nahe.
muss/werde mich dort mal einlesen...
nochmals und ausdrücklich vielen dank für den hinweis
gruß
vielen dank für den tip.
scheint in die richtige richtung zu gehen. ist wohl so das bei
mchInjDrv (also i statt L) AVnorton alarm schlägt, da liegt eine umbennung nahe.
muss/werde mich dort mal einlesen...
nochmals und ausdrücklich vielen dank für den hinweis
gruß
Ähnliche Themen
RootKit Hook Analyser 1.01 findet Probleme
woher 16.09.2007 - 27 Hits - 1 Antwort
Rootkit system32
SilverAir 15.01.2008 - 21 Hits - 22 Antworten
welchen Freeware Rootkit Scanner könnt Ihr mir empfehlen?
johnnx 11.04.2008 - 440 Hits - 11 Antworten
Mein 1.Virus: chcfg.exe rootkit
Benny_Aua 11.04.2008 - 22 Hits - 1 Antwort
Win XP verweigert Zugriff auf Datenträger (auf 2 PCs)
SHPRO 26.05.2008 - 12 Hits -
Hinweis
Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..
Neue Einträge
