Istealer entschlusseln

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Chirs, 10. April 2009 .

Schlagworte:
  1. 10. April 2009
    Hallo, euer froum hier ist echt super das beste daran ist es ist aktiv und auf deutsch lach

    ich weis nicht genau ob ich hier in der richtigen section bin wenn nicht entschuldige ich mich.

    ich weis auch nicht ob das Präfix stimmt entschuldigt bitte


    Ist es möglich bzw wie kann mann die daten von einem istealer entschlusseln da werden irgendwo die ftp daten gespeichert ich hab schon mit Ep-Explorer denn stealer geöfnert allerdings finde ich keine daten es steht zwar drin was er alles macht bzw was er stealt aber wohin das geht finde ich nicht

    ich wuerde mich sehr ueber antworten freuen

    Danke RS-Board Team & Member
     
  2. 10. April 2009
    AW: Istealer entschlusseln

    ja ist natürlich möglich, aber dafür brauchst du eher ein Debugger oder unter umständen könnte auch ein Hexeditor reichen.

    z.B.
    OllyDbg v1.10
    HxD - Freeware Hex Editor and Disk Editor | mh-nexus

    "Ep-Explorer" kenne ich gar nicht.
     
  3. 10. April 2009
    AW: Istealer entschlusseln

    Mit dem "SoftPerfect Network Protocol Analyzer" kannst du sowas auch entschlüsseln.
    Einfach nur auf "Capture" klicken, Datei anklicken... und dann n bisschen suchen. ~5min Aufwand.

    Dann kannst du die FTP daten alle rausfinden. sprich, IP, Benutzername und Passwort.
    Dann kannste dich da mal einloggen, und den ftp n bisschen ab en ^^
     
  4. 10. April 2009
    AW: Istealer entschlusseln

    Trag den Host in deine Host-Datei ein und leite diesen auf dich Local um.
    Dann startest du nen FTP Sniffer.
    Jetzt siehst du die FTP Login daten, die der Stealer sendet sobalt du ihn startest in deinem Sniffer.
     
  5. 10. April 2009
    AW: Istealer entschlusseln

    danke fuer eure hilfe ich hab schon mal die ip aber wo steht der user und das pw bei den SoftPerfect Network Protocol Analyzer
     
  6. 10. April 2009
    AW: Istealer entschlusseln

    musst in jedem protokoll da nachschauen, ob du nen benutzernamen und pw finden kannst
     
  7. 10. April 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Istealer entschlusseln

    Und woher bekommt er den host?

    Am einfachsten wäre es wenn du das Ding mal hier posten würdest (auf XUP.in // 1-Klick Filehoster laden).

    Und bitte benutzt mal den EDIT Button {bild-down: https://www.xup.in/000/board.raidrush.ws/a_rr_style/buttons/edit.gif}
    , Doppelposts sind nicht erwünscht.
     
  8. 10. April 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Istealer entschlusseln

    Den sieht er z.b wenn er ne Firewall wie "Sygate Personal Firewall" hat die zeigt an wohin sich die Programme verbinden wollen.
     
  9. 10. April 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Istealer entschlusseln

    No File | xup.in

    woher weis ich jetzt wohin das ding sich verbindet ?

    beim istaler kann ma irgendwas mit antivm einstellen ob das jetzt auf vm geh toder nicht weis ich nicht

    danke alle fuer eure beiträge
     
  10. 11. April 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Istealer entschlusseln

    was auch immer das ist, ich glaube nicht, dass es schädlich ist.
    haste das richtige geupped?
     
  11. 11. April 2009
    AW: Istealer entschlusseln

    lol klar ist das Ding schädlich.

    Die exe wurde in VB6 gecoded. Die Win API Namen sind verschlüsselt und werden dadurch logischerweise dynamisch geladen. Es erkennt ausserdem noch VMs und andere Online-Analyze Dienste (z.B. Anubis).

    Das kannste also nur sniffen, wenn du es auf einem normalen Windows startest.

    Ich schaue es mir morgen vielleicht mal genauer an.
     
  12. 11. April 2009
    AW: Istealer entschlusseln

    Ich habe es auf nem normalen Windows gestartet, und es hat sich nirgentwohin verbunden...
    Das, was man nach dem Ausführen installiert ist zu 99% nicht schädlich. Die Frage ist womit dieser Installer (wenn überhaupt) gebunden wurde (Dann wäre STUB wohl in VB6 geschrieben).
     
  13. 13. April 2009
    AW: Istealer entschlusseln

    schonmal beim programmstart an cmd -> netstat -b gedacht?
     
  14. 13. April 2009
    AW: Istealer entschlusseln

    Das müsste man aber die ganze Zeit durchspammen^^

    Code:
    netstat -b 1
    wäre günstiger.
     
  15. 13. April 2009
    AW: Istealer entschlusseln

    @Alex²:
    Nur weil du keine Verbindungen feststellen konntest, heisst das nicht das es keine gibt.
    Der Stealer könnte auch Firewall Bypass + ne Rootkit Funktion haben, womit dann sämtliche Verbindungen unsichtbar wären...

    b2t:
    Nen Versuch könnte auch Wireshark wert sein, sofern der Istealer seine Verbindungen nicht versteckt....
    Als Protokoll oben inner Leiste einfach mal ftp eingeben, falls der dann auf Port 21 zu nem FTP Server verbindet hast du die Daten.
    Falls der Stealer ne Rootkit-Funktion hat ist es am effektivsten, den Stealer auf nem 2. PC auszuführen und sich dann per ARP Poisioning zwischen den 2. PC und den Router zu klinken.
     
  16. 13. April 2009
    AW: Istealer entschlusseln

    Leider müsste sich das Ding dafür an einen Process anheften da die Firewall aber alles abfragt (und ich meine alles, von irgentwelchen Treibern bis zur svchost.exe).Außerdem meldet die Firewall dann auch eine veränderung. Sobalt eine .exe sich auch nur um einen byte verändert fragt die firewall wieder nach.
    Hab die Sache mal mit Ice Sword durchgeschaut, keine rk's...

    http://mygully.com/thread/367-istealer-3-0-pw-stealer-1854687/


    Wenn das Teil gemeint ist kann man wohl stark davon ausgehen, dass kein rk dabei ist (firewall bypass kann man dort auch nicht einstellen) ^.-
    Es würde aber meine Binder therorie unterstreichen...
     
  17. 21. April 2009
    AW: Istealer entschlusseln

    Vorraussetzung :

    Vmware installieren [ mit aktuellem windows xp ]
    Sniffém installieren

    __

    Wir starten unsere vmware und starten direkt danach sniffem
    gehen auf capture wählen die netzwerkkarte aus
    dann start
    wir klicken die stealer.exe an und warten etwa 10 sek
    dann gehen wir in sniffem
    und suchen alle protokolle raus wo ftp steht
    durchsuchen
    freuen
    Logs abräumen



    ps: das gleiche geht auch mit sft
     
  18. 21. April 2009
    AW: Istealer entschlusseln


    Leider kann man das nicht auf Virtuellem PC starten (wurde hier auch schon gesagt).
    Thread lesen --> Posten (In der Reinfolge)
     
  19. 25. April 2009
    AW: Istealer entschlusseln

    lol wieso sollte man eine server.exe ( wenn er den iStealer 3.0 meint den use ich selber ) nicht auf vmware starten können ? hab schone tliche .exen darunter auch welche vom istealer 3.0 ausm usenet gezogen und in vmware zerrissen udn die logs abgestaubt .. und wie das geht
     
  20. 25. April 2009
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Istealer entschlusseln

    Wenn N0S sagt, dass man diese .exe nicht auf VM starten kann gehts net...
    Ging auf meiner VM im übrigen auch nicht.

    screensh30li0.jpg
    {img-src: //img361.imageshack.us/img361/9733/screensh30li0.jpg}


    Was fällt dir bei den Optionen so auf (General Options) ?
     
  21. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.