#1 10. April 2009 Hallo, euer froum hier ist echt super das beste daran ist es ist aktiv und auf deutsch lach ich weis nicht genau ob ich hier in der richtigen section bin wenn nicht entschuldige ich mich. ich weis auch nicht ob das Präfix stimmt entschuldigt bitte Ist es möglich bzw wie kann mann die daten von einem istealer entschlusseln da werden irgendwo die ftp daten gespeichert ich hab schon mit Ep-Explorer denn stealer geöfnert allerdings finde ich keine daten es steht zwar drin was er alles macht bzw was er stealt aber wohin das geht finde ich nicht ich wuerde mich sehr ueber antworten freuen Danke RS-Board Team & Member + Multi-Zitat Zitieren
#2 10. April 2009 AW: Istealer entschlusseln ja ist natürlich möglich, aber dafür brauchst du eher ein Debugger oder unter umständen könnte auch ein Hexeditor reichen. z.B. OllyDbg v1.10 HxD - Freeware Hex Editor and Disk Editor | mh-nexus "Ep-Explorer" kenne ich gar nicht. + Multi-Zitat Zitieren
#3 10. April 2009 AW: Istealer entschlusseln Mit dem "SoftPerfect Network Protocol Analyzer" kannst du sowas auch entschlüsseln. Einfach nur auf "Capture" klicken, Datei anklicken... und dann n bisschen suchen. ~5min Aufwand. Dann kannst du die FTP daten alle rausfinden. sprich, IP, Benutzername und Passwort. Dann kannste dich da mal einloggen, und den ftp n bisschen ab en ^^ + Multi-Zitat Zitieren
#4 10. April 2009 AW: Istealer entschlusseln Trag den Host in deine Host-Datei ein und leite diesen auf dich Local um. Dann startest du nen FTP Sniffer. Jetzt siehst du die FTP Login daten, die der Stealer sendet sobalt du ihn startest in deinem Sniffer. + Multi-Zitat Zitieren
#5 10. April 2009 AW: Istealer entschlusseln danke fuer eure hilfe ich hab schon mal die ip aber wo steht der user und das pw bei den SoftPerfect Network Protocol Analyzer + Multi-Zitat Zitieren
#6 10. April 2009 AW: Istealer entschlusseln musst in jedem protokoll da nachschauen, ob du nen benutzernamen und pw finden kannst + Multi-Zitat Zitieren
#7 10. April 2009 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Istealer entschlusseln Und woher bekommt er den host? Am einfachsten wäre es wenn du das Ding mal hier posten würdest (auf XUP.in // 1-Klick Filehoster laden). Und bitte benutzt mal den EDIT Button {bild-down: https://www.xup.in/000/board.raidrush.ws/a_rr_style/buttons/edit.gif} , Doppelposts sind nicht erwünscht. + Multi-Zitat Zitieren
#8 10. April 2009 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Istealer entschlusseln Den sieht er z.b wenn er ne Firewall wie "Sygate Personal Firewall" hat die zeigt an wohin sich die Programme verbinden wollen. + Multi-Zitat Zitieren
#9 10. April 2009 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Istealer entschlusseln No File | xup.in woher weis ich jetzt wohin das ding sich verbindet ? beim istaler kann ma irgendwas mit antivm einstellen ob das jetzt auf vm geh toder nicht weis ich nicht danke alle fuer eure beiträge + Multi-Zitat Zitieren
#10 11. April 2009 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Istealer entschlusseln was auch immer das ist, ich glaube nicht, dass es schädlich ist. haste das richtige geupped? + Multi-Zitat Zitieren
#11 11. April 2009 AW: Istealer entschlusseln lol klar ist das Ding schädlich. Die exe wurde in VB6 gecoded. Die Win API Namen sind verschlüsselt und werden dadurch logischerweise dynamisch geladen. Es erkennt ausserdem noch VMs und andere Online-Analyze Dienste (z.B. Anubis). Das kannste also nur sniffen, wenn du es auf einem normalen Windows startest. Ich schaue es mir morgen vielleicht mal genauer an. + Multi-Zitat Zitieren
#12 11. April 2009 AW: Istealer entschlusseln Ich habe es auf nem normalen Windows gestartet, und es hat sich nirgentwohin verbunden... Das, was man nach dem Ausführen installiert ist zu 99% nicht schädlich. Die Frage ist womit dieser Installer (wenn überhaupt) gebunden wurde (Dann wäre STUB wohl in VB6 geschrieben). + Multi-Zitat Zitieren
#13 13. April 2009 AW: Istealer entschlusseln schonmal beim programmstart an cmd -> netstat -b gedacht? + Multi-Zitat Zitieren
#14 13. April 2009 AW: Istealer entschlusseln Das müsste man aber die ganze Zeit durchspammen^^ Code: netstat -b 1 wäre günstiger. + Multi-Zitat Zitieren
#15 13. April 2009 AW: Istealer entschlusseln @Alex²: Nur weil du keine Verbindungen feststellen konntest, heisst das nicht das es keine gibt. Der Stealer könnte auch Firewall Bypass + ne Rootkit Funktion haben, womit dann sämtliche Verbindungen unsichtbar wären... b2t: Nen Versuch könnte auch Wireshark wert sein, sofern der Istealer seine Verbindungen nicht versteckt.... Als Protokoll oben inner Leiste einfach mal ftp eingeben, falls der dann auf Port 21 zu nem FTP Server verbindet hast du die Daten. Falls der Stealer ne Rootkit-Funktion hat ist es am effektivsten, den Stealer auf nem 2. PC auszuführen und sich dann per ARP Poisioning zwischen den 2. PC und den Router zu klinken. + Multi-Zitat Zitieren
#16 13. April 2009 AW: Istealer entschlusseln Leider müsste sich das Ding dafür an einen Process anheften da die Firewall aber alles abfragt (und ich meine alles, von irgentwelchen Treibern bis zur svchost.exe).Außerdem meldet die Firewall dann auch eine veränderung. Sobalt eine .exe sich auch nur um einen byte verändert fragt die firewall wieder nach. Hab die Sache mal mit Ice Sword durchgeschaut, keine rk's... http://mygully.com/thread/367-istealer-3-0-pw-stealer-1854687/ Wenn das Teil gemeint ist kann man wohl stark davon ausgehen, dass kein rk dabei ist (firewall bypass kann man dort auch nicht einstellen) ^.- Es würde aber meine Binder therorie unterstreichen... + Multi-Zitat Zitieren
#17 21. April 2009 AW: Istealer entschlusseln Vorraussetzung : Vmware installieren [ mit aktuellem windows xp ] Sniffém installieren __ Wir starten unsere vmware und starten direkt danach sniffem gehen auf capture wählen die netzwerkkarte aus dann start wir klicken die stealer.exe an und warten etwa 10 sek dann gehen wir in sniffem und suchen alle protokolle raus wo ftp steht durchsuchen freuen Logs abräumen ps: das gleiche geht auch mit sft + Multi-Zitat Zitieren
#18 21. April 2009 AW: Istealer entschlusseln Leider kann man das nicht auf Virtuellem PC starten (wurde hier auch schon gesagt). Thread lesen --> Posten (In der Reinfolge) + Multi-Zitat Zitieren
#19 25. April 2009 AW: Istealer entschlusseln lol wieso sollte man eine server.exe ( wenn er den iStealer 3.0 meint den use ich selber ) nicht auf vmware starten können ? hab schone tliche .exen darunter auch welche vom istealer 3.0 ausm usenet gezogen und in vmware zerrissen udn die logs abgestaubt .. und wie das geht + Multi-Zitat Zitieren
#20 25. April 2009 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Istealer entschlusseln Wenn N0S sagt, dass man diese .exe nicht auf VM starten kann gehts net... Ging auf meiner VM im übrigen auch nicht. {img-src: //img361.imageshack.us/img361/9733/screensh30li0.jpg} Was fällt dir bei den Optionen so auf (General Options) ? + Multi-Zitat Zitieren