Hallo Blogger
Habe Maleware im PC gefunden auf die kein gängiger Virenscanner anschlägt schätze wird von der LeakeMafia genuzt !
Maleware greift folgende Punkte an wenn der Trojaner/Virus/Maleware eingepflanz wurde:
- Nisstet sich im Standart Svchost.exe von Windows ein wo für die Steuerung
der Windows Firewall und Windows Audiosystem zuständig ist !
- Übernimmt das komplette Windows OS !
- Übernimmt das Windows Security Center (Datenverkehr wird nicht mehr aufgezeichnet und
Portmeldungen für Firewall fallen weg) !
- Alle Firewall Virenscanner Netzwerkaufzeichnung Software wird ausgehebelt oder deaktiviert !
- Übernimmt das komplette Audiosystem !
- DNS Server wird überschrieben !
- Geraetetreiber für Maus Tastur und Netzwerk Lantreiber werden ersezt !
- Und mit der Backdoor funktion kann der Angreifer in ruhe Biosflashen etc.
So anfangen werden wir mit Patrionen erstellung IDE Zweikanal Primiaer und Secondary 2 mal vorhanden:
1.1 Boot von WindowsXP Installations CD werden oben 2 Patrionen angezeit auf die man kein zugriff bekommt egal was man versucht Boot per Windows98 CD und starten von FDISK werden beide oberen Patition nicht gefunden! (erstellt Patrione C: ist das Virtuelle Volumen oder Netzwerklaufwerk des Angreiffers)Windows Vista und Windows 7 wird Orginal Festplatte schon garnet mehr angezeigt man bekommt nur noch Zugriff auf das Virtuelle Volumen oder Netzwerklaufwerk !
1.2 Booten von Suse Linux wird beim boot des Suse setups nach HDD gesucht sonst würde normal der Bootvorgang des Setups stehen bleiben kein IDE gefunden bei mir Bootet es einfach weiter und bekomme dann bei Patrionen erstellung im SuseLinux Bildschirm angezeigt Keine Festplatte vorhanden! (siehe Bild 3)
1.3 Nach erstellung der gesplitteten Festplatte mit WindowsXP CD boot von Paragon RettungsCD gesplittete Festplatte sichtbar nur kein zugriff auf das Volumen (Patrione) des Angreifers erst nach 1 start des Windwos System bekommt man zugriff auf die vorher gesperrte Patrione .
Hier Bsp. mit einer 20 GB Festplatte mit Windows XP
Backup erstellung und wiederherstellung:
2.1 So jetz haben wir Windows installiert und haben ein Backup per Paragon Drivebackup erstellt und wollen es wieder aufspielen 1 Bild zeigt Orginal Backup aufspielung alle 3 Arbeits- (Fortschrittbalken arbeiten der oberste ist für den unterprozes zustaendigt das heisst Image hat eine Nummereische aufteilung z.b. 1-10 und der Balken ist dafür zuständig das 1 Paket des Images anzuzeigen und fängt beim 2 Paket wieder von vorne an)
2.2 Hier eine backup aufspielung nach überschriebendem Masterboot der Festplatte (zum Netzwerklaufwerk geflasht oder ein Virtuelles Volumen wird dann mit Netboot gebootet) obere Balken arbeitewt nicht
2.3 Nach Insallation von WindowsXP (Nlite ohne Netzwerk ohne Remotesystem ohne Syncsystem) wird das geflashte Netzwerklaufwerk bsp. O&O Defrag nicht gefunden als ob keine Festplatte eingebaut ist !
Windows Vista/7 OS Attacke:
3.1 Bsp. CCleaner und Sweepi Verknüpfung ersten 4 Bilder zeigen ein Vista Rechner nach Backup aufspielung 1 Neustart noch nicht Infected ersten 2 Bilder 2 Neustart nächsten 2 Bilder Infected !
Clean
Infected !
3.2 Bsp. Media Monkey Vista Rechner 1 Neustart 1 Bild 2 Neustart 2 Bild
Clean
Infected !
Infected OS VistaOEM
Desktop:
Verwaltung:
RuBotted No Bot Found:
3.3 PKR Client verknuepfung ist eine fremdeOS verknuepfung
PC ohne Internetanschluss mit komplett endferntem Netzwerk und Syncronisiersystem Avira Virusdefinition
(06.08.2010)
3.4 Infizierter Windows 7 Rechner nach Backup aufspielung 1 Neustart Lan Verbindung wird nicht mehr in der Taskleiste angezeigt man kann sie auch nicht wiederherstellen und Sweepi installiert nach Infected Xpantispy ist mit auf em Backy
Modifizierte Treiber werden istalliern:
4.1 Erster Boot nach Windowsinstallation werden Volumetreiber von Windows ersezt damit wird die Tür auf der Festplatte aufgemacht Paragon Patrionen reinfolge Orginal siehe bild
zweites Bild zeigt Windowsreihnfolge nach installation gemoddeter Volumentreiber (I: war die gesperrte Patrione)
4.2 Gehackte Treiber install sichtbar IDE treiber haben wir 2 mal Primäre IDE Kanal und 2 mal Sekundärer IDE Kanal als wären 2 Festplatten und 4 DVD Laufwerke eingebaut und ein Zweikanal PCI IDE Controller wird installiert dann wird an einem PC ohne PS/2 Schnittstelle Microsoft PS/2 Maus und PC/AT-PS/2 Tastatur (84 Tasten) oder Erweiterte PC/AT-PS/2-Tastatur (101/102) installiert vermute Keylogger des Angreiffers und es werden 2 HID USB Keyboard Treiber installiert ! (siehe bild)
Biosflashs:
5.1 Geflashte Biosinformation Biosgeflasht Realtek Audio Input wird von windows nicht erkannt auch kein Stecker erkennung mehr (Popup fenster Stecker eingesteckt oder endfernt) angeschlossen ist ein Digital Reciver TV audio Input wird nicht erkannt !
5.2 Geflashter USB TV Stick wird von Remotedesktop nicht erkannt man kann aber ohne Probleme TV kucken Treiber werden ausgetauscht durch kaputt oder Syntreibern
5.3 Geflastes Bios Teil 2 hier auf dem Bild zusehen wurde das Bios geflasht ACPI Controller wurde gehijackt zuständig für Ruhezustand,Sleep-Modus,Standby-Modus PC Stromsparmodus und Advanced Configuration and Power Interface.
5.4 Boot versuch eines geflashten PCs mit Windows98 OEMCD Image ist nicht als Container Datei auf Festplatte hinterlegt also sagt mir der PC No valid CDROM Devices Drive selected
Vista:
6.1 Versteckter Autostartdes Angreiffer von Gesynctem Remotesystem
6.2 CyperLink Powerdirector Speicher unter wird von angreiffer Kontolliert keine rechte
Hier ein Bsp. Video von der Funktion Speicher unter Rechts Meine Festplatte Links wird auf das Virtuelle Volumen zugegriffen !
Motorolla Router von Unitymedia Server einwahl wird Attackiert
7.1 Hier wird die einwahl auf den Server des Anbieter unterbrochen und umgeleitet siehe Video
Orginal Einwahl
Angriff durch Hacker auf die Einwahl zum Server des Anbieters, einwahl wird umgeleitet! ! !
Active X Adobe Flash Player Plugin:
8.1 Installiert für Internet Explorer und Mozilla Firefox siehe Bild beide Browser öffnen kein Youtube Video
Fehlermeldung kein Plugin bitte Installieren gemacht geht auch nicht
Firefox Internetexplorer Recaptcha anfrag über gehackten Proxy
8.2 Recaptcha Anfrage nach Infizierung eines Bot Virus
8.3 Download Links werden gändert oder Umgeleitet !
Internetexplorer
8.4 Windows 7 bei einem neu gekauftem PC 1 Start nach einkauf noch nix Installiert oder geändert diese Meldung ein Programm beschädigt den Suchanbieter des Internetexplorer !
WindowsMediacenter Aufnahme Ordner mit Angreiffer Volumen Vernknüpft wird per Remodedesktop geoeffnet
9.1 Windows Media Center nach backup aufspielung falsch verknuepft mit Angreiffer Volumen meine Platte ist Schreibgeschüzt kann kein Ordner auf Volumen erstellen für Aufnahme
9.2 Video Remotedesktop Mediacenteraufname mit Angreiffer Volumen Verknuepft hat kein Zugriff auf das Volumen stürzt ab bei erstellung der Aufnahme Datei
9.3 Gesynctes MediaCenter des Angreiffers schmiert ab und meins läuft im Hintergrund weiter
9.4 Windows 7 1 abmeldung nach 1 start Fremder Benuzter auf System angemeldet
Spiele
10.1 Orginal gekauftes Steam Produkt (OrangeBox von valve) siehe bild
So wenn man jetz ein Spiel bsp. TeamFortress2 spielt und unerwartet schnell beendet bekommt man die Meldung Steam Client is Syncing wird ca. für 2 sec angezeigt und dann beendet steam automatisch wenn man schnell genug ist kann man die Meldung mit der Maus festhalten so ist der Screenshot erstanden
10.2 Server Anfrage Gesyncter TeamFortress 2 Client
10.3 So Loggt man sich aus Steam aus und sofort wieder an wird endweder diese Meldung (siehe bild)
Your Account ... is currently in use another Maschine heisst im klartest ein andere Nutzer nuzt mein Steam Account oder Loginfenster geht auf und man muss ein 2 mal sein Steam Passwort eingeben obwohl Passwort Speichern eingestellt ist ! (siehe bild) Startet man PC jetz neu und kappt internetverbindung also laesst sich eine neue IP zuweissen Meldet sich Steam ganz normal wieder an ohne Passwort abfrage !
10.4 Nach 1 Woche daddeln mit Steam ist die Firewalmeldung aufgegangen
gameoverlayUI.exe
Buildbot_winslave01_Steam_rel_client_win32@winslave01
Hacker können mit Programmen ihre Persöhnlichen Daten stehlen oder die Kontrolle
über ihren PC übernehmen.
10.5 Gesyncter Steam Account Server Anzeige sichtbar der Proxy Server des Angreiffer (Angreiffer Admin auf dem Server) 2 mal Kifferstübchen obere Orginal untere Proxy Server des Angreiffers
10.6 Hier wird der Pokerstarstisch Angegriffen durch eine Clickjacking Attack damit wird das Steuerungsystem Fold Call etc angegriffen
10.7 Hier selbes System 5 min Später Clickjacker nicht mehr active
10.8 Liveübertragung für den Angreiffer
10.9 Hier wird von Pokerstart Client der Update Funktion deaktiviert Server und Clientprotokoll veralltet offline Gaming (ein monat gespielt ohne Meldung bis ich mit Support Kontakt aufgenommen hab 375 Dolar gewinn in 3 Tagen verloren 00)
10.10 Pokerheaven Interface Hijack Abmeldebutton fehlt
10.11 Hier Pokerheaven mit activen OS
10.12 Splitscreen PKR 1zu1 Live Übertragung
10.13 Hier bsp. Videos für den SplitcreenmodAngreiffer sieht mein Tisch 1 zu 1 mit aufgedeckten Karten und über Teamspeak wird den Leuten verraten was man auf der Hand hat
10.14 Hier Versucht Angreiffer es schon zu verstecken mit Schwarezer abdeckung
10.15 Hier wurde Orginal Lizenzschluesselgelöscht und der Server wird per Patch geaendert so das man auf Privatserver angemeldet wird
11.1 Orginal Playstaion 3 ohne Flashs etc. (Alles ORGI) Xbox 360 2 Tage alt wird Orginal gekauftes Need for Speed Most Wanted eingelegt und der Desktop ist gekommen :)
Kompletter Steam Client wird Syncronisiert:
10.1 Orginal gekauftes Steam Produkt (OrangeBox von valve) siehe bild
So wenn man jetz ein Spiel bsp. TeamFortress2 spielt und unerwartet schnell beendet bekommt man die Meldung Steam Client is Syncing wird ca. für 2 sec angezeigt und dann beendet steam automatisch wenn man schnell genug ist kann man die Meldung mit der Maus festhalten so ist der Screenshot erstanden
10.2 Server Anfrage Gesyncter TeamFortress 2 Client
10.3 So Loggt man sich aus Steam aus und sofort wieder an wird endweder diese Meldung (siehe bild)
Your Account ... is currently in use another Maschine heisst im klartest ein andere Nutzer nuzt mein Steam Account oder Loginfenster geht auf und man muss ein 2 mal sein Steam Passwort eingeben obwohl Passwort Speichern eingestellt ist ! (siehe bild) Startet man PC jetz neu und kappt internetverbindung also laesst sich eine neue IP zuweissen Meldet sich Steam ganz normal wieder an ohne Passwort abfrage !
10.4 Nach 1 Woche daddeln mit Steam ist die Firewalmeldung aufgegangen
gameoverlayUI.exe
Buildbot_winslave01_Steam_rel_client_win32@winslave01
Hacker können mit Programmen ihre Persöhnlichen Daten stehlen oder die Kontrolle
über ihren PC übernehmen.
10.5 Gesyncter Steam Account Server Anzeige sichtbar der Proxy Server des Angreiffer (Angreiffer Admin auf dem Server) 2 mal Kifferstübchen obere Orginal untere Proxy Server des Angreiffers
Pokerstars Clickjacking Attack:
10.6 Hier wird der Pokerstarstisch Angegriffen durch eine Clickjacking Attack damit wird das Steuerungsystem Fold Call etc angegriffen
10.7 Hier selbes System 5 min Später Clickjacker nicht mehr active
10.8 Liveübertragung für den Angreiffer
10.9 Hier wird von Pokerstart Client der Update Funktion deaktiviert Server und Clientprotokoll veralltet offline Gaming (ein monat gespielt ohne Meldung bis ich mit Support Kontakt aufgenommen hab 375 Dolar gewinn in 3 Tagen verloren 00)
10.10 Pokerheaven Interface Hijack Abmeldebutton fehlt
10.11 Hier Pokerheaven mit activen OS
10.12 Splitscreen PKR 1zu1 Live Übertragung
10.13 Hier bsp. Videos für den SplitcreenmodAngreiffer sieht mein Tisch 1 zu 1 mit aufgedeckten Karten und über Teamspeak wird den Leuten verraten was man auf der Hand hat
10.14 Hier Versucht Angreiffer es schon zu verstecken mit Schwarezer abdeckung
Command & Conquer Red Alert 3
Unreal Tournament 3
10.16 Hier wird das Installations Paket 2 mal geöffnet und gab auch eine Firewall meldung Setup versucht auf das Internet zuzugreiffen (leider kein foto) und Patch 1.5 wird auch der Server gepatch bekommt man kein zugriff auf Server mehr wenn man es Standart lässt kann man Online gehen !
10.17 Zweites MSI Paket versucht auf Internet zuzugreifen
(Leider kein Foto Firewallevent)
Call of Duty Blackops
10.18 mit UMTS Stick Ping Standart 120-300 1 monat später gehackter Steamaccount
bin mit Angreiffer DSL verbunden siehe Ping
Die betonung liegt auf UMTSSTICK LAPTOP !
Playstaion 3 Xbox 360:
11.1 Orginal Playstaion 3 ohne Flashs etc. (Alles ORGI) Xbox 360 2 Tage alt wird Orginal gekauftes Need for Speed Most Wanted eingelegt und der Desktop ist gekommen :)
Xbox 360 Boot Flash
11.2 Need for Speed Hot Prusit 2 geflashter WirlessCotroler man Steuert zwei Autos merkt man in den Kurven an den Fliegkraeften und wenn ein neues Spiel startet kann man nicht sofort Pause druecken dauert fast 5 Sek. bis Angreiffer Xbox oder Virtuellemaschiene Syncron sind
Hier bsp. für Bot Trojaner vom SymcSecurityResponseTeam
(Falls Link nicht gehen durch Spy bitte in Youtube SymcSecurityResponse eingeben werden alle videos angezeigt)
Zeus Bot Trojaner (USA)
http://www.youtube.com/watch?v=CzdBCDPETxk (modifizierter link vom Spy)
Ghost Net Trojaner (China)
Spyeye (USA)
Neuster Hit Autorun Infector USB DVD Autostart Viren
http://www.youtube.com/watch?v=xgVecDefOMg
(Modifiziert durch Spy)
(Kopieren Einfügen Danke)
http://www.youtube.com/watch?v=xgVecDefOMg
Fake security Center
http://www.youtube.com/watch?v=nRgkFt0NLsw
Clickjacking Attack Bsp. Facebook
http://www.youtube.com/watch?v=jgAO8WU2lp0
(Modifiziert durch Spy)
(Kopieren Einfügen Danke)
http://www.youtube.com/watch?v=jgAO8WU2lp0
DrWeb Live CD Logfile 20.11.10
Bitdefender ZbotRemovalTool
Hier sind noch ein Paar Videos auf Youtube für bessere Qualy
http://www.youtube.com/watch?v=7XwLcYEeEKw
