AchtBit
Software-Overclocker(in)
Hat mich doch die scheiss Software kalt erwischt.
Allerdings ist das ganze sehr merkwürdig.
Ich hatte die FW an und das Securitycenter deaktiviert. Mitten auf einer Seite erschiehn plötzlich ein Splash 'Windows XP Security Update'. Das hatr er so schnell ausgeführt, dass ich es nicht mal stoppen konnte.
Gleichzeitig hat sich die SW auch schon im Tray festgebissen und diesen Fake Vierenscanner gestartet. Prozess kicken war nicht. der hat den Handler für Anwendungen modifiziert. Quasi wurde jede Anwendung(auch dll) nicht mehr als 'anwendung.exe' geöffnet, sondern als 'c:\verzeichnis\drecksprogramm\av.exe anwendung.exe'
Sobald man den Prozess killt ist er auch schon wieder da. Ich hab dann erstmal die Notbremse rein und den Prozess in die Warteschleife gesetzt.
Mein Untersuchung ergab, dass das Programm 2 signierte Zertifikate verwendet hat um ins sys zu schleichen. Beide waren nur 1 Tag gültig. Als bemerkung stand in beiden, Zitat 'fraudulent, NOT microsoft'
Desweiteren, verwendete die Software die Console als Benutzer. Was auch seltsam ist, weil ich sämtliche Remote Service deaktiviert habe.
Wie auch immer, hab das den Hard Reset zum rebooten verwendet und im abgesicherten Zustand als Admin erst mal die Datei entfernt. Ausser der Datei wurde auch noch ein Dienst installiert, der aber ohne Hauptprogramm harmlos ist. Nur lässt er sich nicht deaktivieren oder löschen. Vernichtung ging nur mit regedit, nachdem ich den Key in Besitz nahm.
Letztendlich war der User im Arsch, da das Programm innerhalb kürzester zeit mehrere 100 Regeinträge verschoben hat. Darunter die Hardwarekonfiguration und die System Steuerung.
Neuer User und gut ist. Hat sich mal wieder bewährt , dass ich alle SW für jeden installier.
Im Anhang mal ein paar Merkmale des Parasiten. Die Privilegien sowie die Benutzerzugehörigkeit. Eine Liste der wichtigsten Importe in der AV.exe.
Und der Benutzer der Datei. Zuletzt noch die Datei und den Start Parameter
Irgendwie, kann das doch gar nicht sein, dass so eine lausige SW mit, 'Tag der offenen Windows Tür' Privilegien und Microsoft Generalschlüssel, beliebig das System übernimmt. Wie gesagt, kein Remote, kein SecCenter, Firewall aktiv, kein aktives Scrip erlaubt, AV Guard @ heuristic, nichts geladen und die Seite auf der das "update" startete, verwendete kein aktives Script oder Objekte.
Toll, für was der ganze scheiss, wenns 0 bringt.
naja, dann halt Sandkastensurfen und lecken
Allerdings ist das ganze sehr merkwürdig.
Ich hatte die FW an und das Securitycenter deaktiviert. Mitten auf einer Seite erschiehn plötzlich ein Splash 'Windows XP Security Update'. Das hatr er so schnell ausgeführt, dass ich es nicht mal stoppen konnte.
Gleichzeitig hat sich die SW auch schon im Tray festgebissen und diesen Fake Vierenscanner gestartet. Prozess kicken war nicht. der hat den Handler für Anwendungen modifiziert. Quasi wurde jede Anwendung(auch dll) nicht mehr als 'anwendung.exe' geöffnet, sondern als 'c:\verzeichnis\drecksprogramm\av.exe anwendung.exe'
Sobald man den Prozess killt ist er auch schon wieder da. Ich hab dann erstmal die Notbremse rein und den Prozess in die Warteschleife gesetzt.
Mein Untersuchung ergab, dass das Programm 2 signierte Zertifikate verwendet hat um ins sys zu schleichen. Beide waren nur 1 Tag gültig. Als bemerkung stand in beiden, Zitat 'fraudulent, NOT microsoft'
Desweiteren, verwendete die Software die Console als Benutzer. Was auch seltsam ist, weil ich sämtliche Remote Service deaktiviert habe.
Wie auch immer, hab das den Hard Reset zum rebooten verwendet und im abgesicherten Zustand als Admin erst mal die Datei entfernt. Ausser der Datei wurde auch noch ein Dienst installiert, der aber ohne Hauptprogramm harmlos ist. Nur lässt er sich nicht deaktivieren oder löschen. Vernichtung ging nur mit regedit, nachdem ich den Key in Besitz nahm.
Letztendlich war der User im Arsch, da das Programm innerhalb kürzester zeit mehrere 100 Regeinträge verschoben hat. Darunter die Hardwarekonfiguration und die System Steuerung.
Neuer User und gut ist. Hat sich mal wieder bewährt , dass ich alle SW für jeden installier.
Im Anhang mal ein paar Merkmale des Parasiten. Die Privilegien sowie die Benutzerzugehörigkeit. Eine Liste der wichtigsten Importe in der AV.exe.
Und der Benutzer der Datei. Zuletzt noch die Datei und den Start Parameter
Irgendwie, kann das doch gar nicht sein, dass so eine lausige SW mit, 'Tag der offenen Windows Tür' Privilegien und Microsoft Generalschlüssel, beliebig das System übernimmt. Wie gesagt, kein Remote, kein SecCenter, Firewall aktiv, kein aktives Scrip erlaubt, AV Guard @ heuristic, nichts geladen und die Seite auf der das "update" startete, verwendete kein aktives Script oder Objekte.
Toll, für was der ganze scheiss, wenns 0 bringt.
naja, dann halt Sandkastensurfen und lecken
\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3PXVF93R\uk_1bestjob_in[1].htm'
