Evild3ad

Reveton.C (GVU-Trojaner mit Webcam) entfernen (Vista/Win7)

Posted on July 23, 2012 by evild3ad

1.) Starten Sie den Rechner neu (mit der Reset-Taste oder dem Ein-/Ausschalter) und drücken Sie nach dem BIOS und noch vor dem Windows-Logo die F8-Taste, um in die erweiterten Startoptionen von Windows 7 zu gelangen. Wählen Sie hier dann die Startoption ‘Abgesicherter Modus‘ aus.

2.) 2.) Melden Sie sich als Administrator am System an und öffnen Sie anschließend die ‘Ordneroptionen‘:
Start → Systemsteuerung → Ordneroptionen → Registerkarte ‘Ansicht’

Nehmen Sie hier folgende Einstellungen vor:

3.) Bevor Sie die Autostart-Verknüpfung löschen, klicken Sie zunächst mit der rechten Maustaste auf die Verknüpfung und wählen Sie ‘Eigenschaften‘ aus.

C:\Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk (z.B. ctfmon.lnk)
oder alternativ Start → Alle Programme → Autostart

Unter ‘Ziel:‘ ist hier der Pfad angegeben, unter dem sich die Datei ‘Reveton.C.dll‘ befindet. Löschen Sie die verlinkte Datei. Die Datei kann beispielsweise er_00_0_l.exe, 0_0u_l.exe oder fest0r_ot.exe heißen.

4.) Löschen Sie nun die Verknüpfung unter Autostart:
C:\Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk (z.B. ctfmon.lnk)

5.) Löschen Sie anschließend die *.pad-Datei unter folgendem Pfad:
C:\ProgramData\*.pad (z.B. noteveR.pad)

6.) Klicken Sie oben in der Symbolleiste des Internet Explorers auf ‘Extras‘ und wählen Sie ‘Internetoptionen‘ aus. Wählen Sie die Karteikarte ‘Sicherheit‘ und aktivieren Sie wieder den ‘Geschützten Modus‘ und setzen Sie abschließend alle Zonen auf die Standardstufe zurück.

Obwohl Ihr Computer jetzt wieder freigeschaltet ist, kann das System weiterhin als kompromittiert betrachtet werden! Die Integrität der gespeicherten Daten ist nicht mehr gewährleistet. Reveton.C liest beispielsweise auch die im Internet Explorer gespeicherten Passwörter aus. Grundsätzlich empfiehlt es sich daher, infizierte Systeme (nach einer vorangehenden Datensicherung) komplett neu aufzusetzen. Dies schließt eine Formatierung der Festplatte mit ein. Außerdem sollte auch immer der Master Boot Record überschrieben werden.

Abschließend wird darauf hingewiesen, dass es heutzutage unabdingbar ist, Betriebssystem, Browser inklusive der Plugins sowie die Anwendungen ständig auf dem aktuellen Stand zu halten.

Tipp: Secunia Personal Software Inspector (PSI)

Eine unbekannte Datei, die man beispielsweise als Dateianhang einer E-Mail erhält, sollte niemals ausgeführt werden. Prüfen Sie, ob der Empfang rechtmäßig ist bzw. ob Sie mit dem Empfang der E-Mail gerechnet haben und prüfen Sie den Text auf Rechtschreib- und Ausdrucksfehler. Sollte die E-Mail trotzdem den Anschein haben, dass sie berechtigterweise versandt wurde, halten Sie telefonische Rücksprache mit dem Absender (die Telefonnummer finden Sie in Ihren Vertragsunterlagen oder auf der offiziellen Webseite des jeweiligen Anbieters). Seien Sie nicht nur bei Dateianhängen vorsichtig, sondern auch bei Links innerhalb von solchen E-Mails. Der Link kann Sie auch direkt zu einem sogenannten Exploits Kit weiterleiten und Ihren Computer infizieren.

Links:
Reveton.C (GVU-Trojaner mit Webcam)
Reveton.C (GVU-Trojaner mit Webcam) entfernen (XP)

Posted in BKA-Trojaner, Deutsch, Ransomware, Reveton | 29 Comments

Reveton.C (GVU-Trojaner mit Webcam) entfernen (XP)

Posted on July 23, 2012 by evild3ad

1.) Starten Sie den Rechner neu (mit der Reset-Taste oder dem Ein-/Ausschalter) und drücken Sie nach dem BIOS und noch vor dem Windows-Logo die F8-Taste, um in die erweiterten Startoptionen von Windows XP zu gelangen. Wählen Sie hier dann die Startoption ‘Abgesicherter Modus‘ aus.

2.) Melden Sie sich als Administrator am System an.

3.) Wählen Sie die ‘Ordneroptionen‘ an und nehmen Sie hier folgende Einstellungen vor:
Start → Systemsteuerung → Ordneroptionen → Registerkarte ‘Ansicht‘

4.) Bevor Sie die Autostart-Verknüpfung löschen, klicken Sie zunächst mit der rechten Maustaste auf die Verknüpfung und wählen Sie ‘Eigenschaften‘ aus:

C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\*.lnk (z.B. ctfmon.lnk)

Unter ‘Ziel:‘ ist hier der Pfad angegeben unter dem sich die Datei ‘Reveton.C.dll‘ befindet. Löschen Sie die verlinkte Datei. Die Datei kann beispielsweise er_00_0_l.exe, 0_0u_l.exe oder fest0r_ot.exe heißen.

C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp\Reveton.C.dll

5.) Löschen Sie nun die Verknüpfung unter ‘Autostart‘:
C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart\*.lnk (z.B. ctfmon.lnk)

6.) Löschen Sie anschließend die *.pad-Datei unter folgendem Pfad:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.pad (z.B. noteveR.pad)

7.) Klicken Sie oben in der Symbolleiste des Internet Explorers auf ‘Extras‘ und wählen Sie ‘Internetoptionen‘ aus. Wählen Sie die Karteikarte ‘Sicherheit‘ aus und setzen Sie abschließend alle Zonen auf die Standardstufe zurück.

Abschließend wird darauf hingewiesen, dass es heutzutage unabdingbar ist, Betriebssystem, Browser inklusive der Plugins sowie die Anwendungen ständig auf dem aktuellen Stand zu halten.

Tipp: Secunia Personal Software Inspector (PSI)

Posted in BKA-Trojaner, Deutsch, Ransomware, Reveton | 27 Comments

Reveton.C (GVU-Trojaner mit Webcam)

Posted on July 20, 2012 by evild3ad

Seit Mitte Juni 2012 ist eine neue Ransomware in Deutschland im Umlauf, die neben dem GVU- und BSI-Logo auch ein Webcam-Fenster aufweist. Eine Einblendung mit GVU- und BSI-Logo ließ bislang den Schluß auf die Ransomware ‘Gimemo‘ zu. Eine einfache Zuordnung anhand der eingeblendete Grafik ist somit obsolet und eine genauere Betrachtung empfehlenswert. Entscheidend ist, welche Schadsoftwarefamilie tatsächlich dahinter steckt.

Die Verteilung der Malware läuft über das BlackHole Exploits Kit, das den Rechner beim Besuch einer präparierten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploits Kit ein Schlupfloch gefunden, infiziert es den Rechner nach Prüfung der IP-Adresse (Geo-Location) mit Reveton.C als Payload.

Reveton.C.dll (MD5: 5265A333F7B18200095F882F3A49103D)
Submission date: 2012-06-23 11:06:02 UTC
Result: 26/42
Report

Ausführbare Dateien, wie .exe, .bat, .cmd, .com und .pif, können einfach mittels Doppelklick gestartet werden. Um eine DLL-Datei auszuführen wird das Programm rundll32.exe sowie der richtige Funktionsname aus der Export Table als Startparameter benötigt:

rundll32 DLLname, Export arguments → rundll32 Reveton.C.dll, FQ10 (oder FQ11)

Abhängig vom ‘Absende-Button‘, erscheinen verschiedene Message-Boxes bei Eingabe eines ungültigen Codes:

Windows XP

Kontoname: evild3ad | Kontotyp: Administrator

File System Modifications
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.pad (Hidden)
Hier werden u.a. vom C&C empfangene Daten gespeichert.
C:\Dokumente und Einstellungen\evild3ad\Startmenü\Programme\Autostart\*.lnk (z.B. ctfmon.lnk)
damit Reveton.C.dll bei jedem Windows Start automatisch gestartet wird
C:\Dokumente und Einstellungen\evild3ad\Lokale Einstellungen\Temp\Reveton.C.dll (Hidden)

Registry Modifications
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500=3
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500=3
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500=3
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500=3
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2500=3
HKCU\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner=1

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “2500″ wird bei allen Sicherheitszonen auf “3″ (Disable) gesetzt, um den Protected Mode vom Internet Explorer zu deaktivieren. Der geschützte Modus ist ein Feature, mit dem es bösartiger Software erschwert werden soll, sich auf einem Computer zu installieren.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609=0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609=0

Der Registrierungswert “1609″ (Display mixed content) wird auf “0“ (Enable) gesetzt. Mit dieser Richtlinieneinstellung werden dem Benutzer nicht sichere Elemente anzeigt bzw. auch Seiten, die sowohl sichere als auch nicht sichere Elemente enthalten.

HKLM\System\CurrentControlSet\Control\MediaResources\msvideo (Webcam Treiber)
HKCU\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x1080x32(BGR 0) = 31,31,31,31 (bildschirmfüllende Einblendung)

Die typischen Winlock-Funktionalitäten einer Ransomware, wie DisableTaskMgr, DisableRegistryTools, DisableRegedit, NoDesktop und HideIcons sind beim Reveton.C nicht gegeben. Ein Aufrufen des Windows Task Managers ist trotzdem nicht möglich. Die Malware überwacht den Prozess TASKMGR.EXE und wenn dieser gestartet wird, wird er sofort mittels WM_CLOSE Nachricht wieder beendet. Eine WM_CLOSE Nachricht wird beispielsweise an ein Fenster geschickt, wenn der Benutzer das x rechts oben in der Titelleiste drückt, über das Systemmenü ‘Schließen‘ anwählt oder ALT + F4 drückt.

Windows 7

Kontoname: evild3ad | Kontotyp: Administrator

File System Modifications
C:\ProgramData\*.pad (Hidden)
Hier werden u.a. vom C&C empfangene Daten gespeichert.
C:\Users\evild3ad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk (z.B. ctfmon.lnk)
damit Reveton.C.dll bei jedem Windows Start automatisch gestartet wird
C:\Users\evild3ad\AppData\Local\Temp\Reveton.C.dll (Hidden)

HKLM\System\CurrentControlSet\Control\MediaResources\msvideo (Webcam Treiber)
HKCU\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x1080x32(BGR 0) = 31,31,31,31 (bildschirmfüllende Einblendung)

DNS Requests
www.google.com
ssl.gstatic.com
p5.3xayeh2pdvas4.hlcamnbizbppmpll.802435.i1.v4.ipv6-exp.l.google.com
p5.3xayeh2pdvas4.hlcamnbizbppmpll.802435.i2.ds.ipv6-exp.l.google.com

HTTP Requests
C:\Programme\Internet Explorer\iexplore.exe Connects to “173.194.35.151″ on port 80 (HTTP).
C:\Programme\Internet Explorer\iexplore.exe Connects to “146.185.218.52″ on port 443 (HTTPS). → PID 1020
C:\Programme\Internet Explorer\iexplore.exe Connects to “173.194.35.147″ on port 80 (HTTP).
C:\Programme\Internet Explorer\iexplore.exe Connects to “173.194.70.120″ on port 80 (HTTP).
C:\Programme\Internet Explorer\iexplore.exe Connects to “173.194.70.105″ on port 80 (HTTP).
C:\Programme\Internet Explorer\iexplore.exe Connects to “173.194.70.106″ on port 80 (HTTP).

Der Prozess iexplorer.exe mit der PID 1020 baut hier die HTTPS-Verbindung zum C&C-Server auf.

Bereits nach 1 Tag sind 17.291 Rechner in Deutschland infiziert. Reveton is the Big Player!

Links:
Reveton.C (GVU-Trojaner mit Webcam) entfernen (Win7)
Reveton.C (GVU-Trojaner mit Webcam) entfernen (XP)

Posted in BKA-Trojaner, Deutsch, Malware Forensics, Ransomware, Reveton | Leave a comment

How to install Volatility on Ubuntu 12.04 LTS

Posted on July 1, 2012 by evild3ad

Updated 2012-09-09

1.) Installing SVN and Basic Dependencies

# apt-get install subversion pcregrep libpcre++-dev python-dev -y

2.) Installing Distorm3

# wget http://distorm.googlecode.com/files/distorm-package3.1.zip
# unzip distorm-package3.1.zip
# cd distorm3
# python setup.py build
# python setup.py build install
# cd ..

3.) Installing G++

# apt-get install build-essential

4.) Installing YARA

# wget http://yara-project.googlecode.com/files/yara-1.6.tar.gz
# tar -xvzf yara-1.6.tar.gz
# cd yara-1.6
# ./configure
# make
# make check
# make install
# cd ..

5.) Installing Yara-Python

# wget http://yara-project.googlecode.com/files/yara-python-1.6.tar.gz
# tar -xvzf yara-python-1.6.tar.gz
# cd yara-python-1.6
# python setup.py build
# python setup.py build install
# cd ..

If you are on Ubuntu you will need to also run the following commands:

# echo “/usr/local/lib” >> /etc/ld.so.conf
# ldconfig

6.) Installing GMP

# apt-get install libgmp3-dev

7.) Installing PyCrypto (Python Cryptography Toolkit)

# wget http://ftp.dlitz.net/pub/dlitz/crypto/pycrypto/pycrypto-2.6.tar.gz
# tar -xvzf pycrypto-2.6.tar.gz
# cd pycrypto-2.6
# python setup.py build
# python setup.py build install
# cd ..

8.) Installing Sqlite3

# apt-get install sqlite3 libsqlite3-dev

9.) Installing Volatility 2.1 RC1 from SVN

# svn checkout http://volatility.googlecode.com/svn/trunk Volatility

10.) Installing the Malware Plugins

# wget http://code.google.com/p/malwarecookbook/source/browse/trunk/malware.py

Place the plugin in the ‘plugins’ directory within the Volatility directory (/Volatility/volatility/plugins/).

11.) Go into your Volatility directory and check your supported plugin commands

python vol.py -h

Note: To update your repository you can run the following command from inside the trunk directory:

# svn update

Links:
Example usage cases and output for Volatility 2.1 commands
Volatility 2.1 Features by Plugin
Basic Usage for Volatility 2.1
Volatility Documentation Project (VDP) 2.0
Yara - A malware identification and classification tool

Posted in English, Memory Forensics, Volatility | 1 Comment

GVU-Trojaner aka Gimemo (BSI.bund.exe)

Posted on May 17, 2012 by evild3ad

Seit dem 15. Mai treibt eine neue Variante des GVU-Trojaners aka Gimemo ihr Unwesen. Zu den wesentlichen Neuerungen zählen:

- Anhebung des geforderten Lösegeldes von 50 Euro auf 100 Euro
- Ukash als weitere Zahlungsmittel
- Einsatz in weiteren Ländern (Griechenland, Italien - SIAE, Portugal - SPAUTORES, Spanien - SGAE)

Achtung: Tätigen Sie keine Zahlung per Paysafecard oder Ukash! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.

Download:
BSI.bund.rar
PW: evild3ad.com

BSI.bund.exe (MD5: D1F3C1EFBC75D4CDC53241D85CBB8CAF)
Submission date: 2012-05-17 07:17:56 UTC
Result: 21/42
Report

Windows XP

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
C:\Dokumente und Einstellungen\evild3ad\Lokale Einstellungen\…
…Temporary Internet Files\Content.IE5\DP3ZWS8V\desktop.ini
…Temporary Internet Files\Content.IE5\DP3ZWS8V\httpErrorPagesScripts[1]
…Temporary Internet Files\Content.IE5\RI8P99W5\background_gradient[1]
…Temporary Internet Files\Content.IE5\RI8P99W5\desktop.ini
…Temporary Internet Files\Content.IE5\RI8P99W5\down[1]
…Temporary Internet Files\Content.IE5\S839LHAY\bullet[1]
…Temporary Internet Files\Content.IE5\S839LHAY\desktop.ini
…Temporary Internet Files\Content.IE5\S839LHAY\errorPageStrings[1]
…Temporary Internet Files\Content.IE5\S839LHAY\ErrorPageTemplate[2]
…Temporary Internet Files\Content.IE5\XKY2PV1E\desktop.ini
…Temporary Internet Files\Content.IE5\XKY2PV1E\dnserrordiagoff_webOC[1]
…Temporary Internet Files\Content.IE5\XKY2PV1E\info_48[1]
…Temporary Internet Files\Content.IE5\XKY2PV1E\navcancl[1]
…Verlauf\History.IE5\MSHist012012051720120518\index.dat

Registry:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{QbUUmTWv-vB5o-PUu5-6nzJ-qFZqif61VYcq}\ZZChw4ZycSefR9n = “C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe” /ActiveX
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 01000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZZChw4ZycSefR9n = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideIcons = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CachePath
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CachePrefix = :2012051720120518:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CacheLimit = 00200000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012051720120518\CacheOptions = 0B000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1400 = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = 01000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ZZChw4ZycSefR9n = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\Dokumente und Einstellungen\evild3ad\Anwendungsdaten\BSI.bund.exe

Die empfohlenen Sicherheitseinstellungen im Internet Explorer werden reduziert. Der Registrierungswert “1400″ (Active Scripting”) wird bei den o.g. Sicherheitszonen auf “0″ (aktiv) gesetzt. Das Formular bzw. Eingabefeld für die PIN ist in einer HTML-Page eingebettet und kann nun mittels ActiveX gerendert werden und nach Validierung der PIN mittels JavaScript an den Schurken-Server übermittelt werden.

DNS Requests:
baueschsux.com (89.208.155.250)
artbaueschsux.com (89.208.155.250)
ajax.googleapis.com

HTTP Requests:
baueschsux.com/partner3_2/redirector/redirector.php (Ransom landing Geo Redirector)
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/index.php
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/fresh_buttons/buttons.css
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/js/keyboard.js
artbaueschsux.com/partner3_2/universalbezahlung/deutschland/bg.gif
artbaueschsux.com/partner3_2/universalpanel/gate.php?hwid=xxx&pc=xxx&localip=xxx&winver=xxx (Aldibot home)
artbaueschsux.com/ajax/libs/jquery/1.3.2/jquery.min.js

Infektionsweg:
Die Verteilung der Malware läuft über das BlackHole Exploit Kit, das den Rechner beim Besuch einer präparierten Webseite zu einem BlackHole-Server umleitet und auf bekannte Sicherheitslücken in Java, Adobe Reader, Flash und Windows abklopft (Drive-By-Infektion). Hat das Exploit Kit ein Schlupfloch gefunden, infiziert es den Rechner mit dem GVU-Trojaner (Payload).

Es ist daher unabdingbar Betriebssystem, Browser (inkl. Plugins) und Anwendungen ständig auf dem aktuellen Stand zu halten. Tipp: Secunia Personal Software Inspector (PSI)

Bereinigung des infizierten Systems (bka-trojaner.de):
Anleitung für Windows XP / Vista / 7