Hilfe - Was macht dieser Schadecode?

  • Word

Es gibt 7 Antworten in diesem Thema. Der letzte Beitrag () ist von Kelariel.

    Hilfe - Was macht dieser Schadecode?

    Hallo Leute,

    ich bin gerade am verzweifeln,
    Mein schlauer Kollege meint, eben hat sich eine Mail "von allein" geöffnet in der ein docm Dokument war.
    Ich habe jetzt mit viel Mühe und not diesen Code aus dem Makro, welches dort enthalten war, rausfiltern können.
    Soweit ich das sehe scannt der alle Laufwerke. Aber mehr erkenne ich Neuling leider nicht.
    Sein Rechner ist jetzt erstmal vom Netz genommen.
    Mir ist es etwas unangenehm und hoffe, dass niemand den Schadcode missbraucht, aber kann mir bitte jemand sagen, was der macht?

    Sollte das gegen die Nutzungsregeln verstoßen, bitte ich den Thread sofort zu schließen.

    Bitte helft mir.

    Besorgte Grüße

    Ich habe mal sicherheitshalber den Code entfernt... ~Thunderbolt

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Thunderbolt“ ()

    Also auf den ersten Blick ganz klar ein Schadcode.
    Schau mal im Temp Ordner, da sollte eine Datei : \isnovas2.exe geben. Die wird geöffnet.
    Ich editiere den Post wenn ich alles sagen kann was gemacht wird.

    EDit:

    Er sendet einen GET Request zu dieser Adresse: ht.tp://***.com/0hb765
    (Extra einen Punkt damit der Link nicht klickbar ist)
    Laut Virustotal teilweise als malicious eingestuft
    virustotal.com/de/url/95ec5d6c…e91f/analysis/1468938057/

    Es dürfte nicht der komplette Code sein. Ich schätze iwo muss es noch einen Aufruf geben sowas wie OnOpen Macro oder so

    //EDIT2:
    Die Datei die versucht wird zu öffnen liegt vermutlich in diesem Verzeichnis:
    C:\Users\UserName\AppData\Local\Temp.
    Einfach mal folgendes in einer Textdatei mit der Endung .VBS speichern und ausführen. Dort versucht er die Datei zu finden:

    Visual Basic-Quellcode

    1. Dim w,p
    2. Set w = CreateObject("Wscript.shell")
    3. Set p = w.environment("Process")
    4. wscript.echo (p("Temp"))



    OK er versucht von der Site den ResponseBody als Datei "C:\Users\UserName\AppData\Local\Temp\isnovas2.exe" zu speichern
    und diese dann zu öffnen. Es soll also den eigentlichen Virus vermutlich runterladen und ausführen. Allerdings sehe ich keinen Aufruf in deinem gezeigten Code. Es sollte iwo noch ein OnOpen Macro geben.

    //EDIT3:

    Also für mich versucht die Worddatei eine Datei von oben genannter URL zu laden. Bei dieser handelt es sich um einen bösartigen Virus. Laut McAfee wohl ZBOT. Wenn das stimmt und der Download erfolgt ist, dann empfehle ich den PC komplett zu formatieren und neu aufsetzen.


    LG

    Link zur Schadseite entfernt. ~Thunderbolt
    Das ist meine Signatur und sie wird wunderbar sein!

    Dieser Beitrag wurde bereits 14 mal editiert, zuletzt von „Thunderbolt“ ()

    Mono schrieb:

    Also auf den ersten Blick ganz klar ein Schadcode.
    Schau mal im Temp Ordner, da sollte eine Datei : \isnovas2.exe geben. Die wird geöffnet.
    Ich editiere den Post wenn ich alles sagen kann was gemacht wird.


    Welch Ironie.
    Ich war gerade dabei verzweifelt genau dir eine Mail hier zu schreiben, ob du dir das mal anschauen kannst.
    Ich schau direkt mal nach und halte diesen Thread im Auge.
    Danke für deine Mühen.

    //Edit

    Danke schonmal dafür.
    Was genau bedeutet GET Request? (Klar Get [engl.] bekommen)
    Ich habe im besagten PC den Temp-Ordner (Ich gehe davon aus du meinst den unter Appdata\Local) geprüft. Dort war die besagte datei nicht vorhanden.
    Auch nicht im TEMP-Ordnung welcher unter C:\ lag.

    //Edit2

    Das hier sind die anderen beiden Dateien, die ich rausgezogen bekommen hatte. Ich dachte, die wären nicht ausschlaggebend.
    Im Word hieß das Makro "autoopen".

    Spoiler anzeigen

    Quellcode

    1. Attribute VB_Name = "DDAS"
    2. Attribute VB_Base = "0{3DC2F6F4-0418-414C-9FC4-A1030AB33622}{8AE03D25-9164-4FEF-953B-DC1D4528C067}"
    3. Attribute VB_GlobalNameSpace = False
    4. Attribute VB_Creatable = False
    5. Attribute VB_PredeclaredId = True
    6. Attribute VB_Exposed = False
    7. Attribute VB_TemplateDerived = False
    8. Attribute VB_Customizable = False


    Spoiler anzeigen

    Quellcode

    1. Attribute VB_Name = "ThisDocument"
    2. Attribute VB_Base = "1Normal.ThisDocument"
    3. Attribute VB_GlobalNameSpace = False
    4. Attribute VB_Creatable = False
    5. Attribute VB_PredeclaredId = True
    6. Attribute VB_Exposed = True
    7. Attribute VB_TemplateDerived = True
    8. Attribute VB_Customizable = True
    9. Sub autoopen()
    10. StopSignal "", ""
    11. End Sub


    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Kelariel“ ()

    Da wurde bestehender VBA-Code modifiziert.

    Es wird ein XML-Get-Request auf http://***.com/0hb765 abgesetzt, aus dessen Antwort auf dem Temp-Verzeichnis eine isnovas2.exe erzeugt wird.
    Die wird dann über ein ShellDispatch-Objekt ausgeführt.

    Wenn du dich für den Inhalt der EXE interessierst, musst du weiter analysieren.
    Ich tu mir's nicht an.

    Edit: Mono war wohl auch schon soweit ;)

    Visual Basic-Quellcode

    1. Sub autoopen()
    2. StopSignal "", "" 'Das ist der Einsprungpunkt zur Viruserzeugung
    3. End Sub



    Link zur Schadseite entfernt. ~Thunderbolt
    --
    If Not Program.isWorking Then Code.Debug Else Code.DoNotTouch
    --

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Thunderbolt“ ()

    Visual Basic-Quellcode

    2. Sub autoopen()
    3. StopSignal "", ""
    4. End Sub


    Ja da ist der Aufruf.

    Wenn die Makrosicherheit nicht auf Hoch war, dann PC neuaufsetzen.
    Das ist meine Signatur und sie wird wunderbar sein!

    Kelariel schrieb:

    Was genau bedeutet GET Request? (Klar Get [engl.] bekommen)
    Ich habe im besagten PC den Temp-Ordner (Ich gehe davon aus du meinst den unter Appdata\Local) geprüft. Dort war die besagte datei nicht vorhanden.

    Der GET-Request ist in diesem Fall ein Aufruf einer verkappten Web-Service-Funktion.

    Den Ordner findest du, wenn du im Explorer %TEMP% eingibst.
    Aber die Datei wird nach dem Ausführen wohl wieder gelöscht.


    Ihr könnt nur hoffen, dass der Virus sich nicht schon im Netzwerk weiterverbreitet hat.
    --
    If Not Program.isWorking Then Code.Debug Else Code.DoNotTouch
    --

    Ach, gut zu wissen. Ich bin bisher immer über %appdata% und habe mich dann zu dem Ordner navigiert. Danke dafür.
    Und ich habe gehofft, er würde sich nicht verbreiten.
    Naja, mein Kollege hat mich direkt danach angerufen und wir haben ihn vom Netz genommen.

    Zitat entfernt. ~Thunderbolt

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Thunderbolt“ ()