Ist diese Datei gefährlich?

SenfRakete

Ensign
Dabei seit
Juli 2014
Beiträge
136
Hallo zusammen,

heute habe ich zufällig beim Aufräumen meines Rechners folgendes gefunden:
C:\directory\CyberGate\install\server.exe

Das ganze sieht ziemlich suspekt aus, deshalb wollte ich mal fragen ob das ganze normal ist, oder ob ich mir sorgen machen muss. Mein System läuft auf Windows 8.1 Pro. VirusTotal ist nicht auf die Datei angesprungen.

LG SenfRakete
 

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Cybergate ist ein RAT, und ja: Sofern du das nicht selbst installiert hast sollte das definitiv runter.

Normalerweise sollte der AV das im Ursprung auch als ein solches erkennen, gehe hier also schon davon aus, dass sich jemand die Mühe gemacht hast den zu Fudden.
 

SenfRakete

Ensign
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
136

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Richtig, wenn sich jemand schon die Arbeit macht und das Ding so cryptet, dass es kein AV mehr erkennt solltest du mindestens mit Sysinternals nach Verdächtigen Prozessen Ausschau halten - der Windows Taskmanager ist dazu mehr oder weniger unbrauchbar wenn man die Prozesse nicht gerade VIRUS.exe nennt.

Blosses entfernen ist ein Anfang - bei so etwas (RAT) würde ich IMMER und wirklich IMMER das komplette System neuinstallieren und KEINEN einzigen Prozess mitnehmen (also keine .exe sichern).
Wenn das nicht machbar ist bleibt nur der Weg über Sysinternals und ständiger Beobachtung vor allem des Netzwerkverkehrs und der HDD Aktivität der Prozesse und u.U. auch derer Abhängigkeiten (bla.exe löst blubb.exe aus usw.)

/E: Selbst wenn du die aber entfernst weißt du dennoch nicht ob nicht mittlerweile andere Übeltäter installiert oder ersetzt wurden. Man kann zb. auch eine harmlose Spotify.exe in der entsprechenden Version zusätzlich mit dem RAT binden und das ganze dann wieder Fudden - wenn dein AV keine Prozesssignaturen speichert und eine Änderung nicht erkennt kann es also durchaus sein, dass diese bereits ersetzt/kompromittiert wurde. Daher wie gesagt: Keine .exe sichern.

Vor allem die aus dem Autostart mit Internetzugang von Drittherstellern werden dafür gerne genommen, also zb. Steam.exe oder Spotify.exe und wie sie alle heißen.
/E2: Hypothetisch: Wenn ich ein Botnetz haben wöllte, ich würds so machen.
 
Zuletzt bearbeitet:

xxMuahdibxx

Fleet Admiral
Dabei seit
Juli 2011
Beiträge
18.135
für sowas -> Virustotal ... hinschicken scannen und dann weis man mehr.
 

Kronos60

Commander
Dabei seit
Feb. 2015
Beiträge
2.418
Er hat sie ja schon zu Virustotal eingeschickt ohne Funden, das sicherste ist eine Neuinstallation den von alleine hat sie sich sicherlich nicht hineingeschrieben.
 

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Ne eben nicht @xxMuahdibxx: Virenscanner können nichts als Virus erkennen wenn es dazu keinen Datenbankeintrag gibt - und wie in jeder Datenbank muss erstmal etwas da sein bevor man es reinschreiben kann - was bei RATs die mit einem guten aktuellen Programm gecryptet sind per se schon nicht der Fall sein kann, was aber nicht heißt, dass sie es in 6 Monaten nicht sind.

@Kronos60: Richtig. Von alleine schon, allerdings ausgelöst durch etwas und genau das kann man nur sicher eliminieren wenn man das System sauber neu aufsetzt.
 

SenfRakete

Ensign
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
136
Ich habe jetzt hier noch 2 Screenshots von den entsprechenden Einträgen im Process Explorer und Autoruns.

autoruns.PNGproperties.PNG
 

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Sorry aber so hart das jetzt klingt: Alle Passwörter ändern, vor allem genau die, die bei dir gespeichert waren - sprich Steam/Spotify/Origin und alle aus Firefox/Chrome an deren Accounts irgendwas Interessant sein könnte - was imgrunde alle sein dürften - vor allem die Emails.

Ich weiß nicht ob du Cybergate oder andere RATs kennst, eine kurze Suche bei youtube dürfte da aber Bände sprechen:
 
Zuletzt bearbeitet:

Kronos60

Commander
Dabei seit
Feb. 2015
Beiträge
2.418
Vor allem Daten sichern, nur mit einer Linux-Live-CD, keine ausführbaren Dateien (exe..) sichern.
 

bezelbube

Lieutenant
Dabei seit
Sep. 2010
Beiträge
539
Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.
 

BeiNacht

Ensign
Dabei seit
Juli 2014
Beiträge
170
lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten :)
CIL FTW
Wer Malware in Java oder .NET schreibt, hat es nicht anders verdient.

€ Vor allen Scriptkidies, welche solche Malware-Baukästen verwenden.
 

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten :)
Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.
 
Zuletzt bearbeitet:

Sir_Sascha

Admiral
Dabei seit
Mai 2002
Beiträge
9.194

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Zuletzt bearbeitet:

BeiNacht

Ensign
Dabei seit
Juli 2014
Beiträge
170
Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.
Der hat da gar nichts "gecryptet". Das ist nur bei richtigen binaries notwendig. Bei bytecode ist das nicht mal moeglich. Du scheinst den Unterschied nicht zu kennen. Ausserdem kann die CIL nicht so verfremdet werden, das man sie nicht mehr lesen kann. Dann koennte die CLR diesen gar nicht mehr ausfuehren.

"Wer so schlau." Das ist wohl ein Witz, wer so schlau ist verwendet keine Baukaesten.
 

SenfRakete

Ensign
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
136
Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.
Hier sind die Einträge in der von dir gelisteten Reihenfolge: 1.PNG2.PNG3.PNG4.PNG
 

das_mav

Rear Admiral
Dabei seit
März 2012
Beiträge
5.516
Spielst du jetzt darauf an, dass man nativen Code nicht verschlüsseln kann?
Kann man eben doch - daher "siehst" du eben auch nur Schnodder wenn das der Fall ist, selbst wenn du das decompilst.

Und um das "schlau" zu erklären: Immerhin hat er es ja geschafft ihm ein RAT unterzujubeln - was Prozentual gesehen nicht wirklich viele PC-Benutzer schaffen dürften.
Wie auch immer: Wenn ein Baukasten ausreicht um zig Leute zu infizieren - Kosten/Nutzen.

Die server.exe ist dort persistent abgelegt, die geht da nicht weg.......
Und selbst wenn: Wer sagt dir denn, dass sie nicht längst woanders ist. Tür auf, keiner guckt, aber hinterher wissen wollen wer alles durchgelaufen ist? Mach mal....
 
Zuletzt bearbeitet:
Top