Ist diese Datei gefährlich?

[SenfRakete]

Hallo zusammen,

heute habe ich zufällig beim Aufräumen meines Rechners folgendes gefunden:

C:\directory\CyberGate\install\server.exe​

Das ganze sieht ziemlich suspekt aus, deshalb wollte ich mal fragen ob das ganze normal ist, oder ob ich mir sorgen machen muss. Mein System läuft auf Windows 8.1 Pro. VirusTotal ist nicht auf die Datei angesprungen.

LG SenfRakete

 

[UNDERESTIMATED]

Cybergate ist ein RAT, und ja: Sofern du das nicht selbst installiert hast sollte das definitiv runter.

Normalerweise sollte der AV das im Ursprung auch als ein solches erkennen, gehe hier also schon davon aus, dass sich jemand die Mühe gemacht hast den zu Fudden.

 

[SenfRakete]

Cybergate ist ein RAT, und ja: Sofern du das nicht selbst installiert hast sollte das definitiv runter.

Normalerweise sollte der AV das im Ursprung auch als ein solches erkennen, gehe hier also schon davon aus, dass sich jemand die Mühe gemacht hast den zu Fudden.

Ich schätze mal mit einfachem löschen ist das nicht abgetan?

 

[UNDERESTIMATED]

Richtig, wenn sich jemand schon die Arbeit macht und das Ding so cryptet, dass es kein AV mehr erkennt solltest du mindestens mit Sysinternals nach Verdächtigen Prozessen Ausschau halten - der Windows Taskmanager ist dazu mehr oder weniger unbrauchbar wenn man die Prozesse nicht gerade VIRUS.exe nennt.

Blosses entfernen ist ein Anfang - bei so etwas (RAT) würde ich IMMER und wirklich IMMER das komplette System neuinstallieren und KEINEN einzigen Prozess mitnehmen (also keine .exe sichern).
Wenn das nicht machbar ist bleibt nur der Weg über Sysinternals und ständiger Beobachtung vor allem des Netzwerkverkehrs und der HDD Aktivität der Prozesse und u.U. auch derer Abhängigkeiten (bla.exe löst blubb.exe aus usw.)

/E: Selbst wenn du die aber entfernst weißt du dennoch nicht ob nicht mittlerweile andere Übeltäter installiert oder ersetzt wurden. Man kann zb. auch eine harmlose Spotify.exe in der entsprechenden Version zusätzlich mit dem RAT binden und das ganze dann wieder Fudden - wenn dein AV keine Prozesssignaturen speichert und eine Änderung nicht erkennt kann es also durchaus sein, dass diese bereits ersetzt/kompromittiert wurde. Daher wie gesagt: Keine .exe sichern.

Vor allem die aus dem Autostart mit Internetzugang von Drittherstellern werden dafür gerne genommen, also zb. Steam.exe oder Spotify.exe und wie sie alle heißen.
/E2: Hypothetisch: Wenn ich ein Botnetz haben wöllte, ich würds so machen.

 

[xxMuahdibxx]

für sowas -> Virustotal ... hinschicken scannen und dann weis man mehr.

 

[Kronos60]

Er hat sie ja schon zu Virustotal eingeschickt ohne Funden, das sicherste ist eine Neuinstallation den von alleine hat sie sich sicherlich nicht hineingeschrieben.

 

[UNDERESTIMATED]

Ne eben nicht @xxMuahdibxx: Virenscanner können nichts als Virus erkennen wenn es dazu keinen Datenbankeintrag gibt - und wie in jeder Datenbank muss erstmal etwas da sein bevor man es reinschreiben kann - was bei RATs die mit einem guten aktuellen Programm gecryptet sind per se schon nicht der Fall sein kann, was aber nicht heißt, dass sie es in 6 Monaten nicht sind.

@Kronos60: Richtig. Von alleine schon, allerdings ausgelöst durch etwas und genau das kann man nur sicher eliminieren wenn man das System sauber neu aufsetzt.

 

[M@rsupil@mi]

für sowas -> Virustotal ...

Und was steht im 1. Beitrag?

VirusTotal ist nicht auf die Datei angesprungen.

 

[SenfRakete]

Ich habe jetzt hier noch 2 Screenshots von den entsprechenden Einträgen im Process Explorer und Autoruns.

 

[UNDERESTIMATED]

Sorry aber so hart das jetzt klingt: Alle Passwörter ändern, vor allem genau die, die bei dir gespeichert waren - sprich Steam/Spotify/Origin und alle aus Firefox/Chrome an deren Accounts irgendwas Interessant sein könnte - was imgrunde alle sein dürften - vor allem die Emails.

Ich weiß nicht ob du Cybergate oder andere RATs kennst, eine kurze Suche bei youtube dürfte da aber Bände sprechen:

 

[Kronos60]

Vor allem Daten sichern, nur mit einer Linux-Live-CD, keine ausführbaren Dateien (exe..) sichern.

 

[bezelbube]

Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.

 

[BeiNacht]

lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten
CIL FTW
Wer Malware in Java oder .NET schreibt, hat es nicht anders verdient.

€ Vor allen Scriptkidies, welche solche Malware-Baukästen verwenden.

 

[UNDERESTIMATED]

lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten

Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.

 

[Sir_Sascha]

also das habe ich hier mal mit google gefunden. Dort wird das "Teil" auch gut erklärt: https://www.youtube.com/watch?v=YFWtPp_8s8Y und hier wie man es wieder wech bekommt: http://www.hijackthis-forum.de/archiv/47696-c-directory-cybergate-install-server.html

Hoffe das bringt dich ein wenig weiter. Aber im Endeffekt bleibt nur, Daten sichern und Rechner plätten, dann Passwörter ändern.

 

[muellschlucker]

Betriebssystem neu installieren und dann hast sich.

 

[UNDERESTIMATED]

Betriebssystem neu installieren und dann hast sich.

Danke. Und nix mitnehmen bitte sonst geht das Spiel von vorne los.

und hier wie man es wieder wech bekommt

Sorry wenn ich das jetzt so sage, aber das bekommst du eben nicht "wieder wech" - was auch der Sinn an solchen Programmen ist.

 

[BeiNacht]

Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.

Der hat da gar nichts "gecryptet". Das ist nur bei richtigen binaries notwendig. Bei bytecode ist das nicht mal moeglich. Du scheinst den Unterschied nicht zu kennen. Ausserdem kann die CIL nicht so verfremdet werden, das man sie nicht mehr lesen kann. Dann koennte die CLR diesen gar nicht mehr ausfuehren.

"Wer so schlau." Das ist wohl ein Witz, wer so schlau ist verwendet keine Baukaesten.

 

[SenfRakete]

Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.

Hier sind die Einträge in der von dir gelisteten Reihenfolge:

 

[UNDERESTIMATED]

......

Spielst du jetzt darauf an, dass man nativen Code nicht verschlüsseln kann?
Kann man eben doch - daher "siehst" du eben auch nur Schnodder wenn das der Fall ist, selbst wenn du das decompilst.

Und um das "schlau" zu erklären: Immerhin hat er es ja geschafft ihm ein RAT unterzujubeln - was Prozentual gesehen nicht wirklich viele PC-Benutzer schaffen dürften.
Wie auch immer: Wenn ein Baukasten ausreicht um zig Leute zu infizieren - Kosten/Nutzen.

Die server.exe ist dort persistent abgelegt, die geht da nicht weg.......
Und selbst wenn: Wer sagt dir denn, dass sie nicht längst woanders ist. Tür auf, keiner guckt, aber hinterher wissen wollen wer alles durchgelaufen ist? Mach mal....