Ist diese Datei gefährlich?

SenfRakete

Ensign
Dabei seit
Juli 2014
Beiträge
138
Hallo zusammen,

heute habe ich zufällig beim Aufräumen meines Rechners folgendes gefunden:
C:\directory\CyberGate\install\server.exe

Das ganze sieht ziemlich suspekt aus, deshalb wollte ich mal fragen ob das ganze normal ist, oder ob ich mir sorgen machen muss. Mein System läuft auf Windows 8.1 Pro. VirusTotal ist nicht auf die Datei angesprungen.

LG SenfRakete
 
Cybergate ist ein RAT, und ja: Sofern du das nicht selbst installiert hast sollte das definitiv runter.

Normalerweise sollte der AV das im Ursprung auch als ein solches erkennen, gehe hier also schon davon aus, dass sich jemand die Mühe gemacht hast den zu Fudden.
 
Zitat von das_mav:
Cybergate ist ein RAT, und ja: Sofern du das nicht selbst installiert hast sollte das definitiv runter.

Normalerweise sollte der AV das im Ursprung auch als ein solches erkennen, gehe hier also schon davon aus, dass sich jemand die Mühe gemacht hast den zu Fudden.

Ich schätze mal mit einfachem löschen ist das nicht abgetan?
 
Richtig, wenn sich jemand schon die Arbeit macht und das Ding so cryptet, dass es kein AV mehr erkennt solltest du mindestens mit Sysinternals nach Verdächtigen Prozessen Ausschau halten - der Windows Taskmanager ist dazu mehr oder weniger unbrauchbar wenn man die Prozesse nicht gerade VIRUS.exe nennt.

Blosses entfernen ist ein Anfang - bei so etwas (RAT) würde ich IMMER und wirklich IMMER das komplette System neuinstallieren und KEINEN einzigen Prozess mitnehmen (also keine .exe sichern).
Wenn das nicht machbar ist bleibt nur der Weg über Sysinternals und ständiger Beobachtung vor allem des Netzwerkverkehrs und der HDD Aktivität der Prozesse und u.U. auch derer Abhängigkeiten (bla.exe löst blubb.exe aus usw.)

/E: Selbst wenn du die aber entfernst weißt du dennoch nicht ob nicht mittlerweile andere Übeltäter installiert oder ersetzt wurden. Man kann zb. auch eine harmlose Spotify.exe in der entsprechenden Version zusätzlich mit dem RAT binden und das ganze dann wieder Fudden - wenn dein AV keine Prozesssignaturen speichert und eine Änderung nicht erkennt kann es also durchaus sein, dass diese bereits ersetzt/kompromittiert wurde. Daher wie gesagt: Keine .exe sichern.

Vor allem die aus dem Autostart mit Internetzugang von Drittherstellern werden dafür gerne genommen, also zb. Steam.exe oder Spotify.exe und wie sie alle heißen.
/E2: Hypothetisch: Wenn ich ein Botnetz haben wöllte, ich würds so machen.
 
Zuletzt bearbeitet:
für sowas -> Virustotal ... hinschicken scannen und dann weis man mehr.
 
Er hat sie ja schon zu Virustotal eingeschickt ohne Funden, das sicherste ist eine Neuinstallation den von alleine hat sie sich sicherlich nicht hineingeschrieben.
 
Ne eben nicht @xxMuahdibxx: Virenscanner können nichts als Virus erkennen wenn es dazu keinen Datenbankeintrag gibt - und wie in jeder Datenbank muss erstmal etwas da sein bevor man es reinschreiben kann - was bei RATs die mit einem guten aktuellen Programm gecryptet sind per se schon nicht der Fall sein kann, was aber nicht heißt, dass sie es in 6 Monaten nicht sind.

@Kronos60: Richtig. Von alleine schon, allerdings ausgelöst durch etwas und genau das kann man nur sicher eliminieren wenn man das System sauber neu aufsetzt.
 
Ich habe jetzt hier noch 2 Screenshots von den entsprechenden Einträgen im Process Explorer und Autoruns.

autoruns.PNGproperties.PNG
 
Sorry aber so hart das jetzt klingt: Alle Passwörter ändern, vor allem genau die, die bei dir gespeichert waren - sprich Steam/Spotify/Origin und alle aus Firefox/Chrome an deren Accounts irgendwas Interessant sein könnte - was imgrunde alle sein dürften - vor allem die Emails.

Ich weiß nicht ob du Cybergate oder andere RATs kennst, eine kurze Suche bei youtube dürfte da aber Bände sprechen:
 
Zuletzt bearbeitet:
Vor allem Daten sichern, nur mit einer Linux-Live-CD, keine ausführbaren Dateien (exe..) sichern.
 
Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.
 
lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten :)
CIL FTW
Wer Malware in Java oder .NET schreibt, hat es nicht anders verdient.

€ Vor allen Scriptkidies, welche solche Malware-Baukästen verwenden.
 
Zitat von BeiNacht:
lol das ist ein .NET Service. Dann einfach Code decompilen und dann schauen was es macht. Server IP raus suchen und Anzeige erstatten :)

Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Zitat von das_mav:
Wer so schlau ist und das bis auf einen VIC-PC bekommt und dazu noch so, dass ein AV es nicht erkennt, dürfte schlau genug sein diesen Behördlern keine Angriffsfläche zu bieten.
Aber wer darauf Bock hat, bittesehr - ist aber wie gegen Windmühlen kämpfen....

/E: Außerdem dürfte man da, eben wegen des Cryptens nur Buchstabensalat erkennen.

Der hat da gar nichts "gecryptet". Das ist nur bei richtigen binaries notwendig. Bei bytecode ist das nicht mal moeglich. Du scheinst den Unterschied nicht zu kennen. Ausserdem kann die CIL nicht so verfremdet werden, das man sie nicht mehr lesen kann. Dann koennte die CLR diesen gar nicht mehr ausfuehren.

"Wer so schlau." Das ist wohl ein Witz, wer so schlau ist verwendet keine Baukaesten.
 
Zitat von bezelbube:
Schau in diesen Registrierungsschlüsseln nach:
HKCU\Software\remote
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Wenn der Pfad der server.exe dort erscheint,Internet trennen,Daten sichern
und neu Installieren.

Hier sind die Einträge in der von dir gelisteten Reihenfolge: 1.PNG2.PNG3.PNG4.PNG
 
Zitat von BeiNacht:

Spielst du jetzt darauf an, dass man nativen Code nicht verschlüsseln kann?
Kann man eben doch - daher "siehst" du eben auch nur Schnodder wenn das der Fall ist, selbst wenn du das decompilst.

Und um das "schlau" zu erklären: Immerhin hat er es ja geschafft ihm ein RAT unterzujubeln - was Prozentual gesehen nicht wirklich viele PC-Benutzer schaffen dürften.
Wie auch immer: Wenn ein Baukasten ausreicht um zig Leute zu infizieren - Kosten/Nutzen.

Die server.exe ist dort persistent abgelegt, die geht da nicht weg.......
Und selbst wenn: Wer sagt dir denn, dass sie nicht längst woanders ist. Tür auf, keiner guckt, aber hinterher wissen wollen wer alles durchgelaufen ist? Mach mal....
 
Zuletzt bearbeitet:
Zurück
Top