Komisch versteckte DLL Datei

[PHuV]

Mit einem Linux wie Ubuntu booten und dann einfach per Kommandozeile löschen.

 

[Kenny [CH]]

Ich vermute, ihr habt nicht gut genug gesucht, um die DLL zu identifizieren. Die MSCMS.DLL stammt von Microsoft,

Klar das die MSCMS.DLL von Microsoft stammt, klar ist auch, dass diese DLL kein Virus/Schadware ist. Nur - und hier liegt der Hund begraben - sollte die MSCMS.DLL nicht in einem Ordner wie C:\abcdef.... liegen, sonder im System32 / Syswow64 / Windows Folder. Wenn solche DLLs auftauchen ausserhalb des eigentlichen Ordners muss man davon ausgehen, dass etwas nicht in Ordnung ist. Jetzt kann es sein, dass der TE die abcdefghia.dll mit dem Scanner scannen möchte, aber die Schadsoftware merkt dies und verschleiert seine Anwesenheit mit der offiziellen MSCMS.DLL. Das könnte eine Stealth-Techniken sein:
https://www.kaspersky.de/resource-center/threats/combating-antivirus

 

[Hayda Ministral]

Klar das die MSCMS.DLL von Microsoft stammt, klar ist auch, dass diese DLL kein Virus/Schadware ist.

Irgendwo habe ich was verpasst. Wie genau wurde festgestellt dass die Datei "die MSCMS.DLL von Microsoft" ist?

 

[Kenny [CH]]

https://www.hybrid-analysis.com/sam...5f87c0460a0508696c81968b19d4e4ec3a24a0a5acc91 findet man zb. Wenn man nach dem namen der dll such.

Und auch das script in google docs spricht für diese datei: https://docs.google.com/document/d/1T5LPY3qDkxmR1XVgxnsKW42lggS5iSjtQwFXOtNfqMM/edit
Sogar die path variable im doc passt zu dem was der te gepostet hat

 

[Hayda Ministral]

Aber eine Datei läßt sich doch beliebig benennen. Der Name selbst sagt nichts über den Inhalt aus. Eine Suche in google nach dem Dateinamen ergibt also nur die Information was diese Datei zu sein vorgibt. Was sie tatsächlich ist läßt sich nur anhand des Inhalts feststellen.

 

[zazie]

Eben. Wie im ersten Post steht, hat der TE die "merkwürdige DLL" auf virustotal gepostet und kriegt dort die Identifizierung des SHA2-Werts der MSCMS.DLL und den entsprechenden File-Namen.
Nach eurer Logik wäre die DLL merkwürdig benannt und abgelegt und würde zudem eine gefälschte, tarnende Benennung als MSCMS.DLL enthalten, die dann auch noch die Analyse von virustotal überlistet hat. Dafür würde ich gerne Belege sehen.

 

[Kenny [CH]]

Aber eine Datei läßt sich doch beliebig benennen. Der Name selbst sagt nichts über den Inhalt aus.

In der Tat kann man das machen und natürlich sagt nur der exakte Inhalt etwas über das File aus.
Nur wie bereits gesagt, solle das ensprechende DLL File nicht in einem solchen Pfad wie beim TE liegen und mir wäre auch kein Update von MS etc bekannt, welches die DLL vom Windows selbst unbennent und in solchen Pfaden ablegt. Mir ist auch nicht bekannt, dass es sonst irgendwelche systemeigene Mechanismen geben würde, welche so eine Auswirkung haben.

Eben. Wie im ersten Post steht, hat der TE die "merkwürdige DLL" auf virustotal gepostet und kriegt dort die Identifizierung des SHA2-Werts der MSCMS.DLL und den entsprechenden File-Namen.

Wurde wirklich die abcdefghia.dll Datei hochgeladen und gescannt oder hat nicht ein/das RootKit oder ein andere Mechanismus in der Schadeware die Datei gegen die korrekte MSCMS.DLL ausgetauscht? Thema Stealth-Technik - hier nachzulesen: https://www.kaspersky.de/resource-center/definitions/stealth-virus

Denn Part denn ich meine ist dieser hier:

Ein Stealth-Virus ist aber so ausgelegt, dass er sich aktiv vor Antiviren-Programmen versteckt. Dies erreicht er, indem er sich zeitweilig aus der infizierten Datei entfernt, sich auf ein anderes Laufwerk kopiert und sich durch eine nicht infizierte Datei ersetzt. Ein Stealth-Virus kann die Erkennung auch vermeiden, indem er die Größe der von ihm befallenen Datei verschleiert.

Daher würde ich den Computer mit einer bootbaren Version eines Virenscanners booten und die Datei scannen, oder via Linux die Datei von der HDD/SDD kopieren und dann bei virustotal hochladen. Es würde nichts bringen, die Datei im Windows zu scannen oder (im Windows) bei virustotal hochzuladen, wenn eine der oben erwähnten Stealth-Techniken eingesetzt wird.

Natürlich könnte es am Ende immer noch die offizielle MSCMS.DLL sein, welche in diesen komischen Pfad kopiert wurde, mit dem neuen Namen abcdefghia.dll. Dann müsste man sich - IMHO - aber immer noch Gedanken machen, wer oder was diese Datei dort hin kopiert hat.