Schadsoftware

[snickii]

Schau da besonders auf die .exe-Datei. Eine .dll alleine ist ungefährlich.

Heißt im Umkehrschluss wenn die .exe Clean bleibt, ist es "nur" mein Gewissen was mich quälen wird?

 

[PC295]

Ja das kann man so sagen.

 

[Schwachkopp]

Was sollte denn die Mod ungefähr tun? Vielleicht verstehe ich das falsch aber es scheint Funktionen zur Veränderung der Registry aufzurufen. Keine Ahnung ob das hier zu erwartendes Verhalten ist:

Man könnte die ganz Funktionsaufrufe (nicht nur für die advapi32.dll sondern für alle) an ein LLM schicken und fragen, ob da irgendetwas auffällig ist. Natürlich die Antwort mit Vorsicht betrachten.

 

[snickii]

@Schwachkopp Ein Mod Menü für ein SP Spiel, quasi die Funktion eines Singplayer Trainers.

 

[kali-hi]

@snickii Mit welcher Absicht hast du diese .dll aus dem anderen Forum heruntergeladen?

 

[snickii]

@kali-hi Siehe #24, aufgrund der Art macht es wohl Sinn die .dll zu verschleiern.
Ja, ich weiß Grauzone aber ich fands nicht schlimm in Singleplayer Spielen.
Jetzt find ichs schlimm und machs nicht wieder.

 

[kali-hi]

Ein Mod Menü für ein SP Spiel,

AIM Tools/Mods/Bots sind oftmals virenverseucht... das ist recht einfach, weil die in-game gar nicht erlaubt sind

 

[snickii]

@kali-hi Um das klar zu stellen: Es handelt sich ausschließlich um solche Sachen wie: Unendlich Geld oder Spielgeschwindigkeit ändern etc.

Keine Cheats für Multiplayer Spiele, davon nehme ich ganz großen Abstand. Da sind mir meine Accounts zu wichtig für.

Ich weiß das diese oft etwas anzeigen, nutze ich super selten (vielleicht 1-2x im Jahr) aber wenn dann war fast immer "False Positive" bei. Dadurch stumpft man blöderweise ab. Hier war ich mir aber sehr unsicher weil dieses Verhalten kannte ich selbst in dem Fall nicht.

Im Endeffekt ist das größte Dummheit, das muss ich mir auch selber gestehen.
Es ist einfach pure Dummheit. Man sollte die Finger von dem Dreck lassen.

Und das mach ich jetzt auch.

 

[kali-hi]

ich wollte dir auch nichts schlimmes unterstellen... aber ich glaube langsam auch, dass das System kompromittiert ist und man über eine Neuinstallation nachdenken sollte

 

[snickii]

Installiere ich definitiv demnächst Neu aber zumindest scheint es bei dem Fall hier nicht so schlimm zu sein wie ich dachte. So das ich zumindest nichts übers Knie brechen muss.

 

[Schwachkopp]

Also es ruft Funktionen zum Modifzieren und Lesen des Clipboards und der Registry auf und macht noch ein paar andere Sache, die vielleicht seltsam sind. Aber ohne das Tool zu kennen, kann man nicht abschätzen inwieweit das durch seinen Funktionsumfang gedeckt ist. Neuinstallieren wäre in diesem Fall auch meine Entscheidung.

 

[purzelbär]

snickii, was für ein Windows hast du denn? Windows 10 oder Windows 11? wenn du kein Backup deines Windows hast, solltest du neu installieren und dabei alle bisherigen Partitionen löschen lassen und danach wieder neue Partitionen erstellen wenn du zusätzlich welche willst.

 

[Azghul0815]

Ich nutz hin und wieder nur die Trainer von Fling oder wemod, wobei das mittlerweile anderst heisst

 

[snickii]

@purzelbär Win11, ich erstelle mir mit dem Media Creation Tool ein Medium aufm Stick, mache dann alles platt und installiere frisch. Unabhängig davon hat sich auch viel Datenmüll angesammelt, wollte schon länger Mal Platt machen aber hab es immer geschoben.

Ich installiere denn meine typischen Programme und mach Mal ein Backup xD

 

[Ultra Marine]

Kein sauberes Backup vorhanden?

 

[snickii]

@Ultra Marine Nee, hab meine Kiste über 8 Jahre in der Hinsicht nicht angerührt. Ich werde dann aber eins machen direkt. Wird Zeit da Mal was zu machen. Möchte auch ein sauberes Backup für die Zukunft. Werd mir nächste Woche Mal etwas Zeit dafür nehmen. Danke an jeden der mir heute geholfen hat.

 

[Marco01_809]

Ja genau.
Schau da besonders auf die .exe-Datei. Eine .dll alleine ist ungefährlich.

Ja naja, eine .dll kann sich nicht selbst ausführen, aber die exe-Datei kann sich die .dll ja reinladen oder mit rundll32 ausführen. Selbst wenn die exe-Datei von einer völlig legitimen Software stammt der man nur eine schadhafte .dll hingelegt hat!

Virustotal
Virustotal2

Genau das ist hier auch der Fall. Die .exe, die i.d.R. als FLiNG-Standalone12.34.5678.exe o.Ä. daherkommt, importiert aus einer borlndmm.dll die Funktion @Borlndmm@SysGetMem$qqri.

Die verlinkte .dll-Datei stellt genau diese bereit. Besonders gut getarnt ist die Malware aber nicht, denn vom Dateinamen her soll sie wohl den Borland Memory Manager imitieren, aber in der Produktinfos benennt sie sich selbst als NVIDIA DLSSv3 - DVS PRODUCTION. Die weiteren Funktionsnamen die die .dll bereitstellt sind alle dem Nvidia SDK entnommen. Da die Datei aber unsigniert ist, ist klar dass die Datei NICHT von Nvidia stammt. Ein Blick in den Details-Tab der .dll hätte also gereicht um festzustellen dass es sich höchstwahrscheinlich um Malware handelt. Da es sich ja um einen Single-Player Cheat bzw. Trainer handeln soll, gibt es auch keinen Grund sich als irgendeine andere Software zu tarnen, denn es muss ja kein Anti-Cheat umgangen werden!

Interessant ist, dass die .exe eine valide Signatur von ACCA Software S.p.A. aus Italien hat. Es ist aber nicht davon auszugehen dass die .exe aus einer legitimen Software stammt, denn im Behavior Tab sieht man dass sie zwei angebliche google updater in Program Files ablegt. Höchstwahrscheinlich ist dem Unternehmen mal ihr Code Signing Key abhanden gekommen und wird/wurde verwendet um Malware zu signieren.

Was die exe da noch so treibt kann ich nicht sagen da der Report von VirusTotal zu eingeschränkt ist.

Bei der dll handelt es sich allerdings um eine Variante von StealC v2. Die Entwickler dieser Malware verteilen sie nicht direkt sondern bieten sie in Untergrundforen zur Miete ala Malware-as-a-Service an. Der Käufer kann sich offenbar den Funktionsumfang der Malware beliebig zusammenstellen, auf gewünschte Art tarnen lassen und bekommt ein Webinterface wo er die erfolgten Infektionen einsehen kann.

Vielleicht bin ich ja nochmal mit einem blauen Auge davon gekommen, ich fand das verhalten halt sehr komisch.

Nein, die Infektion ist höchstwahrscheinlich erfolgt und es gibt akuten, zeitnahen Handlungsbedarf für dich.

StealC ist keine Ransomware die alle deine Daten verschlüsselt und sich dann groß mit einer Erpressermeldung auf dem Desktop bekannt macht. StealC ist darauf ausgelegt viele Monate völlig unbemerkt zu bleiben. Außer dass deine Accounts, dein Geld o.Ä. irgendwann weg ist gibt es keine Indizien dass du mit einem Virus infiziert bist.

Kernfunktion von StealC ist das Klauen von Cryptowallets, Passworttresoren und Cookies/Sessions aus allen gängigen Programmen, Browsern und Browser-Extensions. Es kann auch die Passwörter bzw. Sessions aus lokalen Programmen wie Thunderbird, Outlook, Steam, Discord u.s.w. übernehmen. Ferner kann der Käufer auch bestimmen dass noch bestimmte andere Dateien gesucht und exfiltiert werden, z.B. besonders sensitive Dokumente.

Sobald die Infektion erfolgt ist verbleibt StealC dauerhaft im Hintergrund und bekommt Befehle von einem Control-Server. Dies ermöglicht dem Käufer Screenshots deines Systems einzusehen, weitere Schadsoftware nachzuladen und beliebige weitere Dateien herunterzuladen.

Du musst nun also dringend von einem sauberen System aus, in dieser Reihenfolge:

• Sofern vorhanden deine Kryptowährungen auf neu generierte Wallets transferieren
• Passwörter all deiner E-Mail Accounts die mit dem System in Verbindung stehen ändern
• Alle Passwörter all deiner Accounts, die in Browser oder anderen Programmen eingeloggt waren ändern
• Alle Passwörter aller Accounts die in etwaigen Passworttresoren hinterlegt waren ändern
• Alle Passwörter aller Accounts die ein gleichen Passwort wie eines aus den obigen accounts genutzt haben ändern
• Gründlich überlegen ob es auf deinem Rechner irgendwelche Dokumente gibt die dich erpressbar machen und ggf. Vorkehrungen treffen

 

[snickii]

Danke für die Erklärung, wird Montag geplättet und morgen lass ich ihn aus.
Ich nutze allerdings nie Banking oder ähnliches am PC. Ebenso ist alles 2FA über Handy. Jeder Account. Hab aber sowieso auch keine Passwörter im Browser oder so gespeichert.

Zum Glück hab ich hier geschrieben, habe mir das ja erst heute morgen eingebrockt. Werd morgen trotzdem schonmal paar Passwörter übers Handy ändern.