Link von Azhrarn entfernt. Der Grund hierfür läßt sich den anderen Beiträgen dieses Threads entnehmen.
Kommentar von Azhrarn
Etwas mehr als ein kommentarloser Link darf es schon sein, denn wir sind schließlich ein Diskussionsforum.
Navigation
- Neuigkeiten
- Ultima Online World
- Community
- UO Hilfe
- Specials
Forenübersicht › Allgemeines › New Official Kingdom Reborn Download Site
New Official Kingdom Reborn Download Site
Mitglied-215730.06.2007, 22:53 Uhr
Mitglied-216216.07.2007, 18:50 Uhr
Don´t Download Here !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!TROJAN!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Mitglied-46316.07.2007, 22:35 Uhr
not impossible.
The domain's contact data does not show EA (as expected) but a \"privacy protect\" company hiding the domain owner.
I really doubt that EA would do so
The domain's contact data does not show EA (as expected) but a \"privacy protect\" company hiding the domain owner.
I really doubt that EA would do so
Mitglied-132816.07.2007, 23:24 Uhr
Jup, eindeutig ein Trojaner! KR ist etwas über 2GB groß, der Download hier nur 400KB.
Bitte löschen!
Edit: hab die Datei zur Sicherheit mal ein Virusresearchcenter geschickt. Mal schaun was zurück kommt.
Bitte löschen!
Edit: hab die Datei zur Sicherheit mal ein Virusresearchcenter geschickt. Mal schaun was zurück kommt.
Mitglied-46317.07.2007, 00:12 Uhr
*kurzen Blick aufs Disassembler-Listing wirft*
Einfacher Loader (verschweigt er nicht mal: \"UO : Kingdom Reborn Client Downloader\" - ich bezweifle nur, dass es da - ftp://ftp:[E-Mail entfernt]/UOKR_Beta_Client.zip - wirklich UO:KR gibt :) - genauer gesagt: Garnix gibt's da: Login Incorrect :) ) mit kleiner RemoteControl (wenn ich das Geraffel richtig interpretiere - mannoman, war das mal Delphi?). Also \"das Übliche\".
Fragt im Zweifel bei den Leuten nach, von denen der eigentliche Download starten soll:
Einfacher Loader (verschweigt er nicht mal: \"UO : Kingdom Reborn Client Downloader\" - ich bezweifle nur, dass es da - ftp://ftp:[E-Mail entfernt]/UOKR_Beta_Client.zip - wirklich UO:KR gibt :) - genauer gesagt: Garnix gibt's da: Login Incorrect :) ) mit kleiner RemoteControl (wenn ich das Geraffel richtig interpretiere - mannoman, war das mal Delphi?). Also \"das Übliche\".
Fragt im Zweifel bei den Leuten nach, von denen der eigentliche Download starten soll:
- Code:
orca multimedia
Thomas & Stefan Wild GbR
Fuggerstraße 22
D-89171 Illerkirchberg
Postanschrift:
Postfach 82
89169 Illerkirchberg
Steuernummer: 88019/78358
Verantwortlicher für den Inhalt / Ansprechpartner & Vertretungsberechtigter: Thomas Wild
eMail: t.wild|at|orca-multimedia.de
Tel. & Fax 0700-67220000
Mitglied-132817.07.2007, 00:18 Uhr
Auch nich schlecht was man so alles rausbekommen kann wenn man weiss wie :)
Mitglied-46317.07.2007, 01:22 Uhr
Keine große Kunst.
Das Unix-Kommando \"strings\" auf die heruntergeladene Datei angewendet macht genau das - Strings ausgeben. U.a. den Titel und die URL. Disassembler zeigt einige \"typische\" Aufrufe für Loader und offen gehaltenen Port. Auf \"Delphi\" kam ich, weil ich eine der mit dem Programm verlinkten Libraries wiedererkannt habe. Und die Adresse findet man unter \"Impressum\" auf \"floze.de\"
Keine Magie dabei :)
Das Unix-Kommando \"strings\" auf die heruntergeladene Datei angewendet macht genau das - Strings ausgeben. U.a. den Titel und die URL. Disassembler zeigt einige \"typische\" Aufrufe für Loader und offen gehaltenen Port. Auf \"Delphi\" kam ich, weil ich eine der mit dem Programm verlinkten Libraries wiedererkannt habe. Und die Adresse findet man unter \"Impressum\" auf \"floze.de\"
Keine Magie dabei :)
Mitglied-132817.07.2007, 12:13 Uhr
k, wieder was dazu gelernt :)
Mitglied-210317.07.2007, 18:59 Uhr
Wenn würde ich auch gleich bei floze.de direkt runterladen und nicht über umwege.
Dort habe ich früher auch oft Patches für WoW runtergeladen.
Direktlink zu Floze.de (http://www.floze.de/pc-games/adventures-rollenspiele/ultima-online-kingdom-reborn/download/ultima-online-kingdom-reborn-client/)
nur ist es als Freedownload natürlich gerade schnell :)
Dort habe ich früher auch oft Patches für WoW runtergeladen.
Direktlink zu Floze.de (http://www.floze.de/pc-games/adventures-rollenspiele/ultima-online-kingdom-reborn/download/ultima-online-kingdom-reborn-client/)
nur ist es als Freedownload natürlich gerade schnell :)
Mitglied-132817.07.2007, 23:49 Uhr
k, hab Rückmeldung bekommen. Irgendwie scheint darin auch eine system.exe \"versteckt\" zu sein? Keine Ahnung, auf jeden Fall hab haben die da irgendwie noch eine gefunden:
------------------------------------------------------------------------
UOKR_Installer.exe
------------------------------------------------------------------------
The Windows PE (I386,EXE) file \"UOKR_Installer.exe\" has been determined
to be malicious. Our researchers have analyzed the file and confirmed
the result.
Aliases reported by other AV products are listed here:
(Trojan-Downloader.Win32.Delf.bnu)
------------------------------------------------------------------------
system.exe
------------------------------------------------------------------------
The Windows PE (I386,EXE) file \"system.exe\" has been determined to be
malicious. Our researchers have analyzed the file and confirmed the
result.
Aliases reported by other AV products are listed here:
(Backdoor.Win32.Delf.awr)
Researcher comment:
Backdoor
------------------------------------------------------------------------
UOKR_Installer.exe
------------------------------------------------------------------------
The Windows PE (I386,EXE) file \"UOKR_Installer.exe\" has been determined
to be malicious. Our researchers have analyzed the file and confirmed
the result.
Aliases reported by other AV products are listed here:
(Trojan-Downloader.Win32.Delf.bnu)
------------------------------------------------------------------------
system.exe
------------------------------------------------------------------------
The Windows PE (I386,EXE) file \"system.exe\" has been determined to be
malicious. Our researchers have analyzed the file and confirmed the
result.
Aliases reported by other AV products are listed here:
(Backdoor.Win32.Delf.awr)
Researcher comment:
Backdoor
Mitglied-46318.07.2007, 00:02 Uhr
Der \"Trojan Downloader\" ist oft false positive. Weil, ein Downloader isses ja unbestrittenerweise :)
Indes, das Treiben der system.exe bestätigt meine Vermutung.
Schaut so aus, als würde da jemand huckepack das Angebot von Floze.de benutzen, um seine Backdoor als payload unterzubringen.
Ich werd das mal in einer VM installieren und schauen, was sich tut (ich _liebe_ Honigtöpfe :) )
Indes, das Treiben der system.exe bestätigt meine Vermutung.
Schaut so aus, als würde da jemand huckepack das Angebot von Floze.de benutzen, um seine Backdoor als payload unterzubringen.
Ich werd das mal in einer VM installieren und schauen, was sich tut (ich _liebe_ Honigtöpfe :) )
Mitglied-132818.07.2007, 00:10 Uhr
solang das Ding nich so intelligent ist und VMs erkennt ... aber irgendwie glaub ich nicht, dass es so intelligent is *gg*
Mitglied-46318.07.2007, 00:22 Uhr
Very nice.
Das Spielzeug hängt sich über \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\nethost\" ein und wird dadurch mit WIndows gestartet. Meldet sich dann über Port 195 bei einem IRC-Server an und wartet auf weitere Befehle. Zudem scannt es recht geräuschvoll das LAN auf der Suche nach verwundbaren Maschinen, nehme ich an (scheint älter zu sein - LSASS-Scan konnte ich identifizieren, und der ist aktuell wenig erfolgversprechend), wohl um sich dort einzunisten.
Habe mir gerade mal das Steuerprogramm für den Schädling besorgt. Kommt zusammen mit vorkonfigurierten Spam-Mailern usw., die der Schädling nachladen kann.
Also: Wer den Kram versehentlich installiert hat, gehört inzwischen zu einem BotNet. Der Trojan ist zwar einfach zu entsorgen, aber ob und was er inzwischen nachgeladen hat weiss niemand - und ob es erkenn- und entfernbar ist, weiss auch niemand. Sprich: Viel Spass beim Windows Neuinstallieren.
Das Spielzeug hängt sich über \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\nethost\" ein und wird dadurch mit WIndows gestartet. Meldet sich dann über Port 195 bei einem IRC-Server an und wartet auf weitere Befehle. Zudem scannt es recht geräuschvoll das LAN auf der Suche nach verwundbaren Maschinen, nehme ich an (scheint älter zu sein - LSASS-Scan konnte ich identifizieren, und der ist aktuell wenig erfolgversprechend), wohl um sich dort einzunisten.
Habe mir gerade mal das Steuerprogramm für den Schädling besorgt. Kommt zusammen mit vorkonfigurierten Spam-Mailern usw., die der Schädling nachladen kann.
Also: Wer den Kram versehentlich installiert hat, gehört inzwischen zu einem BotNet. Der Trojan ist zwar einfach zu entsorgen, aber ob und was er inzwischen nachgeladen hat weiss niemand - und ob es erkenn- und entfernbar ist, weiss auch niemand. Sprich: Viel Spass beim Windows Neuinstallieren.
