BlackBoard (http://www.black-board.net/index.php)
- Design, Programmierung & Entwicklung (http://www.black-board.net/board.php?boardid=55)
-- Programmieren (http://www.black-board.net/board.php?boardid=4)
--- Batch job entschlüsseln (http://www.black-board.net/thread.php?threadid=15961)
Geschrieben von ColdFire am 12.02.2004 um 20:07:
Batch job entschlüsseln
Hab ne e-mail bekommen ja
code: |
1:
2:
3:
4:
5:
6:
7:
|
Juten Tach, habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und
einsteigen. deine mail adresse hab ich auch auf deinem pc gefunden. bei dir ist der trojaner lsass.exe am
wüten. deshalb kann jeder auf deinen rechner zugreifen! du kannst ja mal den taskmanager öffnen, und
versuchen ihn zu beenden. du wirst aber feststellen, das er sich nicht beenden lässt. solltest du
windows98/me haben, siehst du ihn erst gar nicht im task! dieses hartnäckige miststück hatte ich auch mal
drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir
mal mit beigetan. wenn fragen, meld dich einfach. |
|
da is ne bat datei dabei natürlich hab ich sie nicht geöffnet ( ausgeführt) aber ich wollte wiessen wie ich ne bat datei ( den source ) verschlüsslen kann bzw entschlüsslen kann!
thx Xodos
Geschrieben von phlox81 am 12.02.2004 um 21:42:
Hm, also eigentlich ist das rechtsklick -> bearbeiten.
Und das ist ne XP Systemdatei, garantiert kein Trojaner...
Die Mail ist bestenfalls ein Hoax.
Devil
Geschrieben von CDW am 12.02.2004 um 22:01:
batch kann nicht verschlüsselt werden, aber eine EXE kann ganz gut nach BAT umbenannt werden (auch pif oder com geht) und läuft trotzdem...
PS: ich bekomm auch solche mails - ich weiß aber net mehr welcher wurm die generiert
Geschrieben von Sypher am 12.02.2004 um 22:17:
in meinem task manager ist auch die "lsass.exe" ist das ein trojaner oder ist das nur müll was der geschrieben hat, weil mein norton und mein adware sagen gar nig und meine firewall auch net!
Gruss Sypher
Thx
Geschrieben von Medusa am 12.02.2004 um 22:34:
@Sypher:
Zitat: |
Original von Devil81
[...] das ist ne XP Systemdatei, garantiert kein Trojaner
|
Und wie cdw schon sagte, ist das file im Anhanh eine com-Datei (kompiliert) die nach bat umbenannt wurde. Dann kannst du die Datei leider net einfach so anschaun.
Aber auch leicht seltsam, dass er dein pc scannt, zufällig n trojaner findet, und sogar deine email (is ja alles noch denkbar), und dann net weiß, ob du win 98/me verwendest
Geschrieben von LX am 13.02.2004 um 14:28:
Nein, und eine Google-Suche kann sowas schnell beantworten
Geschrieben von ColdFire am 13.02.2004 um 15:58:
hmmm
Hab unter bearbeiten geschaut und keine eindeutigen zeichen gesehen!
d.h. echo usw...
deshab meine ich das es versclüsselt ist !
poste nich den source!
in ca 2h
ich übernehme KEINE Verantwortung über den SCRIPT
BAT datei!
mich würde nur interessieren was das dann ist! denn unter BEARBEITEN IST KEIN JOB zu sehen
thx4 helping
Geschrieben von LX am 13.02.2004 um 16:29:
Eine Batch-Datei hat grundsätzlich den Source in Klartext, also wir's wohl wie inzwischen mehrfach angesprochen eine umbenannte Datei mit ausführbarem Inhalt sein. Den Kauderwelsch zu posten, der da nun bei einem ASCII-Editor rauskommt, bringt nicht viel. Wenn du irgendwas genaueres wissen willst, häng die Datei an, allerdings frage ich mich, warum ein potenzieller Virus dich so sehr interessiert... in den Müll und gut ist
Geschrieben von kilone am 17.02.2004 um 17:28:
Hab mir die mal angeguckt mein Antiv sagt das ist Sorber.C1 ein Wurm.
Also würde ich das Teil löschen und den Link hier im Board ebendfalls!
Geschrieben von ColdFire am 17.02.2004 um 19:37:
Cool!
Aber die *.bat oder *.cmd ist doch eindeutig codiert oder ?
ich dachte nur wie kann ich das entcrypten oder besser gesagt auch selber nen batch verschlüsseln das er trozdem noch geht
thx 2 all 4 helping!
Geschrieben von Bogus am 17.02.2004 um 20:08:
ähm, die gleiche mail hab ich auch vor ein paar wochen bekommen. das beste war... der absender war meine email adi
also in etwa so
from:
irgendwer@gmx.de
an:
irgendwer@gmx.de
ich fand das recht amüsant!
Geschrieben von CDW am 17.02.2004 um 23:01:
@bogus: zufällig in den Header reingeschaut? ich hatte nämlich solche mails auch schon ein paar mal(mit mir als absender), sonst immer von anderen (realistischen) Adressen...
und irgendwann mal hab ich interessenshalber mir den Header angeschaut und da stand: from: cdw(x)@freenet.de an cdw(x)@freenet.de und an noch ein paar reale, von denen ich dieselbe mail auch schon erhalten hab.
Also werden die mails praktisch mit der mal mit der anderen Adresse rumgeschickt und ich glaub schon eher an einen Kiddy als einen Wurm .
Geschrieben von Bogus am 17.02.2004 um 23:55:
@ cdw... ne, hab mir den header net angeschaut. das ding war sowieso in meinem Spamordner gelandet, da die mail vom einem bekannten spamserver stammte. so hat gmx die direkt ausgelesen, haben also die arbeit für mich erledigt
joa... naja.
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH