mboost-dp1
wcap.exe
Kære Newz,
Enten er jeg blevet paranoid over nye Windows features eller også så er jeg faktisk blevet ramt af nogle ret suspekte filer.
Jeg har end til nu fundet 5 filer. wcap.exe, wcu.exe, WCUCleanup.exe, restartwcu.exe og DirectShowLib-2005.exe. De ligger alle i min System32-mappe og hverken MSE eller VirusTotal finder dem suspekte.
wcap.exe kræver DirectShowLib-2005.dll for at køre og den ser ud til at tage billeder med mit webcam og derefter gemme dem i en mappe der hedder Capture i System32-mappen.
http://vossnetworks.dk/wcap/1.png
http://vossnetworks.dk/wcap/2.png
http://vossnetworks.dk/wcap/3.png
wcu.exe kan jeg kun se bruges til at starte wcap.exe ved opstart og hvis wcap.exe bliver lukket. wcu.exe ser ud til at være installeret som en service, ikke at jeg har fundet den endnu, men hvis filen startes gennem kommando linie, så fortæller den mig at den skal køres som en service.
restartwcu.exe kan jeg næsten gætte mig til hvad gør, genstarter programmet.
WCUCleanup.exe har jeg ikke prøvet endnu og jeg er ikke klar over hvad den gør.
Alle filerne er usynlige i Windows Explorer selvom jeg har visning af skjulte filer slået til. Måden jeg faktisk fandt filerne var gennem søge programmet Everything, FileZilla og Task Manager.
http://vossnetworks.dk/wcap/4.png
http://vossnetworks.dk/wcap/5.png
Hvordan finder jeg ud af om filerne har netværks adgang og smider de billeder der bliver taget på nettet? Hvis sprog er de skrevet i? Er der nogen der kan åbne filerne? Hvad gør de rent faktisk? Hvordan fanden har jeg fået dem? Er det bare en ny Windows feature?
De har været på min computer siden i går (1/7) omkring klokken 22.18 og der er blevet tager billeder siden. Jeg kan ikke huske hvad jeg lavede på det tidspunkt.
Filerne
Hilsen/På forhånd tak,
Stig
Enten er jeg blevet paranoid over nye Windows features eller også så er jeg faktisk blevet ramt af nogle ret suspekte filer.
Jeg har end til nu fundet 5 filer. wcap.exe, wcu.exe, WCUCleanup.exe, restartwcu.exe og DirectShowLib-2005.exe. De ligger alle i min System32-mappe og hverken MSE eller VirusTotal finder dem suspekte.
wcap.exe kræver DirectShowLib-2005.dll for at køre og den ser ud til at tage billeder med mit webcam og derefter gemme dem i en mappe der hedder Capture i System32-mappen.
http://vossnetworks.dk/wcap/1.png
http://vossnetworks.dk/wcap/2.png
http://vossnetworks.dk/wcap/3.png
wcu.exe kan jeg kun se bruges til at starte wcap.exe ved opstart og hvis wcap.exe bliver lukket. wcu.exe ser ud til at være installeret som en service, ikke at jeg har fundet den endnu, men hvis filen startes gennem kommando linie, så fortæller den mig at den skal køres som en service.
restartwcu.exe kan jeg næsten gætte mig til hvad gør, genstarter programmet.
WCUCleanup.exe har jeg ikke prøvet endnu og jeg er ikke klar over hvad den gør.
Alle filerne er usynlige i Windows Explorer selvom jeg har visning af skjulte filer slået til. Måden jeg faktisk fandt filerne var gennem søge programmet Everything, FileZilla og Task Manager.
http://vossnetworks.dk/wcap/4.png
http://vossnetworks.dk/wcap/5.png
Hvordan finder jeg ud af om filerne har netværks adgang og smider de billeder der bliver taget på nettet? Hvis sprog er de skrevet i? Er der nogen der kan åbne filerne? Hvad gør de rent faktisk? Hvordan fanden har jeg fået dem? Er det bare en ny Windows feature?
De har været på min computer siden i går (1/7) omkring klokken 22.18 og der er blevet tager billeder siden. Jeg kan ikke huske hvad jeg lavede på det tidspunkt.
Filerne
Hilsen/På forhånd tak,
Stig
DirectShowLib-2005.dll : Virustotal
restartwcu.exe : Virustotal
wcap.exe : Virustotal
wcu.exe : Virustotal
WCUCleanup.exe : Virustotal
Umiddelbart er der ingen af de filer der bliver fanget a virustotal.
restartwcu.exe : Virustotal
wcap.exe : Virustotal
wcu.exe : Virustotal
WCUCleanup.exe : Virustotal
Umiddelbart er der ingen af de filer der bliver fanget a virustotal.
Nu har jeg kigget lidt på forbindelser og jeg kan se at wcu.exe har forbindelse til nettet, dog er jeg lidt overrasket over destinationen og især fordi jeg ikke har det program installeret.
http://Vossnetworks.dk/wcap/6.png
http://Vossnetworks.dk/wcap/6.png
her er en tidligere udgave for wcap.exe på virustotal
https://www.virustotal.com/file/0b7999c0e10ec11e94...
https://www.virustotal.com/file/0b7999c0e10ec11e94...
Jeg har også set den tidligere upload, men jeg kan kun se at det er filnavnet de har tilfælles.
Den gamle ser ud til at være en FakeAV, min tager billeder via webcam.
Bare lige for en bonus note, så kan den godt være kommet sammen med denne fil fra Peecee-tråden.
Den gamle ser ud til at være en FakeAV, min tager billeder via webcam.
Bare lige for en bonus note, så kan den godt være kommet sammen med denne fil fra Peecee-tråden.
Har du slået "Vis skjulte systemfiler" til i Explorer?... Så burde du kunne se dem - selvom de er skjulte :)
- jeg har en helt fresh Win7 Ultimate install (Formaterede for en uge siden) - og det ser ikke ud til at jeg har de nævnte filer?..
- edit -
Det er dog en stationær uden webcam - måske derfor?
- jeg har en helt fresh Win7 Ultimate install (Formaterede for en uge siden) - og det ser ikke ud til at jeg har de nævnte filer?..
- edit -
Det er dog en stationær uden webcam - måske derfor?
Thoroughbreed (7) skrev:Har du slået "Vis skjulte systemfiler" til i Explorer?... Så burde du kunne se dem - selvom de er skjulte :)
Tak, det var problemet.
Som bonus info kan jeg også fortælle at WCUCleanup.exe fjerner de andre filer og fjerner Capture-mappen med indhold.
jeg har kigget lidt på filerne, det lader til at wcu.exe kører en webservice, der modtager xml input, og så giver en attacker adgang til at liste filer, hente filer, starte webcam, kører enhver fil og hente filer.
Prøv at undersøg hvilken port den lytter på net en netstat -A
Prøv at undersøg hvilken port den lytter på net en netstat -A
tag også lige og vis os filen lksettings.dat den er sikkert i system32, der er trojanen konfigureret
lksettings.dat er krypteret med en simpel symmetrisk des nøgle, den SKAL være på 8 karakteret, så den er nok ikke så svær at bruteforce hvis jeg ikke kan extracte fra sourcen.....
wcap og wcu er lavet i .net , men der er også en service der kører, den mistænker jeg for at holde des nøglen, og den er muligtvis skrevet i et sprog der er lidt mere besværligt at reverse engineere, men det ved jeg ikke endnu.
wcap og wcu er lavet i .net , men der er også en service der kører, den mistænker jeg for at holde des nøglen, og den er muligtvis skrevet i et sprog der er lidt mere besværligt at reverse engineere, men det ved jeg ikke endnu.
des nøglen til konfigurations filen er: (4gH89>w
føler jeg mig ret sikker på, post filen, så kan vi prøve at dekryptere den ;)
Hele trojaneren er iøvrigt skrevet i .net så vidt jeg kan se
føler jeg mig ret sikker på, post filen, så kan vi prøve at dekryptere den ;)
Hele trojaneren er iøvrigt skrevet i .net så vidt jeg kan se
Vossen (14) skrev:Jeg havde fjernet filen, men nu har jeg tjekket. Skidtet bliver installeret med 'Foto mappe - selvudpakkende.exe' fra 'Studenter_patter!.zip' fra Peecee-tråden.
Du får lige LKSettings.dat her.
You got baited...and fell in...seriøøst, hvem helvede henter overhovedet en fil med de navn og beskrivelse?
No wonder folk får lort på deres PC, når det er pikken der sidder i føresædet på nettet...
#15
Jeg var obs på risikoen, men hvis du mangler noget at lave, så hvorfor ikke? Jeg har nu haft flere timers sjov med at finde ud af hvordan det hænger sammen. :)
Normalt køres de ting på en virtuel maskine på et lukket netværk med snapshots og mulighed for at lukke nettet, men nu var jeg ikke lige hjemme.
Her er den komplette pakke med filer fra den.
EDIT: Jeg kan ikke finde andre forbindelser til nettet en den vist længere oppe i #4.
Jeg var obs på risikoen, men hvis du mangler noget at lave, så hvorfor ikke? Jeg har nu haft flere timers sjov med at finde ud af hvordan det hænger sammen. :)
Normalt køres de ting på en virtuel maskine på et lukket netværk med snapshots og mulighed for at lukke nettet, men nu var jeg ikke lige hjemme.
Her er den komplette pakke med filer fra den.
EDIT: Jeg kan ikke finde andre forbindelser til nettet en den vist længere oppe i #4.
det lader til at lksettings.dat er krypteret med cipher block chainning mode des, og iv vektoren er i hex:
78ef1256cd90ab34
og koden er som sagt før:(4gH89>w
jeg kan decryptere filen senere i aften, hvis der ikker er nogen der kommer mig i forkøbet, nu skal jeg til styrkeløft :)
78ef1256cd90ab34
og koden er som sagt før:(4gH89>w
jeg kan decryptere filen senere i aften, hvis der ikker er nogen der kommer mig i forkøbet, nu skal jeg til styrkeløft :)
7za.exe er tilsyneladende skrevet i ms visual studio c++( gæt jeg har ikke kørt peID på den endnu) så den er lidt mere udfordrende at kigge på, jeg har sat min hex rays decompiler igang, så kan den stå og tygge på filen mens........
Cloud02 (20) skrev:#14
Spørgsmål... hvordan er den blevet aktiveret på din maskine?
Første del er jo at få den ned på maskinen, det klarede du jo fint ved at hente zip-filen og udpakke.
Men exe-filen skal vel køres eller aktiveres på anden vis før den selv bliver aktiv?
Er det ikke en selvudpakkende zip fil?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund