Microsoft dropper omdiskuterede Xbox One-restriktionerLidt detaljer om The Order: 1886
Nets ventes sat til salgDead Space-franchisen lagt på isCapcoms Deep Down er ikke Dragon's Dogma 2Max Payne 3 rammer snart MacLav din egen Nvidia GPUFørste test af Snapdragon S800 offentliggjortShadowrun Returns er klar til udgivelse den 25. juliThe Last of Us imponerer på førsteugenForetrukkent server side scripting sprog/framework?
2. jul. 2012 11:57
Kære Newz,
Enten er jeg blevet paranoid over nye Windows features eller også så er jeg faktisk blevet ramt af nogle ret suspekte filer.
Jeg har end til nu fundet 5 filer. wcap.exe, wcu.exe, WCUCleanup.exe, restartwcu.exe og DirectShowLib-2005.exe. De ligger alle i min System32-mappe og hverken MSE eller VirusTotal finder dem suspekte.
wcap.exe kræver DirectShowLib-2005.dll for at køre og den ser ud til at tage billeder med mit webcam og derefter gemme dem i en mappe der hedder Capture i System32-mappen.
http://vossnetworks.dk/wcap/1.png
http://vossnetworks.dk/wcap/2.png
http://vossnetworks.dk/wcap/3.png
wcu.exe kan jeg kun se bruges til at starte wcap.exe ved opstart og hvis wcap.exe bliver lukket. wcu.exe ser ud til at være installeret som en service, ikke at jeg har fundet den endnu, men hvis filen startes gennem kommando linie, så fortæller den mig at den skal køres som en service.
restartwcu.exe kan jeg næsten gætte mig til hvad gør, genstarter programmet.
WCUCleanup.exe har jeg ikke prøvet endnu og jeg er ikke klar over hvad den gør.
Alle filerne er usynlige i Windows Explorer selvom jeg har visning af skjulte filer slået til. Måden jeg faktisk fandt filerne var gennem søge programmet Everything, FileZilla og Task Manager.
http://vossnetworks.dk/wcap/4.png
http://vossnetworks.dk/wcap/5.png
Hvordan finder jeg ud af om filerne har netværks adgang og smider de billeder der bliver taget på nettet? Hvis sprog er de skrevet i? Er der nogen der kan åbne filerne? Hvad gør de rent faktisk? Hvordan fanden har jeg fået dem? Er det bare en ny Windows feature?
De har været på min computer siden i går (1/7) omkring klokken 22.18 og der er blevet tager billeder siden. Jeg kan ikke huske hvad jeg lavede på det tidspunkt.
Hilsen/På forhånd tak,
Stig
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 12:25
DirectShowLib-2005.dll : Virustotal
restartwcu.exe : Virustotal
wcap.exe : Virustotal
wcu.exe : Virustotal
WCUCleanup.exe : Virustotal
Umiddelbart er der ingen af de filer der bliver fanget a virustotal.
404 Not Found
2. jul. 2012 12:26
Nej, det var også det der undrede mig.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 12:39
Nu har jeg kigget lidt på forbindelser og jeg kan se at wcu.exe har forbindelse til nettet, dog er jeg lidt overrasket over destinationen og især fordi jeg ikke har det program installeret.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 12:43
her er en tidligere udgave for wcap.exe på virustotal
Newz.dk - Stedet hvor vi alle er eksperter på det der bliver diskuteret.
2. jul. 2012 12:52
Jeg har også set den tidligere upload, men jeg kan kun se at det er filnavnet de har tilfælles.
Den gamle ser ud til at være en FakeAV, min tager billeder via webcam.
Bare lige for en bonus note, så kan den godt være kommet sammen med denne fil fra Peecee-tråden.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 13:18
Har du slået "Vis skjulte systemfiler" til i Explorer?... Så burde du kunne se dem - selvom de er skjulte :)
- jeg har en helt fresh Win7 Ultimate install (Formaterede for en uge siden) - og det ser ikke ud til at jeg har de nævnte filer?..
- edit -
Det er dog en stationær uden webcam - måske derfor?
- http://www.knowyournewz.dk -
2. jul. 2012 13:26
Har du slået "Vis skjulte systemfiler" til i Explorer?... Så burde du kunne se dem - selvom de er skjulte :)Thoroughbreed (#7)
Tak, det var problemet.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 13:36
Som bonus info kan jeg også fortælle at WCUCleanup.exe fjerner de andre filer og fjerner Capture-mappen med indhold.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 13:49
jeg har kigget lidt på filerne, det lader til at wcu.exe kører en webservice, der modtager xml input, og så giver en attacker adgang til at liste filer, hente filer, starte webcam, kører enhver fil og hente filer.
Prøv at undersøg hvilken port den lytter på net en netstat -A
rigtige mænd går med sløvpaprishatte
2. jul. 2012 13:52
tag også lige og vis os filen lksettings.dat den er sikkert i system32, der er trojanen konfigureret
rigtige mænd går med sløvpaprishatte
2. jul. 2012 13:56
lksettings.dat er krypteret med en simpel symmetrisk des nøgle, den SKAL være på 8 karakteret, så den er nok ikke så svær at bruteforce hvis jeg ikke kan extracte fra sourcen.....
wcap og wcu er lavet i .net , men der er også en service der kører, den mistænker jeg for at holde des nøglen, og den er muligtvis skrevet i et sprog der er lidt mere besværligt at reverse engineere, men det ved jeg ikke endnu.
rigtige mænd går med sløvpaprishatte
2. jul. 2012 14:00
des nøglen til konfigurations filen er: (4gH89>w
føler jeg mig ret sikker på, post filen, så kan vi prøve at dekryptere den ;)
Hele trojaneren er iøvrigt skrevet i .net så vidt jeg kan se
rigtige mænd går med sløvpaprishatte
2. jul. 2012 14:02
Jeg havde fjernet filen, men nu har jeg tjekket. Skidtet bliver installeret med 'Foto mappe - selvudpakkende.exe' fra 'Studenter_patter!.zip' fra Peecee-tråden.
Du får lige LKSettings.dat her.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 14:05
Jeg havde fjernet filen, men nu har jeg tjekket. Skidtet bliver installeret med 'Foto mappe - selvudpakkende.exe' fra 'Studenter_patter!.zip' fra Peecee-tråden.
Du får lige LKSettings.dat her.Vossen (#14)
You got baited...and fell in...seriøøst, hvem helvede henter overhovedet en fil med de navn og beskrivelse?
No wonder folk får lort på deres PC, når det er pikken der sidder i føresædet på nettet...
Linux is only free if your sparetime has no value & AMD is only cheaper if your (spare)time has no value...
2. jul. 2012 14:11
#15
Jeg var obs på risikoen, men hvis du mangler noget at lave, så hvorfor ikke? Jeg har nu haft flere timers sjov med at finde ud af hvordan det hænger sammen. :)
Normalt køres de ting på en virtuel maskine på et lukket netværk med snapshots og mulighed for at lukke nettet, men nu var jeg ikke lige hjemme.
Her er den komplette pakke med filer fra den.
EDIT: Jeg kan ikke finde andre forbindelser til nettet en den vist længere oppe i #4.
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
2. jul. 2012 14:12
det lader til at lksettings.dat er krypteret med cipher block chainning mode des, og iv vektoren er i hex:
78ef1256cd90ab34
og koden er som sagt før:(4gH89>w
jeg kan decryptere filen senere i aften, hvis der ikker er nogen der kommer mig i forkøbet, nu skal jeg til styrkeløft :)
rigtige mænd går med sløvpaprishatte
2. jul. 2012 14:27
7za.exe er tilsyneladende skrevet i ms visual studio c++( gæt jeg har ikke kørt peID på den endnu) så den er lidt mere udfordrende at kigge på, jeg har sat min hex rays decompiler igang, så kan den stå og tygge på filen mens........
rigtige mænd går med sløvpaprishatte
2. jul. 2012 14:28
fuck det, det var bare 7zip.......
rigtige mænd går med sløvpaprishatte
2. jul. 2012 14:33
#14
Spørgsmål... hvordan er den blevet aktiveret på din maskine?
Første del er jo at få den ned på maskinen, det klarede du jo fint ved at hente zip-filen og udpakke.
Men exe-filen skal vel køres eller aktiveres på anden vis før den selv bliver aktiv?
Newz.dk - Stedet hvor vi alle er eksperter på det der bliver diskuteret.
2. jul. 2012 14:37
#14
Spørgsmål... hvordan er den blevet aktiveret på din maskine?
Første del er jo at få den ned på maskinen, det klarede du jo fint ved at hente zip-filen og udpakke.
Men exe-filen skal vel køres eller aktiveres på anden vis før den selv bliver aktiv?Cloud02 (#20)
Er det ikke en selvudpakkende zip fil?
Maybe the dingo ate your baby!
2. jul. 2012 14:40
I morgen dukker Vossen_patter.zip op i peecee-tråden.
You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.
2. jul. 2012 14:45
#20
Det er en selvudpakkende zip-fil og selvfølgelig skulle der klikkes på den og det har jeg da også gjort.
#22
Jeg er ked af at sige det, men jeg har ikke patter mere, det bedste i kan få er vossen_med_fingeren_i_næsen.zip
Intel Core i5-3320M @ 2.6 GHz, 2x 8GB DDR3 RAM, Crucial M4 128 GB SSD mSATA, 500 GB HDD 7200 RPM, 12.5" IPS - Lenovo ThinkPad X230
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
