Trojaner in Verbindung mit rundll32.exe

Hi,
ich bin als ausgebildeter Informatiker eigentlich extrem sensibilisiert worden, was Datensicherheit und das erkennen von Viren etc. angeht.

Doch nun habe ich mir selber etwas eingefangen und weiß leider nicht woher.
Ich führe stehts nur Dateien aus, die ich selber runtergeladen habe. Also scheidet Mail und gefakte Downloadmanager eigentlich aus. Dennoch wird es wohl eine andere exe mit allgemeinem Nutzen für mich geschafft haben ein Anhängsel mit zu bringen.

Wie auch immer, ich bin ihn vermutlich wieder los, trotzdem möchte ich ein wenig forschen, um was es sich gehandelt haben könnte. (Oder kann, falls er noch da ist)

als erstes, wie er mir aufgefallen ist:
Es öffnete sich eine Vollbildseite, die definitiv vom Task meinen Browsern zuzuordnen war, auf der diverse Strafdelike aufgelistet waren. Ich sollte einen Betrag überweisen, um diese vermeitliche Schuld zu begleichen *schon klar*. Nur dumm, dass ich ausschließlich Onlinebanking betreibe und somit selbst bei ausgeschaltetem Gehirm nicht folge leisten könnte Jedenfalls hat sich dieses Fenster immer in den Vordergrund geholt, egal welche Tastenkombination für den Taskmanager etc. ich gedrückt habe. Gleichzeitig wollte der Registrierungseditor auf meinen Rechner zu greifen, was ich vehement verneint habe. (Also ein Win7 Sicherheitsfenster, ganz sicher kein Fake vom Trojaner)

Aus der Sache, bin ich nur raus gekommen, indem ich die Tastenkombination für „Abmelden“ gedrückt habe und mir dann „msconfig“ im abgesicherten Modus angeschaut habe.

Dort gab es einen Eintrag, denn ich nicht kannte namens:
„21b28zj Hersteller Unbekannt C:\Windows\System32\rundll32.exe C:\PROGRA~3\jz82b12.plz,GL300“

Zur Sicherheit habe ich diesen Eintrag deaktiviert und diese komische Datei und drei ähnliche in einen anderen Ordner verschoben, so dass der Trojaner diese nicht mehr findet/gebrauchen kann.

Danach Neustart mit komplettem Virenscann. Er hat noch etwas gefunden und entfernt, jedoch nicht auf die rundll32.exe verwiesen, sondern eher selbst geschriebene Programme von mir, die er fragwürdig fand.

Daher meine Frage:
Was macht diese Datei unter Win7 überhaupt und welche Parameter insbesondere andere Dateien kann man dieser mit zur Ausführung geben? Die Wilde Zahlenfolge ist wohl eher zufällig generiert worden, weswegen ich auch nichts im Netz finden kann. Mich würde interessieren, um was es sich genau gehandelt hat, damit ich die Festplatte erneut gezielt danach scannen kann.

Die drei verschobenen Dateien erkennt er übrigens nicht als Virus oder so an.
Die PFF hat sogar 92MB, was bei meiner langsamen Internetleitung hätte extrem auffallen müssen.

Grüße Oekel

sorry vertippt, wieso kann man hier nicht editieren?
Egal: „…Vollbildseite, die definitiv NICHT vom Task meinen Browsern zuzuordnen war,…“

Hallo,
also ganz ausführlich kann ich nicht antworten,
aber ich hatte selbst bereits 3-4 mal PC’s bekommen mit dem U-Cash Zahlen, da man Pornografische sachen usw. hätte gemacht.
Auf einen PC (FrauenPc) war eigentlich nichts installaliert außer Firefox.
Ich habe ja die Vermutung davon kam es. Aber halt nur Vermutung.
Ich selbst Surfe selten mit Firefox und kaum mit IE.
Und habe mir sowas noch nie zugezogen.

Ich würde auch gern wissen von was das kommt. Vielleicht schreibst mal mit welchen
Browser du arbeitest?

die 92MB Große Datei glaub ich nicht das die vom Virus ist.

Grüße
Werner

Moin,

wieso kann man hier nicht editieren?

aus 1000 guten Gründen, siehe Archiv. Lässt sich umgehen, indem man ein paarmal den Zurück-Button anklickt, dann landet man wieder im Antwort-Fenster. Mit Text.

„…Vollbildseite, die definitiv NICHT vom Task meinen
Browsern zuzuordnen war,…“

Eh klar. Die rundll32.exe wird immer dann gebraucht, wenn irgend ein Programm eine Routine aufruft, die in einer Bibiliothek, eben einer dll, abgelegt ist.

Gruß Ralf

Hallo Oekel,

als erstes solltest ud ein System einmal mit einer Live-Antiviren-Cd überprufen. Bitte herunterladen, auf CD brennen und dann das System von dieser CD starten.

Hier einige Images zum herunterladen:

http://scareware.de/download/rescue-boot-cds/

Dann den/die Befund/e hier posten.

Der Versuch, ein infiziertes System aus diesem infiziertem System heraus auf Schädlinge zu überprüfen ist nicht sonderlich erfolgversprechend.

Grüße

fribbe

Hallo Werner,

zu:

„also ganz ausführlich kann ich nicht antworten,
aber ich hatte selbst bereits 3-4 mal PC’s bekommen mit dem U-Cash Zahlen, da man Pornografische sachen usw. hätte gemach“

Warum antwortest du dann?

Grüße fribbe

Hallo Oekel,

du hast sicherlich auch mich unter anderen ausgewählt, weil ich mich mit Deskmodding befasse. Da habe ich natürlich jede Menge mit System-Dateien zu tun, die es gilt ein bisschen zu manipulieren.
Jedoch bin ich kein Programmierer oder informatiker und kann dir leider nicht helfen.

Ich finde es aber gut, dass du das interessante Problem hier schilderst.
So kann ich als Computeruser mal sehen, dass sich auch Informatiker Trojaner und Viren einfangen oder sich wundern, woher irgendwelche komischen Dateien kommen.
Ich dachte immer der Normalo wie ich wundert sich darüber nur.
Der Unterschied zwichen einem IT-Spezialisten wie dir und einem Normaluser wie mir besteht darin, dass ich keine Ahnung habe und mir darum keine Sorgen mache

Sorry, dass ich nicht helfen konnte …

Jens

Doch nun habe ich mir selber etwas eingefangen und weiß leider
nicht woher.

Mein GVU Trojaner, den ich mir so etwa 1-2 Mal im Jahr einfange, kommt meiner Meinung nach durch Flash.

Durch diese scheunentorgroße Sicherheitslücke kann der Schädling am Virenscanner vorbei in den Hauptspeicher platziert werden, und er wird dort sofort aktiv. Leider (aus seiner Sicht) überlebt er so natürlich einen Computerneustart oder Logoff nicht.

Was Du da gefunden hast, ist sein EInklinkpunkt für den nächsten Login nach Systemneustart oder Logoff. Im Zusamenhang damit muss er seinen Schadcode natürlich noch irgendwo auf der Festplatte zwischenspeichern. Er wählt dazu (bei mir) das %TEMP% Verzeichnis, und gibt sich einen kryptischen Namen, das dient aber nur der Tarnung. Das ist dann der Punkt, wo er aktuellen Virenscannern manchmal auffällt, aber dann ist es bereits zu spät. Die Schadroutine kapert sofort den Bildschirm und die Tastatur und Maus, und damit bist Du effektiv ausgesperrt. Lediglich Alt-Strg-Entf lässt sich nicht kapern, weil diese Tastenkombination von Windows in einem völlig anderen Systemmodul abgehandelt wird, und das schafft der Trojaner nicht. Deshalb geht Alt-Strg-Entf noch.

Ich führe stehts nur Dateien aus, die ich selber runtergeladen
habe.

Also scheidet Mail und gefakte Downloadmanager
eigentlich aus. Dennoch wird es wohl eine andere exe mit
allgemeinem Nutzen für mich geschafft haben ein Anhängsel mit
zu bringen.

Ich zocke machmal ein Spielchen online, und das ist idR Flash, und da ich stets dann deas GVU teil einfange bin ich mir fast sicher, dass Flash die Lücke macht. Das würde auch das wellenförmige Auftauchen leicht veränderter GVU versionen alle paar Monate erklären: Adobe patcht mal wieder, jemand setzt sich hin und schreibtd en Trojaner auf eine andere Flash Lücke um, und infiziert wieder ein paar Online-Games. Dann muss er nur noch warten.

Wie auch immer, ich bin ihn vermutlich wieder los, trotzdem
möchte ich ein wenig forschen, um was es sich gehandelt haben
könnte. (Oder kann, falls er noch da ist)

Hab ich damals auch getan, Informatiker grüßt Informatiker. An Ratschlägen „Mach den rechner platt“ hat es nicht gefehlt. Aber das wäre so waidmännisch wie mit einer gatling auf Hasenjagd gehen

Dort gab es einen Eintrag, denn ich nicht kannte namens:
„21b28zj Hersteller
Unbekannt C:\Windows\System32\rundll32.exe C:\PROGRA~3\jz82b12.
plz,GL300“

Ein bisschen Tarnung für den Trojaner, aber kein Hexenwerk. C:\Progra… ist die 8.3 Notation für den Ordner, wo sich der Code für den nächsten Start eingenistet hat. Gib mal ein:

dir c:\ /x,

und da bekommst Du dann Deinen ~ (8.3) Namen und den Klartext des Verzeichnisses aufgelistet. Wahrscheinlich ist es c:\programme. Das ist a weng seltsam, da sollte der Trojaner nämlich nicht hinschreiben können ohne dass die UAC misstrauisch wird, aber egal. Du wirst es genau wissen wenn Du weisst was c:\progra~3 im Klartext für ein Verzeichnis ist. Meine Besucher kopieren sich immer nach

C:\Users…~1\AppData\Local\Temp

das ist die 8.3 Form von %TEMP%

Daher meine Frage:
Was macht diese Datei unter Win7 überhaupt und welche
Parameter insbesondere andere Dateien kann man dieser mit zur
Ausführung geben? Die Wilde Zahlenfolge ist wohl eher zufällig
generiert worden, weswegen ich auch nichts im Netz finden
kann.

Die"wilde Zeichenfolge" ist der 8.3 Name der Trojanerdatei samt Pfad. Und RunDLL32 ist ein Systemtool, mit dem man beliebige als dll codierte Programme über die Kommandozeile aufrufen kann. Die Syntax ist

rundll32 ,

Die Trojaner-DLL ist also bei Dir jz82b12.plz (man kann eine dll taufen wie man will, .dll ist zwar üblich, aber nicht Gesetz), und GL300 ist ein Parameter, vermutlich Fake. Das ganze Gedöhns dient nur zur Tarnung.bzw. Verwirrung.

Rundll32 c:\users\armin\appdata\local\temp\gvutrojan.dll

hätts auch getan

Um rundll32 zu erforschen eignet sich am besten ein „ungetarntes“ Beispiel. Es gibt eine Windows Standard dll, user32.dll, die einen Haufen nützliche APIs enthält, unter Anderem LockWorkstation, das die Konsole sperrt (Äquivalent Windows-Taste + L)

rundll32.exe user32.dll,LockWorkStation

ruft genau das auf. Da LockWorkstation keine Parameter braucht, entfällt das dritte ,… Element in der Zeile.

Alles klar?

Gruss Armin.