Trojanerwarnung!!

    • chefkoch
      chefkoch
      Bronze
      Dabei seit: 28.01.2006 Beiträge: 46
      Hi all,

      Ich haette eine Warnung fuer alle, die den Rakeback Calculator (oder irgendwelche andere Tools von http://www.checkraised.com) verwenden. Diese Applikation ist ein Trojaner!!

      Ich habe heute eine Analyse dieser Software gemacht und ich bin sicher, dass sie Passwoerter von den gaengigen Pokerseiten ausspioniert. Ausserdem glaube ich, dass sie auch Screenshots (mit den
      Holecards) ueber einen VNC-Server verschickt, das kann ich aber nur vermuten, nicht beweisen.

      Bloederweisse wird die Software momentan nicht von allen Virenscannern erkannt und es gibt soweit ich weiss auch noch keine anderen Analysen im Inet.

      Nach meiner Analyse werden die folgenden Files erzeugt:

      \WINDOWS\system32\d3dclsrv.dll
      \WINDOWS\system32\ndsdavsrv.sys
      \WINDOWS\system32\comclg32.dll
      \WINDOWS\system32\utlsrv.exe

      Zusaetzlich gibt es eine Registrykey, der utlsrv.exe automatisch startet und durch rootkit-techniken versteckt wird.

      Entfernung:

      - Das System mit dem RootkitRevealer (http://www.sysinternals.com/Utilities/RootkitRevealer.html) scannen und den Registrykey, der den utlsrv startet, merken

      - Windows im abgesicherten Modus starten und den Key sowie die 4 Files loeschen

      Bei mir wurde durch das Entfernen die Party-Software merklich schneller, also sollten alle, die ueber aussetzer klagen, mal schauen, ob die Files vielleicht vorhanden sind.

      Ach ja, am Ende waers eine gute Idee, alle Passwoerter zu aendern!! :)

      Wenn irgendwer, der das liest, Adminrechte im Forum hat, waere es ganz lieb, die Verweise auf die Software aus dem Forum zu loeschen. So hab ich mir das Ding naemlich auch erst geholt :)

      Lg,
      Andy
  • 59 Antworten