Warnung kryptowehrmann.com schickt Malware

[Timo1983]

Hast PN

Kann man das auslesen was die Exe. Anrichtet ? Pauschal behaupte ich Zugangsdaten abgreiffen

[truelife]

Danke, ist angekommen. Gucke ich mir von daheim in der Sandbox mal an. Mein Verdacht geht in die gleiche Richtung. Eventuell ein Keylogger zum Mitschneiden der Tastatureingaben (Passwörter abgreifen), oder aber ein Trojaner, der gezielt Walletadressen und Zugänge offenbaren soll. Mal gucken, was so in der Sandbox passiert.

[truelife]

Ist - wie erwartet ein Infostealer. Da läuft eine Variante von RedLine.

Zum Nachlesen:

[Link nur für registrierte Mitglieder sichtbar. ] (englisch)
[Link nur für registrierte Mitglieder sichtbar. ] (deutsch)

Dass du nach dem Starten der Datei nix gesehen hast, ist Absicht. Es passiert auch nix auf dem Bildschirm. Im Hintergrund hingegen schon. Speziell deine Datei macht folgendes:

Sie klaut Zugangsdaten für Kryptowährungen, dabei prüft Sie, ob es folgende Pfade auf dem Rechner gibt:

"C:\Users\%USERNAME%\AppData\Roaming\Armory"
"%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\ELECTRUM\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\ETHEREUM\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\EXODUS\EXODUS.WALLET"
"C:\Users\%USERNAME%\Documents\MONERO\WALLETS"
"%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS"
"%APPDATA%\ELECTRUM\WALLETS"
"%APPDATA%\ETHEREUM\WALLETS"
"%APPDATA%\EXODUS\EXODUS.WALLET"
"%USERPROFILE%\Documents\MONERO\WALLETS"

Wenn die Pfade vorhanden sind, wird versucht, jeweils die Walletadressen zu kopieren.

Weiterhin wird versucht, Benutzerdaten auszulesen, unter anderem aus Browsern und von FTP-Zugängen und natürlich Wallets:

"C:\Users\%USERNAME%\AppData\Roaming\K-Meleon"
"%LOCALAPPDATA%\CHROMIUM\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\GOOGLE\CHROME\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\MAPLESTUDIO\CHROMEPLUS\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\IRIDIUM\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\7STAR\7STAR\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\CENTBROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\CHEDOT\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\VIVALDI\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\KOMETA\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\ELEMENTS BROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\EPIC PRIVACY BROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\UCOZMEDIA\URAN\USER DATA"
"%APPDATA%\Thunderbird"

Dann lernt das Programm noch deinen Rechner kennen:

IP-Adresse
Stadt
Land
aktueller Benutzername
Version des Betriebssystems
UAC-Einstellungen
Administratorrechte vorhanden?
PC-Prozessor
Grafikkarte
Antiviren-Software
Antispyware-Software
Firewall

All das, was dabei rumkommt, jagt der Infostealer erstmal heim. "Daheim" ist die IP 5.42.65.48 an Port 8477. Die IP ist online und wird von einem russischen Unternehmen gehostet.

Das bedeutet: wenn nicht dein Antivirenprogramm dazwischengegrätscht ist, hast du einen aktiven Infostealer auf deinem System, der direkt brav erstmal alles nach Hause telefoniert hat, was er gefunden hat.

Das bedeutet: über einen anderen Rechner die Zugangsdaten der Dienste ändern, die du nutzt und in der Liste oben jeweils aufgeführt sind.

Bei den Kollegen von trojaner-board.de Bescheid geben und jemanden dort bitten, deinen Rechner aus der Ferne zu überprüfen. Die haben das feste Routinen mit Freeware wie Combofix und RKill.

[Timo1983]

Ja besten Dank wohl dem der Hardware Wallets verwendet.

Auf Electrum/Exodus ist kein Guthaben vorhanden, gleichwohl ich diese Sofware Wallets aber auf den PC habe bzw hatte. Sicherheitshalber mal deinstallieren bzw wenn Softwarre Wallet dann neue Wallets anlegen