Servus,
ich bin mir nicht sicher, wo es gepostet werden sollte und entschuldige mich, falls falsch, allerdings habe ich heute bemerkt, dass bei der Nutzung von folgendem (und auch einige andere des selben Mitglieds) ein D*ropper geladen wird, welcher u.a. einen R*AT ausführt, welcher zu einer IP in Frankreich verbindet.
[
Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Ebenso führt die Aktivierung (AdobeGenP.exe) folgenden Powershell code (B*ase64 encoded und File obfuscated) aus.
Add-MpPreference -ExclusionPath @($env:UserProfile,$env:SystemDrive) -Force
Der R*at tarnt sich kurzfristig unter \AppData\Local\Wbnuonp.exe, welches dann einen Zufallsnamen nutzt und in %appdata% mit Autostart hinterlegt wird.
Die Datei wird getarnt als "Google Chrome".
[
Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[
Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Der T*rojaner selbst verbindet zu folgender IP
[
Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Falls der Post unerwünscht, bitte löschen