Wenn sm.de plötzlich die Startseite ist

Da öffnet man den Browser (hier: Google Chrome) und hat plötzlich „sm.de“ als Startseite. Was soll dieser Quatsch? Und wo kommt das denn plötzlich her? Eigentlich ist das eine ganz einfache Sache, denn ich muss irgendwie dieser Tage mal auf einer nicht ganz astreinen Seite vorbei gesurft sein. Und hier muss ich einfach mal etwas dazu schreiben. Hinweis: Dieser Artikel wurde weiter unten im Januar 2020 aktualisiert. Mittlerweile sieht sm.de anders aus. Aber ist sie deshalb nun besser?

Was ist das mit sm.de?

Die Seite sm.de sieht aus wie eine antiquierte Version der Google-Suche. Mir fiel deshalb die Startseite auf, weil ich erst dieser Tage die Startseite geändert habe. Sonst wäre es mir vielleicht beim zweiten Hinschauen aufgefallen. Wie ich nun einmal bin, musste ich mir mal Informationen zu der Webseite einholen, und ich bin auf interessante Dinge gestoßen. Schauen Sie mal:

Domain: sm.de
Inhaber: Aller Media e.K.
Ort: Verden

Auf der Webseite sm.de finden wir noch weitere Informationen. Denn wie es nun einmal in Deutschland Gesetz ist, muss ein Impressum vorhanden sein. Den Link dazu finden wir unten rechts. Und der Link würde dann zu einer Domain am.de führen. Wer steckt dort dahinter? Schauen wir doch einfach mal. Und wir finden die folgenden Informationen:

Domain: am.de
Inhaber: Computer & Service - Bohling
Ort: Verden

Nur um nichts falsches zu erzählen: Beide gehören in die gleiche Adresse. Das kann man alles selbst heraus finden. Ebenso, wie man herausfinden kann, was noch so bekannt ist. „Computer & Service“ gehört zu einem Herrn Frank Bohling. Und wenn ich nach dem schaue, stoße ich auf komische Geschichten rund um den VLC Media Player, der Software zum Abspielen von Multimedia-Inhalten. Der soll manipuliert worden sein. Das findet man zum Namen.

Die Seite sm.de am 25.01.2020
Die Seite sm.de am 25.01.2020

Pokki, der schlimme Finger

Tja, was mache ich denn nun? Es wurde auf jeden Fall Adware eingeschleust. Das ist Software, die Werbung anzeigen soll oder weitere Software im Hintergrund installiert. Also habe ich mal ein Reinigungsprogramm installiert. Und das förderte folgenden Registry-Schlüssel zu Tage:

HKCU\Software\Pokki

Und wenn man hier weiter recherchiert, stößt man auf Warnungen, dass da tatsächlich ein Trojaner installiert worden sein könnte. Sagen Sie mal, Herr Bohling, was soll das werden? Aber wer weiß, vielleicht sollte ich das den Herrn Bohling selbst mal fragen. Das da ist seine Firma in Verden. Der Link zum Impressum führt zu „Aller Media“. Was auch immer das ist.

Hallo, jemand zuhause?

Was hat Herr Bohling zu dem gesagt, was ich festgestellt habe? Ich habe ihm eine Email geschickt. Und die lautet wie folgt:

Sehr geehrter Herr Bohling,

mir ist bekannt, dass Ihnen die Webseite „sm.de“ gehört. Darauf gestoßen bin ich, nachdem in meinem Standard-Browser Ihre Webseite ohne mein Einverständnis zur Startseite wurde.
Ich habe mich dazu gefragt, was die Hintergründe zu „sm.de“ sind. Und ich habe recherchiert. Ich habe hierzu auf meiner Webseite einen Blogartikel vorbereitet. Ich möchte Ihnen gern den bisherigen Text zur Kenntnisnahme zur Verfügung stellen und Sie bitten, sich dazu zu äußern. Ihre Reaktion werde ich ohne nochmalige Rückfrage am 03.07.2017 veröffentlichen.
Arbeitet so ein Computer-Service? Soll erst per Drive-by schädliche Software eingeschleust werden, die dann kostenpflichtig wieder entfernt werden soll? Ich will niemandem etwas unterstellen, ich frage nur. Entsprechend ist mir ihre Antwort auch wichtig. Bitte lesen Sie den folgenden Text und teilen mir Ihren Standpunkt mit.
Hinweis: Meine Quellen habe ich mir zwischenzeitlich gespeichert. Ich kann also die Zusammenhänge nachweisen.

Mit freundlichen Grüßen,
Henning Uhle

Und die Reaktion?

Der Artikel ist fertig, wie Sie sehen. Und die Antwort? Da kam nichts. Schade. Der Herr Bohling hätte mit großer Sicherheit Zweifel ausräumen können, wenn da nichts dran ist. So muss man leider denken, dass durch einen Computer-Notdienst schädliche Software – und Werbesoftware und nicht zugestimmte neue Startseiten gehören dazu – verteilt wird, die dann vermutlich durch eine Fernwartung.exe von der Webseite entfernt werden soll. Und das gehört sich nicht, oder?

Wenn es denn eine plausible, andere Erklärung gegeben hätte. So aber warte ich seit einem Monat auf eine Antwort. Und die kam leider niemals bei mir an. Also ist es wahrscheinlich von der Firma so gewollt, oder?

Nachtrag Januar 2020

Wie weiter oben zu sehen ist, sieht sm.de nicht mehr so antiquiert aus. Ich habe allerdings keinen blassen Schimmer, ob sie inzwischen frei von den Vorwürfen sein kann. Der Herr Bohling hat mir nach wie vor nicht geantwortet. Und somit kann ich nichts dazu beitragen, mehr über diese Seite und die Suchmaschine zu erfahren. Wie auch schon bei anderen Themen.

64 Replies to “Wenn sm.de plötzlich die Startseite ist”

  1. *** Der Link zum Impressum führt zu „Aller Media“. Was auch immer das ist. ***

    Verden liegt an der „Aller“, einem Fluss. Daher wahrscheinlich der Firmenname.

    1. Habe das selbe Problem gehabt. Trotz vieler Bemühungen ist es mir nicht gelungen diese „Laus“ dauerhaft zu entfernen. War nach jedem Neustart wieder da. Habe gottseidank von meinem System regelmäßig Images angelegt, und dann das letzt datierte zurück gespielt. Problem war damit erledigt. Updates vom VLC-Player werde ich zukünftigt unterlassen, bzw. auf eine altenative Playersoftware umsteigen.

  2. Danke für den Artikel, hat mir SEHR geholfen!
    sm.de kam bei mir entweder mit einem VLC-Update oder WhatsApp für Windwos Update am 26.4.2018, kann ich heute nicht mehr nachvollziehen.
    Was ich aber weiß ist, dass mit selben Datum auch ein Programm Namens „Startfenster-Replace“ installiert wurde – laut Impressum = „Aller-Media“ = http://www.aller-media.de/impressum.php, auch in Verden.

    Nach der Deinstallation des Programms kommt Im Browser (Google Chrome) eine Deinstallations-Info, wo diese beiden Links nicht funktionieren:
    http://www.startfenster.de/deinstall/link?id=impressum
    http://www.startfenster.de/deinstall/link?id=kontakt
    Erst beim Impressum von http://www.startfenster.de/ kam/kommt http://www.aller-media.de/impressum.php

  3. Vielen Dank für die Info. Bei mir war es durch ein Update des VLCs dieser Tage. Sehr ärgerlich. Aktiv wird das Ding aber auch erst nache einem Neustart des Rechners – der bei mir auch mal beruflich bedingt Tage nur auf Standby ist, weshalb ich es heute erst bemerkt habe. Und das, kurz bevor ich Online Unterricht geben muss.
    Ich frage mich ernsthaft, was in den Köpfen solcher Leute vorgeht….

    1. Siehe meinen Post „Hans Pilles“ vom 2. Mai = mit der Deinstallation des Programms „Startfenster-Replace“ war bei mir wieder alles OK.

  4. Der VLC-Player kommt von Aller Media. ich weiß nocht, ob das schon immer so war, jedenfalls kam sm.de erst beim letzten Update mit, vorher war das nach mehreren Updates nicht der Fall.

    Reicht die Entfernung mit adwcleaner oder ist er danach immer noch irgendwo versteckt?

    Danke!

    1. Siehe meinen Post „Hans Pilles“ vom 2. Mai = mit der Deinstallation des Programms „Startfenster-Replace“ war bei mir wieder alles OK.

      1. Auch ich habe mir diesen Dreck heute eingefangen, nachdem ich ein Update des VLC Players gemacht habe – auf das mich Windows hingewiesen hat. Beim Installationsvorgang habe ich keine Info wahrgenommen, dass das unerwünschte Programm mitinstalliert wird – anders, als bspw. bei Java-Updates. Bitdefender hat nicht angeschlagen. Den VLC-Player als Verursacher schmeiße ich mit vom PC.

        Ist das überhaupt Rechtens? Wenn nein, muss es doch entsprechend Möglichkeiten geben, oder?

  5. Und ich habe heute ein Update gemacht, wo mich nicht Windows sondern der VLC-Media Player selbst aufgefordert hat. Und, siehe da alles OK! Keine Änderung der Startseite.
    Ich finde es spannend, dass es offensichtlich nicht so einfach nachvollziehbar ist, woher das Problem kommt.
    Vorschlag für Dich – schau mal die Liste der bei Dir am 31.5. installierten Programme durch, ob da ein „Startfenster – Replace“ oder ähnliches mit installiert wurde – und deinstalliere das Programm.
    Wär fein, wenn wir hier von Dir eine Rückmeldung bekommen, ob Du das Problem damit lösen konntest.
    lg
    Hans

  6. Vielen Dank für die hilfreichen Infos!!!

    Ich habe lange versucht das Problem zu lösen und erst mit Finden des Programmes Startfenster-Replace konnte es behoben werden!

    Ich bin wirklich sehr dankbar!!!
    Viele Grüße
    KaDa

  7. Habe den Cleaner installiert und cleanen lassen. Nun lässt sich der Laptop nicht mehr starten. Warum? Was soll das?

    1. Welchen Cleaner hast Du installiert? Den AdwCleaner?
      Weißt Du noch, was am Ende des Clean-Vorgangs für eine Meldung gekommen ist?
      Hast Du meinen Post vom 2. Mai 2018 um 10:57 Uhr und das Programm Namens “Startfenster-Replace” deinstalliert – sofern vorhanden?

  8. Heute, am 14. Juli tauchte bei Einschalten des Computers ein Seitenfenster auf dem Monitor auf, in dem suggeriert wurde, dass der VLC-Mediaplayer ein Update vornehmen möchte! Es wurde sogar explizit verlangt, Windows Defender abzuschalten! Natürlich habe ich dies nicht getan, ging aber leider von einem echten Update aus. Ergebnis: Das SM.de Programm ungefragt und ungewollt auf dem Rechner! Windows Defender konnte es leider nicht aufhalten! Mit dem AdwCleaner konnte der ungebetene Gast wieder aus dem Computer herauskomplementiert werden. Vorsicht also bei VLC-player Update Hinweisen – möglicherweise gibt es auch weitere Seiten, wer weis?!

    1. Hallo Horst, konntest Du irgendwie nachvollziehen, ob das Update von videolan.org, vlc.de oder einer anderen Domain herunter geladen wurde? Ich habe mittlerweile den Verdacht, dass es gar nicht am VLC Update selbst liegt, sondern sich ein Widerling des VLC Updates bedient, um sein eigenes Schad-Programm zu installieren.

      1. … sehe das genau so, da sich das „VLC-Update“ selbst startete! im Moment läuft bei mir ein Virenscan und – ups – da wurden welche gefunden.
        Wie diese ganze Geschichte ins Rollen kommt, kann ich nicht mehr nachvollziehen.
        VLC scheint nicht dahinter zu stecken, aber man macht sich wohl die Beliebtheit des Players zu nutze.
        Also wirklich Vorsicht und Virenscanner, etc. danach nutzen

    2. Hey Horst,

      genau so ist es auch bei mir passiert, aber ich möchte mal anmerken, dass das update von VLC sich selbst startete, ohne dass VLC gestartet wurde. Ja, dass hat mich stutzig gemacht, habe es aber durchgehen lassen. Aber mit all diesen Infos hier, werde ich wohl auch diesen Einfang wieder weg bekommen.
      Danke an Alle!

  9. Hallo,

    selbes Problem, ich habe gestern am 15.07.2018 Abend die Meldung bekommen, dass ein Update für den VLC Player verfügbar sein soll.
    Heute nach dem Neustart und öffnen des Chrome Browsers stelle ich fest, dass sm.de die neue Startseite sein soll… habe die Replace Anwendung gelöscht. ich werde ein update geben.
    Diese Homepage öffnete sich nachdem ich installiert hatte, hab sie mir aus der chronik gezogen (verändert, damit nicht zu öffnen):
    wewewepunktvlc.de/ok/?id=_from_updater._vlc-3.0.3-win64.exe._vlc._updater._startfenster-replace

    1. Hallo Marc,
      danke für Deinen ausführlichen Post. Also, hab eine who.is Abfrage gemacht, die Domain wewewepunktvlc.de gibt es nicht. Daher gehe ich davon aus, dass es sich um eine temporäre Domain handelt. Daher bin ich beim Post von Andre vom 17. Juli 2018 um 06:05 Uhr = „… aber man macht sich wohl die Beliebtheit des Players zu nutze.“.
      Damit ist nicht ausgeschlossen, dass nicht doch VLC dahinter steckt, vermute aber, dass die VLC Entwickler nicht wirklich was für das lästige sm.de können.
      lg
      HC:-)

      1. Natürlich gibt es die Domain vlc.de. Und wen finden wir im Impressum!? Den hoch verehrte Herrn Frank Bohling mit (angeblicher) Tel. und Fax-Nr.
        Damit liegen die Zusammenhänge zu sm.de auf der Hand.
        Vielleicht sollten wir uns alle mal bei ihm per Tel oder Fax bedanken.
        lg
        Edwin

  10. vlc.de vs. videolan.org/vlc – des Rätsels Lösung
    Also, Freunde, Antwort im vlc-forum.de gefunden!

    Das Original = https://www.videolan.org/vlc/

    vlc.de verwendet denselben Quellcode wie das Original, verpackt es aber in ein eigenes Setup und gibt ganz offiziell und auch bei der Installation und den AGB angegeben „Werbung“ dazu – wie eben Startseite-Replace. Alle weiteren Details erspare ich mir jetzt zu beschreiben.
    Also, alles korrekt, braucht sich keiner Aufregen, wenn er von vlc.de Software installiert.
    Daher, VLC Media Player von videolan verwenden und alles sollte gut sein!

    Bitte an Henning Uhle, diese Erkenntnis ganz oben in Deinem Artikel ergänzen.
    lg
    Hans

  11. Ich finde es deshalb frech, weil dadurch der Eindruck erweckt wird, dass die von Aller Media verbreitete Version die originale Version ist und kein Repackage. Für mich wirkt das rein subjektiv so , als ob man dies gezielt macht, um Leuten zusätzlichen Mist unter zu jubeln.

    Bei mir hat es nicht gereicht, das Programm Startfenster replace zu deinstallieren. Ich musste zusätzlich noch mit adcleaner und Malwarebyte ran, bis das Zeug weg war. Was mich einiges an Zeit gekostet hat. Das ist nicht ok.

  12. Danke für den Artikel, hat mir SEHR geholfen!
    Bei mir war es durch ein Update des VLC die sm.de die neue Startseite.
    Vielen Dank für die Info.

  13. Ja so ein Mist,

    gestern Update von VLC gemacht und nun hab ich auch den verdammten sch***!!!

    Bin echt genervt. Jetzt muss ich schauen wie ich den kram restlos löschen kann. Kaspersky hat sich auch nicht gemeldet (normaler weise äußerst zuverlässig).

    Danke für den Artikel. Hat mir SEHR geholfen!!!

  14. Danke für den Artikel, mich hat es auch erwischt. Das Programm das Programm Startfenster replace zu deinstallieren hat vorerst einmal gereicht.

  15. ruft man die homepage startfenster.de auf, so findet man unten rechts, neben dem impressum, die deinstallationsanleitung

    auch bei kam dies beim update vom vlc, von der seite vlc.de

    da findet man unter auf der startseite: VLC.de ist nicht assoziiert mit der VideoLAN non-profit organization !!!!!

    also ins impressum gesehen (ganz, ganz rechts oben in blauer schrift)
    und was findet man da ?????

    einen alten bekannten:

    Inhaber Frank Bohling
    Klein Eissel 10
    D-27283 Verden

    bis hin zu telefonnummer und telefongebühren !!!!!

    also schmeisse ich jetzt vlc runter

    und hole ihn mir dann von:

    https://www.videolan.org/vlc/index.de.html

  16. Lieber Henning,
    mich hat es auch nach einem Update von VLC betroffen, zunächst habe ich in der Programmliste ein neues „Wandelprogramm“ für meine Suchmaschine gefunden und gelöscht. Dann bin ich auf Deinen Blog gestoßen. So werde ich auch noch den Player entsprechend dem Rat von Max Moritz vom 04.01.19 neu installieren. Erstmal läuft jetzt Kaspersky. Wenn es noch Anmerkungen gibt, melde ich mich wieder.
    Frohes Neues Jahr,
    vielen Dank für die guten Ratschläge.

  17. Vielen Dank für den Artikel, es hat mich auch gerade durch ein VLC Update erwischt und kurz beunruhigt. Habe nun nicht nur Startfenster replace deinstalliert, sondern auch den VLC gleich mit runter geschmissen. So einen Schmu sollte man nicht weiter supporten und nutzen.

  18. Ebenfalls Strafanzeige erstellt. Das geht online ganz einfach. Wenn jemand den Text zum kopieren braucht (@Hans: Vielleicht magst du das oben rein kopieren, dann können hunderte Betroffene Strafanzeige stellen. ) :

    Sehr geehrte Damen und Herren,

    die Webseite https://www.sm.de/ wird via einer u.a. dort verbreiteten Trojanersoftware als Startseite von nichtsahnenden Internetnutzern gesetzt. Dies ist auch bei mir geschehen wodurch ich erstens Belästigt wurde und zweitens wurde die Sicherheit meines Computers kompromittiert, indem unerlaubt Einträge in meiner Registry vorgenommen wurden. Das Impressum der genannten Seite verweist auf einen Herr Bohling, und eine Firma „Aller Media“ in Verden.

    Offensichtlich dauert dieses illegale Verhalten schon Jahre an und es gibt dutzende Betroffene. Eine interessante Informationsquelle war in diesem Zusammenhang https://www.henning-uhle.eu/informatik/wenn-sm-de-ploetzlich-die-startseite-ist .

    Hinter dieser Anzeige steckt auch der Wunsch, dass sich die Strafverfolgungsbehörden stärker mit dieser neuen Form von Delikten auseinandersetzen. Wenn uns mir das Portemonaie klaut, dann wird diese Tat selbstverständlich von der Polizei verfolgt. Die zunehmende Computerkriminalität müsste nach meiner Ansicht ebenso verfolgt werden, auch wenn dies zugegeben nicht einfach ist.

    Ich bitte um die Bestätigung des Eingangs dieser Anzeige

  19. Gott sei Dank bin ich auf dieses Forum gestoßen, weil diese Laus hat mich eine Woche nicht in Ruhe gelassen. Großer Dank an Hans Pilles und an alle anderen. Auch bei uns durch den VLC Update. Habe Startfenster replace und VLC deinstalliert.
    Warum wird vom original VLC nichts unternommen? Ist das für den nicht Geschäftsschädigend?
    Liebe Grüße aus der Blumenstadt Tulln/Österreich
    Sylvia

  20. Habe auch seit ca. einer Woche sm.de als Startseite. Habe mir nichts dabei gedacht da ich davon ausgegangen bin es sei mal wieder eine art Werbung von Google für irgend ein besonderes Ereignis. Aber nach gut einer Woche bin ich dann schon misstrauisch geworden.
    Habe dann nach geforscht und bin auf dieses Forum gestoßen.
    Dann in meinem Pc nach geschaut und ja da waren zwei Programme mit denen ich nichts anfangen konnte. Die auch noch am 27.03.19 Installiert worden sind. Und ich mir bewusst nichts die Tage installiert habe außer die gängingen Updates einiger Programme.
    Zum einen war das wie bei meiner vorrednerin „Starfenster Replace“ und „Software updater“.
    Ging beides sofort runter inklusive den VLC Media Player. Da der offensichtlich mit dem letzten Update der Übeltäter war.

  21. Hallo Zusammen,

    ich habe das Problem heute auch gehabt mit der sm.de Startseite infolge des VLC Update gestern.

    Mit Deinstallation des Startfenster Replacement und VLC ist zumindest das Startfenster verschwunden.

    Allerdings frage ich mich nun, ob das wirklich alles ist? Youtube spielt im Standardbrowser Chrome keine Videos mehr ab seitdem (in Mozilla klappts).

    Wie kann ich feststellen, ob nicht im Hintergrund noch mehr Übles eingespielt wurde?

    Bin für jede Hilfe dankbar.

    Liebe Grüße,
    Nadine

  22. Hallo,

    ich habe schon seit vielen Wochen diesen sm-virus.
    Jetzt wollte ich ihm wirklich an den Kragen und habe inzwischen alles probiert, was hier so genannt wurde, u.a.
    – startfenster replace gelöscht
    – vlc media player gelöscht
    – adwcleaner installiert
    – malwarebyte installiert
    software updater gab es bei mir nicht.
    Ich bin jetzt ganz verzweifelt, was kann/soll ich noch tun??

  23. Hier sollte man sich zusammenschließen und bei dem Herrn Bohling die Staatsanwaltschaft vorbeischauen lassen. Solche Typen gehören schwer bestraft.
    Es ist immer mehr Vorsicht geboten mit dem was man sich runter lädt.

  24. Also anhand der obigen Kommentare hat bei mir Folgendes funktioniert:
    1. Mit CCleaner Startfenster-Programme (meistens 2, eins davon heißt Replace, das andere hat auch das gleiche Zeichen), den VLC-Media-Player, den Updater (blaues Zeichen, heißt einfach „Updater“) und Firefox mit allen Verknüpfungen entfernen.
    2. Ob alles weg ist, habe ich mit AdwCleaner von Malwarebytes gecheckt (wurde oben empfohlen).
    3. VLC-Mediaplayer von videolan, also der richtigen Seite herunterladen und Firefox neu installieren.
    4. Geschafft!
    Achtung: von OpenOffice gibt es ebenfalls so eine Fake Seite, die zufälligerweise aus der gleichen Stadt kommt ;)
    Also auch hier von der offiziellen Organisation herunterladen.

    Liebe Grüße

  25. Ja, extrem ärgerlich, das Ding gibt es immer noch, die Suche nach dem richtigen Entfernen kostet Stunden. Ich vermute, ich habe mir das Startfenster eingefangen, als ich mal nicht nur VLC für 32 bit aktualisiert habe – auf automatische Anfrage – , sondern auch für 64bit. Mit „Standard“, da ich kein Profi bin. Jetzt die Frage: die störenden Programme werden nicht im Systemmanager bei Programmen gelistet zum Deinstallieren; aber im Dateimanager habe ich sie gefunden (startfenster replace und setup-updater). Darf ich sie da einfach löschen? Vielen Dank für einen Rat!

  26. Den gibt es nach wie vor: Hab mir am 2.11. einen LibreOffice Updater eingefangen. 4 Tage später, beim nächsten Neustart, hat mein Virenscanner einen Win32/Agent.AFZP Trojaner aus %appdata%\..\Local\SvRmt\ gelöscht. Die Datei hieß svcremote.exe und ich hab keine Quelle ausfindig machen können, außer einem Hinweis auf Google, dass es wohl von Aller Media kommt. Wie das es auf meine Kiste kommt, ist mir aber ein Rätsel…

    Heute hab ich mal wieder neu gestartet und das Ding wollte sich neu versorgen. Libre Office hab ich schon länger aus der Originalquelle installiert, daher ging der mir durch. Der Updater war öffentlich von Aller Media signiert und hatte beim Scanner keinen Verdacht erregt, die aufgerufene URL aber schon und er hat’s mir direkt von der Platte gefegt.
    In %appdata%\..\Local\SvRmt\ liegt jetzt noch eine verwaiste HookDLL.dll und die hab ich mir in der Sandbox mal genauer angeschaut und für böse befunden:

    Malicious Indicators:
    -Unusual Characteristics
    — Spawns a lot of processes
    — Spawned process „WerFault.exe“ with commandline „-pss -s 508 -p 9608 -ip 9608“ (Show Process)
    — Spawned process „WerFault.exe“ with commandline „-u -p 9608 -s 528“ (Show Process)
    — Spawned process „WerFault.exe“ with commandline „-pss -s 532 -p 9656 -ip 9656“ (Show Process)
    — Spawned process „WerFault.exe“ with commandline „-u -p 9656 -s 516“ (Show Process)
    — Spawned process „WerFault.exe“ with commandline „-pss -s 508 -p 9872 -ip 9872“ (Show Process)
    — Spawned process „WerFault.exe“ with commandline „-u -p 9872 -s 508“ (Show Process)
    [Leider hab ich auf die Schnelle keine Doku zu allen Parametern gefunden, was er da genau macht, kann ich nicht sagen.]

    Suspicious Indicators:
    – General
    — Found a potential E-Mail address in binary/memory
    — Pattern match: „info@am.de“
    [Der versucht nicht mal, sich zu verstecken.]

    — An application crash occurred
    — Report process „WerFault.exe“ was created by „rundll32.exe“
    [Anm.: Wetten, dass der „Fehlerbericht“ an die obige Email geht?]

    — Contains ability to create/open files (API string)
    — Found reference to API „CreateFileW“ (Indicator: „CreateFile“; File: „hookDll.dll“)
    [Für „Fehlerberichte“ mit Anhang?]

    — Contains PDB pathways
    — „C:\Wichtige Dateien\Firma\AllerMedia\Scripte\NSIS-Installer v2\Klicker C++\hookDll\Release\hookDll.pdb“
    [Der Klicker macht pixelgenaue Mausklicks, .pdb ist eine C++ Program Datenbank und sein Arbeitsverzeichnis wissen wir jetzt auch.]

    – Anti-Detection/Stealthyness
    — Queries process information
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009656-00000C13-42837095 [PID: 9656]
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009656-00000C13-42838630 [PID: 9656]
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009608-00000C13-42822673 [PID: 9608]
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009608-00000C13-42824431 [PID: 9608]
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009872-00000C13-43047418 [PID: 9872]
    — „rundll32.exe“ queried SystemProcessInformation at 00000000-00009872-00000C13-43049791 [PID: 9872]
    [Die DLL prüft ihren Mutter-Prozess.]

    — Contains ability to load/free library (API string)
    — Found reference to API „FreeLibrary“ (Indicator: „FreeLibrary“; File: „hookDll.dll“)
    — Found reference to API „LoadLibraryExW“ (Indicator: „LoadLibrary“; File: „hookDll.dll“)
    [Kann also weitere DLLs laden und wieder freigeben.]

    – Anti-Reverse Engineering
    — Contains ability to check debugger is running (API string)
    — Found reference to API „QueryPerformanceCounter“ (Indicator: „QueryPerformanceCounter“; File: „hookDll.dll“)
    — Found reference to API „IsDebuggerPresent“ (Indicator: „IsDebuggerPresent“; File: „hookDll.dll“)
    — Found reference to API „OutputDebugStringW“ (Indicator: „OutputDebugString“; File: „hookDll.dll“)
    [Deshalb die Prüfung. Da will jemand nicht beobachtet werden.]

    — Contains ability to register a top-level exception handler (API string)
    — Found reference to API „UnhandledExceptionFilter“ (Indicator: „UnhandledExceptionFilter“; File: „hookDll.dll“)
    — Found reference to API „SetUnhandledExceptionFilter“ (Indicator: „SetUnhandledExceptionFilter“; File: „hookDll.dll“)
    — Found reference to API „SetUnhandledExceptionFilter“ (Indicator: „UnhandledExceptionFilter“; File: „hookDll.dll“)
    […und wenn doch, gibts einen geplanten Absturz.]

    – Spyware / Information Retrieval
    — Contains ability to retrieve usernames and/or user information (API string)
    — Found reference to API „GetProcessWindowStation“ (Indicator: „GetProcessWindowStation“; File: „hookDll.dll“)
    — Found reference to API „GetUserObjectInformationW“ (Indicator: „GetUserObjectInformation“; File: „hookDll.dll“)
    [Was läuft unter welchem User?]

    — Contains ability to retrieve information about pressed keystrokes (API string)
    — Found reference to API „AttachThreadInput“ (Indicator: „AttachThreadInput“; File: „hookDll.dll“)
    [Irgendwie muss man schließlich an die Passwörter kommen.]

    Das geht noch eine gute Weile so weiter. Die DLL liefert alles, was ein voll ausgewachsener Trojaner so braucht. Was der Typ dann damit anstellt, kann ich aber nicht sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert