UCYS.exe - Privacy en beveiliging

zondag 14 juni 2009 16:23

Acties:

Topicstarter

Al een tijdje viel me op dat UCYS zo'n 25% van mijn processor gebruikt, natuurlijk weet elke Tweaker dat als hij of zei een quadcore heeft en een niet geoptimaliseerd programma daarvoor, het programma maximaal 25% zal gebruiken (1 kern).

Allemaal leuk en aardig, ik heb het vaak genoeg af gesloten maar nu was ik het zat! Ik heb process explorer XP er bij gepakt, en uitgezocht in welke directory dit bestand staat. Dit blijkt [b]C:\Windows\SysWOW64\Sys32[/b] te zijn.

Hier staan random geschoten screenshots, inclusief datum en tijdstip van mijn beeldscherm. Hier staat ook extreem veel privé informatie in. Nu wil ik uitvogelen wie dit op mijn computer heeft geinstalleerd en waar het deze informatie naartoe stuurt.

Het bestand UCYS.exe is een onbekende voor Google en weegt circa 500 Kb.

Graag wil ik weten of er enige mogelijkheid is om de dader te achterhalen.

Groeten,
Red-Front.

zondag 14 juni 2009 16:25

Acties:

mrFoce

uhm UCYS.exe en Zeekat Adventure.exe eten beiden 1 core ?

zondag 14 juni 2009 16:26

Acties:

Verwijderd

Gooi hem eens hier doorheen: http://virusscan.jotti.org/nl
Misschien wordt je daarmee wat duidelijker, want het lijkt me wel zeker dat het een of andere trojan/worm is.

zondag 14 juni 2009 16:26

Acties:

Tharulerz

Installeer wireshark, en zet een capture aan op je netwerkkaart. Je ziet dan alle ingaande en uitgaande verkeer, en als je er een beetje doorspit kan je ontgetwijfelt pakketjes vinden die vanop je computer vertrekken door dat programma. Je ziet dan naar welk IP ze naartoe gaan.

zondag 14 juni 2009 16:27

Acties:

CoolGamer

What is it? Dragons?

Je zou in de de tabbladen van Process Explorer kunnen kijken als je dubbelklikt op het proces of je daar wat uit kunt halen. Je zou bijvoorbeeld in de Threads-tab kunnen kijken wat hij aan het doen is.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

zondag 14 juni 2009 16:27

Acties:

beany

Meeheheheheh

De groeten hoef je niet te doen, we gaan er van uit dat je die altijd wel doet.

Als je echt wil weten hoe of wat zal je het proces moeten gaan monitoren. Dus naar welk adres 'belt hij naar huis' en welke data wordt dan verstuurd? Maar als ik jou was zou ik er gewoon zo snel mogelijk vanaf komen.

Dagelijkse stats bronnen: https://x.com/GeneralStaffUA en https://www.facebook.com/GeneralStaff.ua

zondag 14 juni 2009 16:27

Acties:

Red-Front

Topicstarter

Door middel van PE Explorer ben ik er achter gekomen dat dit een keylogger en screenshot maker is die op afstand geinstalleerd EN beheerd kan worden.

Ik heb dit overigens getyped op een moment dat UCYS uit stond, dus de 'dader' kan er niet 123 achter komen.

Edit:
Wat een reacties!

Afbeeldingslocatie: http://www.easy-upload.nl/index.php/file/134a3509d708e8d

Afbeeldingslocatie: http://www.easy-upload.nl/index.php/file/134a3509d708e8d

[ Voor 17% gewijzigd door Red-Front op 14-06-2009 16:29 ]

zondag 14 juni 2009 16:30

Acties:

Dysmael

Uitzoeken wie de dader is kan lastig worden maar wellicht dat dat programma data ergens anders naartoe stuurt.
Doe eens een netstat -ano en kijk of dat programma een verbinding naar buiten heeft staan.
Waarschijnlijk luisterd het programma sowieso op een poort die je dan in de gaten kan houden om te kijken vanaf waar verbindingen gemaakt worden.

zondag 14 juni 2009 16:31

Acties:

CoolGamer

What is it? Dragons?

Als het een keylogger is dan is het aan te raden om te zorgen dat hij echt goed verwijderd wordt en daarna je wachtwoorden die je hebt gebruikt in die tijd dat de keylogger heeft gedraaid te veranderen. Je zou kunnen kijken met Autoruns wat er allemaal verder opstart of je kan een herinstallatie doen als je het echt zeker wilt weten.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

zondag 14 juni 2009 16:45

Acties:

Red-Front

Topicstarter

Bedankt voor de tips (RoflLobker, TheCoolGamer).

Ik ben er mee bezig. Kom nog bij van de schok:

(map met honderden screenshots inclusief keylog bestanden (helaas encrypted))

edit: Hij staat inderdaad als start programma:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
UCYS Agent (inclusief path)

[ Voor 40% gewijzigd door Red-Front op 14-06-2009 16:47 ]

zondag 14 juni 2009 16:55

Acties:

mrFoce

Als je een ''pre activated'' Windows o.i.d. gedownload heb, kan het zo zijn dat dit vanaf het begin af aan al vrolijk draait. Reinstall lost dan ook niets op want dat installeerd het zichzelf weer.

Kortom, hoe kom je aan je Windows? Als die origineel is, zou ik booten via een LiveCD. Je belangrijke bestanden van de C: (of waar je OS op staat) kopieeren en formateren. Zou je OS installatie in ieder geval niet meer gebruiken. Teveel kans dat er nog een 2e programma op zit die checked of je pc besmet is en daarna met een random nieuwe naam komt voor dezelfde ellende

zondag 14 juni 2009 16:57

Acties:

Red-Front

Topicstarter

Hij komt van de Windows server af, checksum was valid. Het is mogelijk om deze software op afstand te installeren en het bijvoorbeeld te laten uploaden naar een FTP server.

Ik ga proberen om de dader te achterhalen, niets meer privé te doen en zowieso Windows overnieuw installeren. Ik heb toch Linux hier naast draaien.

Een andere computer met dezelfde installatie heeft het overigens niet.

[ Voor 10% gewijzigd door Red-Front op 14-06-2009 17:01 ]

zondag 14 juni 2009 17:13

Acties:

Red-Front

Topicstarter

Excuses voor de dubbelpost maar ik heb het configuratie bestand te pakken, maar in kladblok is er niets van te lezen, nu heb ik geen eens een ICT opleiding, maar heeft iemand enig idee hoe ik het kan uitlezen?

Het is een .cfg bestand.

Afbeeldingslocatie: http://www.easy-upload.nl/index.php/file/84a35148b0732d

Update:
Ik heb zelf de keylogger geinstalleerd (als software), de originele configuratie vervangen met mijn configuratie. Er zijn geen installeren m.b.t. het versturen van gegevens te vinden, wel zijn er andere instellingen aangepast.. dus de configuratie werkt wel. Helaas zijn alleen de gegevens onder monitoring aangepast, de rest niet, dus misschien moet ik verder zoeken naar een config.

[ Voor 52% gewijzigd door Red-Front op 14-06-2009 17:30 ]

zondag 14 juni 2009 17:43

Acties:

SKiLLa

Byte or nibble a bit ?

Uiteraard is het versleuteld, of de data gedecodeerd kan worden hangt van het gebruikte algo af en of je de sleutel kan achterhalen. Als je niet erg handig in reverse-engineering bent, dan is google misschien nog je vriend en anders zou je iemand met kennis van zaken kunnen vragen het te onderzoeken. Of misschien werkt het herinstalleren van de KeyLogger zelf ook wel (via GUI de config kunnen inzien that is).

En ik las dat het programma door de meeste AV oplossingen geblacklist wordt, dus misschien toch maar AV gaan draaien ? Naast FTP kan de keylogger ook data naar email accounts sturen, wat waarschijnlijker/makkelijker is dan een FTP site.

Eventueel kun je het config bestand naar me emailen (zie profiel), dan zal ik kijken of het te decoderen valt, maar ik beloof niets

'Political Correctness is fascism pretending to be good manners.' - George Carlin

zondag 14 juni 2009 17:53

Acties:

Red-Front

Topicstarter

NOD32 afschrijven dan maar?

Mocht ik niemand kunnen vinden die wat bekender voor me is, zal ik je offer onthouden.

Pagina: 1

Reageer