Hilfe ich werde gehackt

[caryasil]

in der plist bei den preferences ist ziemlich wirres zeug geschrieben.
da steht z.B. unter anderem "enter a new alert word or phrase", "enable chat logging", "enable weblogging", "first launch", "enable key logging", "skip idle screenshots"

poste am besten mal alles... vielleicht findet sich da was.

 

[noxon]

@ Fiona

Kannst du bitte mal den ganzen Ordner, wo dieser "KeyLogger" drin ist zippen und dann irgendwo raufladen im internet ? (rapidshare.de zum beispiel)

Dazu machst du einfach einen rechtsklick auf den entsprechenden Ordner und drückst "....komprimieren"
Dann können wir uns das ganze mal ansehen.
Vorher würde ich allerdings den ganzen Ordner packen und auf einen USB Stick tun.
Anschliessend alle Passwörter und sontige Zugangsdaten ändern.

Auch ist jetzt wichtig, dass du einen Screenshot postest wie lauroon schon angemerkt hat

 

[aXiEd]

Dazu machst du einfach einen rechtsklick auf den entsprechenden Ordner und drückst "....komprimieren"
Dann können wir uns das ganze mal ansehen.)

Du willst also den Keylogger noch weiter verbreiten? Na dann viel Spass

 

[fionagwynneth]

bplist00ß&
   !"#$%&'()**',-.***-*4R*TUUVWXYZ[**-**aUbc',dXLast day_Screenshot days[Port number_Enable chat logging_Enable web logging^Last day chatsTCode\First launch_Screenshot delay^Run at startup_Enable key logging_Alerts screenshotWUse FTP_Skip idle screenshotsVAlerts[Hotkey char_Enable screenshots[FTP minutesXFTP host\FTP password_Email user nameWFTP dir_FTP last upload\Hotkey vcode[SMTP Server_Hotkey modifier[Send emailsWUse SSL_Delete old screenshots\Alerts email_Default startup]Email minutesXFTP userZLast email]Send email to\Last day web^Email passwordUCode2»
Ñ Mä›ÓšÇ™žÉß™ØΚ
,  ¯56789:;<=>?Enter a new alert word or phraseQ0 @KÝÏÈÅÓËÝËÄÞÏA…O bplist00Ô
 X$versionT$topY$archiverX$objects
†*ÑTroot€
_NSKeyedArchiver© &)*U$nullÔ YNS.formatV$classWNS.time[NS.timezone€€#A¯¯ísŸ®›€ÓWNS.nameWNS.data€€€]Europe/BerlinÒ€OJTZif￾› `›ÕÚðœÙ®￾￾¤µ￾ž¹￾￾Ÿ„—￾È q￾ÌçKÍ©￾΢CÏ’4Ђ%ÑrѶ–ÒX¾€Ò¡OÒÛ4ðÓc￾ÔK#￾Õ9Ñ Õgç￾Õ¨sÖ)´×,Ø –ÙÁ￾ÙéxΗðMD3ú￾#ë￾Ü￾Í￾ó¾￾ã¯￾Ó*￾Ñ￾¼½¬®œŸŒ￾|￾ lr!\c"LT#†A￾?›￾@f#￾A„9BF￾CdD%ç￾ECýFÉ￾G#ßGîæIÁIÎÈJã£K®ªLÌ¿￾MŽŒN¬¡￾OnnPŒƒ￾QWŠ￾Rle￾S7l￾TLG￾UN￾V,)￾V÷0￾XFX×￾Yõ(Z¶ô￾[Õ \*]´ì^ó_”Î`_Õa}ê￾b?·c]Ì￾d™e=®￾fµ￾g￾￾gè—￾hýr￾iÈy￾jÝT￾k¨[￾lÆqmˆ=￾n¦Soh￾p†5qQ<rfs1tEùuv/￾vðâx÷￾xÐÄyîÙ￾z°¦{λ￾|™Â￾}®￾￾~y¤￾Ž￾




*0
*0

CESTCETCEMT






Ò !"#X$classesZ$classname£#$%]NSMutableDataVNSDataXNSObjectÒ !'(¢(%ZNSTimeZone_%Y-%m-%d %H:%M:%S %zÒ !+,£,-%^NSCalendarDateVNSDate)27:?AS]clv}…‘“•ž*§¯·¹»½ËÐÒ %.9=KR[`cn…ŠŽ￾
.¤OÙÇÞÚ„ÍÅÅÍÆÏÇËÃÆ„ÉÅÇ  O bplist00Ô
 X$versionT$topY$archiverX$objects
†*ÑTroot€
_NSKeyedArchiver© &)*U$nullÔ YNS.formatV$classWNS.time[NS.timezone€€#A°@*úf€ÓWNS.nameWNS.data€€€]Europe/BerlinÒ€OJTZif￾› `›ÕÚðœÙ®￾￾¤µ￾ž¹￾￾Ÿ„—￾È q￾ÌçKÍ©￾΢CÏ’4Ђ%ÑrѶ–ÒX¾€Ò¡OÒÛ4ðÓc￾ÔK#￾Õ9Ñ Õgç￾Õ¨sÖ)´×,Ø –ÙÁ￾ÙéxΗðMD3ú￾#ë￾Ü￾Í￾ó¾￾ã¯￾Ó*￾Ñ￾¼½¬®œŸŒ￾|￾ lr!\c"LT#†A￾?›￾@f#￾A„9BF￾CdD%ç￾ECýFÉ￾G#ßGîæIÁIÎÈJã£K®ªLÌ¿￾MŽŒN¬¡￾OnnPŒƒ￾QWŠ￾Rle￾S7l￾TLG￾UN￾V,)￾V÷0￾XFX×￾Yõ(Z¶ô￾[Õ \*]´ì^ó_”Î`_Õa}ê￾b?·c]Ì￾d™e=®￾fµ￾g￾￾gè—￾hýr￾iÈy￾jÝT￾k¨[￾lÆqmˆ=￾n¦Soh￾p†5qQ<rfs1tEùuv/￾vðâx÷￾xÐÄyîÙ￾z°¦{λ￾|™Â￾}®￾￾~y¤￾Ž￾




*0
*0

CESTCETCEMT






Ò !"#X$classesZ$classname£#$%]NSMutableDataVNSDataXNSObjectÒ !'(¢(%ZNSTimeZone_%Y-%m-%d %H:%M:%S %zÒ !+,£,-%^NSCalendarDateVNSDate)27:?AS]clv}…‘“•ž*§¯·¹»½ËÐÒ %.9=KR[`cn…ŠŽ￾
.¤OÝÏÈÅÓËÝËÄÞÏêÍÇËÃÆ„ÉÅÇO bplist00Ô
 X$versionT$topY$archiverX$objects
†*ÑTroot€
_NSKeyedArchiver© &)*U$nullÔ YNS.formatV$classWNS.time[NS.timezone€€#A¯¯é†ÙÈë€ÓWNS.nameWNS.data€€€]Europe/BerlinÒ€OJTZif￾› `›ÕÚðœÙ®￾￾¤µ￾ž¹￾￾Ÿ„—￾È q￾ÌçKÍ©￾΢CÏ’4Ђ%ÑrѶ–ÒX¾€Ò¡OÒÛ4ðÓc￾ÔK#￾Õ9Ñ Õgç￾Õ¨sÖ)´×,Ø –ÙÁ￾ÙéxΗðMD3ú￾#ë￾Ü￾Í￾ó¾￾ã¯￾Ó*￾Ñ￾¼½¬®œŸŒ￾|￾ lr!\c"LT#†A￾?›￾@f#￾A„9BF￾CdD%ç￾ECýFÉ￾G#ßGîæIÁIÎÈJã£K®ªLÌ¿￾MŽŒN¬¡￾OnnPŒƒ￾QWŠ￾Rle￾S7l￾TLG￾UN￾V,)￾V÷0￾XFX×￾Yõ(Z¶ô￾[Õ \*]´ì^ó_”Î`_Õa}ê￾b?·c]Ì￾d™e=®￾fµ￾g￾￾gè—￾hýr￾iÈy￾jÝT￾k¨[￾lÆqmˆ=￾n¦Soh￾p†5qQ<rfs1tEùuv/￾vðâx÷￾xÐÄyîÙ￾z°¦{λ￾|™Â￾}®￾￾~y¤￾Ž￾




*0
*0

CESTCETCEMT






Ò !"#X$classesZ$classname£#$%]NSMutableDataVNSDataXNSObjectÒ !'(¢(%ZNSTimeZone_%Y-%m-%d %H:%M:%S %zÒ !+,£,-%^NSCalendarDateVNSDate)27:?AS]clv}…‘“•ž*§¯·¹»½ËÐÒ %.9=KR[`cn…ŠŽ￾
.¤W`r~”©¸½ÊÝì




5
<
H
]
i
r

‘
™
«
¸
Ä
Ö
â
ê"09DR_ntvx{|}‹Œ￾￾‘’“”´ºÂÉÐ×Üåéðõû
8?IOT[aeoy…ˆ￾•¸º»½¾ÊÌðò      6N
er

 

[coffeebreak]

Das ist grundsätzlich schon richtig. Aber was soll DIESE spezielle Mallware denn noch anrichten, außer alle nur erdenkliche Daten des Users an eine email-Adresse zu versenden. Und das hat sie ja schließlich schon getan. Außerdem könnte man die Software-Firewall dabei ja laufen lassen. Und so wie ich das verstanden habe sollte der Rechner nach all diesen verzweifelten Versuchen sowieso neu aufgesetzt werden.

Fakt ist, wir wissen absolut nicht, was das Ding tut und was es kann. Mit Superuser Rechten kann es aber theoretisch ALLES! Das schliesst das Umgehen von Softwarefirewalls ein und es kann sich auch sehr viel effetiver im System verstecken. Dazu kommt, wie gesagt, dass es dann auch problemlos für alle User laufen kann und nicht nur für einen (falls es das nicht schon tut) und damit dann die letzte Chance verspielt ist, das System ohne den Logger zu starten.

Auf der anderen Seite halte ich es für sehr unwahrscheinlich, dass ein Aufrufen mit Superuser Rechten irgendeinen Informationsgewinn bringt. Vielleicht konfiguriert man es mit einem anderen Tool, das gar nicht auf Fionas Rechner ist, und das Anklicken startet lediglich den Hintergrunddienst.

So oder so, ohne zu wissen was das Ding tut und kann würde ich ihm keine Superuser Rechte geben. Mag sein, dass es nicht viel ändert, aber das Risiko würde ich auf keinen Fall eingehen.

 

[laurooon]

Kannst du bitte mal den ganzen Ordner, wo dieser "KeyLogger" drin ist zippen und dann irgendwo raufladen im internet ?

Diesen Vorschlag hat sie schon gefühlte 200 Mal ignoriert... Wenn wir konsequent wären, müssten wir jegliche Hilfe verweigern, bis sie mal darauf eingeht.

 

[fionagwynneth]

wie zip ich so einen Ordner?

 

[coffeebreak]

Diesen Vorschlag hat sie schon gefühlte 200 Mal ignoriert...

Zu Recht, in dem Ordner sind ja offenbar alle Screenshots und Logs. Würde ich auch nicht der Weltöffentlichkeit zur Verfügung stellen.

 

[submax]

Okay, ich hab mir das Programm mal testweise installiert. Die wichtigen Werte in der .plist, also die Mailadresse, scheinen verschlüsselt zu sein. Kacke.

 

[muellermanfred]

Besser wäre es, die .plist mit dem Property List Editor (aus den Developer Tools) oder PrefEdit zu öffnen. Das sieht dann ungefähr so aus wie auf dem screenshot. Wenn Du dann die Dreiecke aufklappst, findest Du die relevanten Werte - eventuell auch die gesuchte Empfängeradresse.

 

[laurooon]

wie zip ich so einen Ordner?

Dazu machst du einfach einen rechtsklick auf den entsprechenden Ordner und drückst "....komprimieren"

 

[caryasil]

bplist00ß&
   !"#$%&'()**',-.***-*4R*TUUVWXYZ[**-**aUbc',dXLast day_Screenshot days[Port number_Enable chat logging_....

ok. darin steht mit sicherheit irgendwo die adresse. leider gibt dein texteditor nicht genug her.
in diesem fall solltest du wirklich mal diese datei zippen und hier anhängen. mit xcode auf dem mac, kann man vielelicht mehr daraus sehen. ein andere editor könnte auch schon helfen.

 

[Dalgliesh]

Oder submax nimmt die plist, startet bei sich das inzwischen installierte Programm und schaut sich die Werte an?

 

[TerminalX]

Ich habe den Thread zwar nicht ganz durchgelesen, aber hat schon jemand Wireshark und Netzwerk-analyse erwähnt, ausser jetzt mit LittleSnitch rumspielen?

 

[muellermanfred]

wie zip ich so einen Ordner?

Rechts- oder CTRL-Klick -> "<Ordnername> komprimieren"

 

[coffeebreak]

Rechts- oder CTRL-Klick -> "<Ordnername> komprimieren"

NOCHMAL: In dem Ordner sind alle Logs und Screenshots!

Ich würde den auf keinen Fall hier hochladen!

 

[Excalibur]

Beweisen könnt ihr mir mal garnichts! Echt lachhaft.

wo ist eigentlich unser trittbrettfahrer hin?

 

[laurooon]

Wireshark und Netzwerk-analyse erwähnt

Wireshark wurde schon genannt. Die TEin hat es aber noch nicht gemacht.

 

[Thomas82]

@coffeebreak

gut...vllt. gibt es wirklich ein 2. Programm, mit dem dieses konfiguriert werden kann. Vllt. ist es aber auch möglich das Prog. auszuführen wenn es die richtigen Rechte besitzt. Und wie bereits erwähnt muss man es ja nicht als superuser starten, sondern könnte mit chown und chmod die richtigen Rechte zuweisen.
Und sollte es wirklich möglich sein das Prog auszuführen ist der "Informationsgewinn" sicherlich höher als bei allen anderen bisher angeführten Lösungsvorschlägen.

 

[Sörnäinen]

Okay, ich hab mir das Programm mal testweise installiert. Die wichtigen Werte in der .plist, also die Mailadresse, scheinen verschlüsselt zu sein. Kacke.

Wirklich ein Detektivspiel hier. Wenn der Keylogger sein Geld wert ist, wird er aber selbstverständlich verschlüsseln, wohin er die Daten weitergibt.

Gibt aber doch andere Möglichkeiten, herauszufinden, wer es war.

Wenn nicht das BKA in der Wohnung war - im Zuge des Großen Lauschangriffs - dann kann man doch klar feststellen, wer das Zimmer betreten haben kann, in dem der Rechner steht.

Die Alternative ist doch nur, dass der Rechner gebraucht gekauft wurde und das alte System noch werkelt. Dann hat der Vorbesitzer sich einen Spaß erlaubt, oder er wurde selbst ausspioniert, ohne es zu wissen.

Also, ganz simpel:
Wer kann an den Computer ran?
Diese Leute zur Rede stellen, und den Computer neu installieren, alle Passwörter DANACH ändern und den Rechner dichtmachen, da darf halt keiner mehr ran.

Die ganze Sache ist bekloppt - wenn jemand einen Keylogger installiert, warum ändert er dann Passwörter oder verschickt komische Nachrichten? Das MUSS doch auffallen.

Das ist ein weiteres Zeichen, dass es sich um einen Deppen handelt. Ein Freund vom Bruder, der das irre witzig findet? Gibt es da einen Nerd? Oder tatsächlich der Freund? Der Mitbewohner in der WG?

Wenn herausgefunden werden soll, wer´s war, würde ich so vorgehen. Ist halt tatsächlich ein Detektivspiel. Man kann den Rechner auch plattmachen und dafür sorgen, dass so etwas nicht nochmal passiert. Ist ja wirklich eine unglaubliche Schweinerei, sowas.