@deraddi
Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.
ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.
Mit Wireshark an sich kein großes Problem in der VM den Link zu finden. Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...
2.000.11 ist die letzte, versucht sich nun hiermit zu verbinden:
http://www.robtex.com/dns/weusa-list.com.html#shared