#1 19. Juni 2007 Zuletzt von einem Moderator bearbeitet: 14. April 2017 In dem Tutorial erkläre ich euch mal wie man leicht und, soweit man keinen Fehler macht in Form eines Doppelklicks, gefahrlos Trojaner/Viren, erstellt von Scriptkiddies, erkennen kann. Was braucht man? - WinRAR: WinRAR archiver, a powerful tool to process RAR and ZIP files (Archiv Entpacker) - PEiD: PEiD (EXE-Packer/Crypter Detector) - Hintergrundwissen Hintergrundwissen Scriptkiddies können nicht programmieren, sie wissen auch in der Regel nicht wie man mit einem Hex-Editor oder Disassembler umgeht. Trotzdem erstellen sie gerne Trojaner und das sollte möglichst idiotensicher leicht sein. Deshalb nehmen sie dazu einen fertigen Trojaner mit einem Trojaner-Server-Builder integriert mit dem sie ihren eigenen Trojaner-Server erstellen. Besonders beliebt sind folgende Trojaner: Bifrost - http://chasenet.org/products/bifrost/ Prorat - prorat.net - de beste bron van informatie over ProRat Keylogger PROHack PROGroup Remote Desktop Hack Crack Trojan Spy BackDoor RDP ProSpy Kucumseme. Deze website is te koop! Wichtig zu wissen ist dabei: Bifrost-Server connected auf eine DNS um so die Verbindung mit dem Hacker herzustellen -> DNS kann man rausbekommen -> Scriptkiddie seine IP Prorat-Server ist passiv, er wartet bis der Hacker connected, der server kann dem hacker z.b. über E-Mail mitteilen welche IP das Opfer hat -> Scriptkiddie ist "anonymer" Das Problem bei diesen One-Klick-Trojanern ist, dass sie von allen Antivirenprogrammen erkannt und beseitigt werden, d.h. das Scriptkiddie muss den Trojaner irgendwie vor den Antivirenprogrammen "unsichtbar" machen auch stealthen oder "undetected" machen genannt... Da das Scriptkiddie sonst keine Kenntnisse hat, bleibt ihm nur eine Möglichkeit: Den Trojan-Server mit einem EXE-Crypter/EXE-Protector crypten/schützen (öhm lol ich weiss kein deutschen begriff dafür). Diese EXE-Protectoren/Crypter sind eigentlich dazu gedacht Cracker davon abzuhalten das Programm zu cracken, also im Prinzip sowas wie ein Kopierschutz für Computerspiele.... Ihr kennt ja sicher diese Shareware Programme (z.b. 30-Tage Testversion), diese ganzen Programme sind geschützt durch so einen EXE-Protector... um Cracker das leben schwerer zu machen. Diese EXE-Protectoren kann man natürlich auch für Trojaner nehmen, weil sie die exe verändern/"crypten" haben Antivirenprogramme Probleme einen gecrypteten Trojaner zu erkennen... EXE-Crypter sollte man auch nicht verwechseln mit EXE-Packer (z.B. UPX, Aspack, usw.), den die machen die exe nur kleiner. Bekannte EXE-Crypter sind z.b.: ASProtect ASPACK SOFTWARE - Best Choice Compression and Protection Tools for Software Developers Yoda's Protector Yodas Protector | Free Security & Utilities software downloads at SourceForge.net (wird beim SFT-Loader eingesetzt) Unter diesen vielen EXE-Crypter gibt es aber einen der die exe'n besonders gut schützt, sein Name ist: Themida Oreans Technology : Software Security Defined. Themida ist der zurzeit beste Crypter auf dem Markt, deshalb wird er zu 99% von Scriptkiddies eingesetzt um ihre Trojaner zu schützen. Seriöse Software Firmen würden auch nie ihre Programme mit Themida schützen, den um einen so guten Schutz zu erreichen macht Themida schon ein paar Sachen die man als seriöser Entwickler nicht so gern haben möchte (klar Aussnahmen gibts immer, aber in der Regel werden andere eingesetzt)... Was noch sehr für Themida spricht ist, dass man die "VMWare Kompatibilität" ausschalten kann, d.h. man kann den Trojaner nicht in einem virtuellen Betriebssystem starten bzw. analysieren... Hab mal einen Bifrost Trojaner einfach mit Themida gecryptet, Ergebnis: Download offline! Man sieht also wie gut Themida funktioniert... ohne Themida wird der Trojaner von allen Antivirenprogrammen erkannt und mit, nur von sehr wenigen... wenn man nun noch paar andere Sachen verändert oder an den Themida Optionen rumspielt erhält man einen voll "undetected" oder gestealthten Trojaner... Themida wird auch sehr oft aktualisiert (hab eine relativ alte Version genommen)... die neuste Version macht einen Trojaner auch voll "undetected". Vorgehensweise zum Erkennen 1.) EXE-Datei downloaden 2.) Checken ob es ein Selbst-entpackendes Archiv ist (WinRAR wird benötigt) Scriptkiddies packen gern den Trojaner mit einer normaler Datei (z.B. Programm-Setup, Crack, etc.) in ein Selbstextrahierendes Archiv (dient auch nochmal zum Schutz vor Antivirenprogrammen), deshalb braucht man WinRAR um das zu erkennen/entpacken... Einfach Rechtsklick auf die EXE-Datei. man erkennt auf den ersten Blick das mein beispiel ein selbst-entpackendes archiv ist. Nun einfach entpacken, man wählt dazu am besten "Entpacken nach NAMEEXE" 3.) Mit PEiD auf EXE-Crypter untersuchen Einfach die EXE anklicken (KEIN DOPPELKLICK!) und per Drag&Drop auf die PEiD Oberfläche ziehen, sofort wird angezeigt welcher Crypter/Packer verwendet wird. Man erkennt sofort das das beispiel hier mit Themida gecryptet wurde -> Es ist ein Trojaner Sollten mehrere Dateien in dem Selbst-entpackenden Archiv sein hilft einem die Dateigröße: Trojaner die mit Themida gepackt wurden haben immer eine Größe von 1 bis 2 MB. Was tun wenn PEiD versagt? Anderer EXE-Packer/Crypter Detector nehmen z.B. GO.PL - Platforma RTB, dynamiczny remarketing produktowy w modelu RTB Beide versagen? Immernoch "UNKNOWN" oder "NOTHING FOUND"? Lösung: Mit Hex-Editor anschauen oder mal mir geben... Wann ist es also zu 100% ein Trojaner? Wenn... - die EXE Datei zwischen 1 und 2 MB groß ist und wenn sie - mit Themida gecryptet ist to be continued... - Rechtschreibungsüberprüfung - mehr Infos - Tricks + Multi-Zitat Zitieren