Vollständige Version anzeigen : Tutorial: Trojaner leicht erkennen


N0S
19.06.2007, 20:24

In dem Tutorial erkläre ich euch mal wie man leicht und, soweit man keinen Fehler macht in Form eines Doppelklicks, gefahrlos Trojaner/Viren, erstellt von Scriptkiddies, erkennen kann.


Was braucht man?

- WinRAR: WinRAR archiver, a powerful tool to process RAR and ZIP files (;;;rarlab~com) (Archiv Entpacker)
- PEiD: PEiD (;peid;has~it) (EXE-Packer/Crypter Detector)
- Hintergrundwissen


Hintergrundwissen

Scriptkiddies können nicht programmieren, sie wissen auch in der Regel nicht wie man mit einem Hex-Editor oder Disassembler umgeht. Trotzdem erstellen sie gerne Trojaner und das sollte möglichst idiotensicher leicht sein. Deshalb nehmen sie dazu einen fertigen Trojaner mit einem Trojaner-Server-Builder integriert mit dem sie ihren eigenen Trojaner-Server erstellen. Besonders beliebt sind folgende Trojaner:

Bifrost - (;chasenet~org/products/bifrost/)
Prorat - prorat~net - de beste bron van informatie over ProRat Keylogger PROHack PROGroup Remote Desktop Hack Crack Trojan Spy BackDoor RDP ProSpy Kucumseme. Deze website is te koop! (;;;prorat~net/)

Wichtig zu wissen ist dabei:
Bifrost-Server connected auf eine DNS um so die Verbindung mit dem Hacker herzustellen -> DNS kann man rausbekommen -> Scriptkiddie seine IP
Prorat-Server ist passiv, er wartet bis der Hacker connected, der server kann dem hacker z;b. über E-Mail mitteilen welche IP das Opfer hat -> Scriptkiddie ist "anonymer"

Das Problem bei diesen One-Klick-Trojanern ist, dass sie von allen Antivirenprogrammen erkannt und beseitigt werden, d;h. das Scriptkiddie muss den Trojaner irgendwie vor den Antivirenprogrammen "unsichtbar" machen auch stealthen oder "undetected" machen genannt...
Da das Scriptkiddie sonst keine Kenntnisse hat, bleibt ihm nur eine Möglichkeit: Den Trojan-Server mit einem EXE-Crypter/EXE-Protector crypten/schützen (öhm lol ich weiss kein deutschen begriff dafür).
Diese EXE-Protectoren/Crypter sind eigentlich dazu gedacht Cracker davon abzuhalten das Programm zu cracken, also im Prinzip sowas wie ein Kopierschutz für Computerspiele....
Ihr kennt ja sicher diese Shareware Programme (z;b. 30-Tage Testversion), diese ganzen Programme sind geschützt durch so einen EXE-Protector... um Cracker das leben schwerer zu machen.

Diese EXE-Protectoren kann man natürlich auch für Trojaner nehmen, weil sie die exe verändern/"crypten" haben Antivirenprogramme Probleme einen gecrypteten Trojaner zu erkennen...
EXE-Crypter sollte man auch nicht verwechseln mit EXE-Packer (z;B. UPX, Aspack, usw;), den die machen die exe nur kleiner.

Bekannte EXE-Crypter sind z;b;:
ASProtect ASPACK SOFTWARE - Best Choice Compression and Protection Tools for Software Developers (;;;aspack~com)
Yoda's Protector Yodas Protector | Free Security & Utilities software downloads at SourceForge~net (;sourceforge~net/projects/yodap/) (wird beim SFT-Loader eingesetzt)

Unter diesen vielen EXE-Crypter gibt es aber einen der die exe'n besonders gut schützt, sein Name ist: Themida Oreans Technology : Software Security Defined. (;;;oreans~com)
Themida ist der zurzeit beste Crypter auf dem Markt, deshalb wird er zu 99% von Scriptkiddies eingesetzt um ihre Trojaner zu schützen. Seriöse Software Firmen würden auch nie ihre Programme mit Themida schützen, den um einen so guten Schutz zu erreichen macht Themida schon ein paar Sachen die man als seriöser Entwickler nicht so gern haben möchte (klar Aussnahmen gibts immer, aber in der Regel werden andere eingesetzt)...
Was noch sehr für Themida spricht ist, dass man die "VMWare Kompatibilität" ausschalten kann, d;h. man kann den Trojaner nicht in einem virtuellen Betriebssystem starten bzw. analysieren...

Hab mal einen Bifrost Trojaner einfach mit Themida gecryptet, Ergebnis: Download offline!
Man sieht also wie gut Themida funktioniert... ohne Themida wird der Trojaner von allen Antivirenprogrammen erkannt und mit, nur von sehr wenigen... wenn man nun noch paar andere Sachen verändert oder an den Themida Optionen rumspielt erhält man einen voll "undetected" oder gestealthten Trojaner... Themida wird auch sehr oft aktualisiert (hab eine relativ alte Version genommen)... die neuste Version macht einen Trojaner auch voll "undetected".



Vorgehensweise zum Erkennen


1;) EXE-Datei downloaden


2;) Checken ob es ein Selbst-entpackendes Archiv ist (WinRAR wird benötigt)
Scriptkiddies packen gern den Trojaner mit einer normaler Datei (z;B. Programm-Setup, Crack, etc;) in ein Selbstextrahierendes Archiv (dient auch nochmal zum Schutz vor Antivirenprogrammen), deshalb braucht man WinRAR um das zu erkennen/entpacken...
Einfach Rechtsklick auf die EXE-Datei.

;;0;xup~in/exec/ximg;php?fid=35967135

man erkennt auf den ersten Blick das mein beispiel ein selbst-entpackendes archiv ist. Nun einfach entpacken, man wählt dazu am besten "Entpacken nach NAMEEXE"

;;0;xup~in/exec/ximg;php?fid=12676555


3;) Mit PEiD auf EXE-Crypter untersuchen
Einfach die EXE anklicken (KEIN DOPPELKLICK!) und per Drag&Drop auf die PEiD Oberfläche ziehen, sofort wird angezeigt welcher Crypter/Packer verwendet wird.

;;0;xup~in/exec/ximg;php?fid=97242210

Man erkennt sofort das das beispiel hier mit Themida gecryptet wurde -> Es ist ein Trojaner

Sollten mehrere Dateien in dem Selbst-entpackenden Archiv sein hilft einem die Dateigröße: Trojaner die mit Themida gepackt wurden haben immer eine Größe von 1 bis 2 MB.

Was tun wenn PEiD versagt?

;;0;xup~in/exec/ximg;php?fid=28945324

Anderer EXE-Packer/Crypter Detector nehmen z;B. GO~PL - Platforma RTB, dynamiczny remarketing produktowy w modelu RTB (;;;exeinfo;go~pl)

;;0;xup~in/exec/ximg;php?fid=11986818

Beide versagen? Immernoch "UNKNOWN" oder "NOTHING FOUND"? Lösung: Mit Hex-Editor anschauen oder mal mir geben...


Wann ist es also zu 100% ein Trojaner? Wenn...
- die EXE Datei zwischen 1 und 2 MB groß ist und wenn sie
- mit Themida gecryptet ist


to be continued...
- Rechtschreibungsüberprüfung
- mehr Infos
- Tricks

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Ähnliche Themen zu Tutorial: Trojaner leicht erkennen
  • [Photoshop] [Video Tutorial/leicht]Signatur!
    Hallo ich habe hier ein Video Tutorial für Raidrush gemacht! Damit jeder seine eigene Signatur erstellen kann! In diesem Tutorial könnt ihr lernen wie man so eine Signatur erstellt! - - - - - Hier der Downloadlink:(;rapidshare~com/files/119044551/Untitled;wmv) Dieses Tutorial [...]

  • [Tutorial] XBOX 360 wirklich so leicht zu repariern
    hi habe eine xbox 360 mit RoD. nun behauptet ein ebay anbieter mit ein paar handgriffen dieses beheben zu können. klappt das mit sowas: Xbox Rod Reparatur: Zubehör | eBay (;cgi;ebay~de/XBOX-360-X-Clamp-FIX-Ring-of-Death-ROD-Reparatur-Set_W0QQitemZ220515604467QQcmdZViewItemQQptZPC_Viedeospielzubeh [...]

  • [Tutorial] Icon ändern - leicht gemacht
    Hallo meine Mac Gemeinde ;) in diesem Tutorial möchte ich euch zeigen wie ihr sehr schnell und auch sehr leicht Icons eurer Folder / Applications ect. ändern könnt. Als erstes sucht ihr euch auf diversen Seiten euch ein Icon / -set was ihr gerne benutzen möchtet. Nun entpackt ihr (falls noch [...]

  • UD Trojaner erkennen
    Hallo Also ich würde gerne wissen wegen Trojaner also meine Frage ist: Woran kann ich einen Trojaner erkennen wenn er UD ist und worauf muss ich achten???? Kann es mir jemand sagen? Danke im vorraus!! [...]



raid-rush.ws | Imprint & Contact pr