UPX-gepacktes Archiv entpacken? Ollydbg?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Sparx, 22. November 2010 .

Schlagworte:
  1. 22. November 2010
    Ich habe hier ein selbstextrahierendes Archiv liegen mit .exe-Endung.
    Wenn man es startet, kommt nicht der übliche Winzip/rar - Extrahierungsassistent für selbstentpackende Archive, sondern irgendwas Marke Eigenbau.
    Wenn man dann einen Pfad zum entpacken angibt, extrahiert er bis 95% und verlangt dann plötzlich ein Passwort. Dieses kriegt man nur, wenn man eine SMS mit einem Code an eine bestimmte Nummer sendet.

    Jetzt frage ich mich, wie es möglich ist, das ganze zu umgehen, da ich keine SMS da hinschicken will. Folgende Überlegungen habe ich angestellt:

    Da es anscheinend ein selbstentpackendes Archiv ist, habe ich erstmal versucht es mit 7zip zu entpacken - erfolglos, kriege nur irgendwelche UPX-Dateien heraus.
    Aha. Ist also vielleicht mit UPX gepackt.
    Ich habe dann das Tool PEID angeschmissen. Ergebnis: UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

    Aha. Wie entpacke ich UPX-gepackte Archive? Googlen. Aha. Der PE-Explorer hat ein UPX-Plugin.
    Wenn ich die Datei damit öffne und sofort danach wieder abspeichere, ist sie schonmal 20MB statt den ursprünglichen 8MB groß. Toll.
    Jetzt erhalte ich beim entpacken mit 7zip Dateien wie .data, .rdata, .text usw. So komme ich nicht weiter.

    Hat einer von euch ne Idee?

    (Eine Alternative, die ich in Erwägung ziehe, aber nicht weiß, ob das funktioniert: Passwort herausfinden, also:
    Programm mit Ollydbg debuggen und versuchen den Assembler-Code zu verstehen, um dort dann den richtigen Jump zu setzen damit er jedes eingegebene Passwort akzeptiert. )

    Vielleicht will sich einer der Cracks hier mal der Datei annehmen.

    Virustotal-Analyse:


    Antivirus scan for eb705dec52b7caa2873fde5cebc84049e8618b1a87a66743dd5495ba9d219404 at
    2010-11-20 19:21:41 UTC - VirusTotal

    Link zur Datei selbst:

    Update your download manager
     
    + Multi-Zitat Zitieren
  3. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?


    Hm die Datei ist anscheinend garnicht da drinne. Sobald du bezahlt hast, startet im hintergrund qBittorrent und laedt die Datei ueber das Torrent Netzwerk herunter.

    Koennte ich russisch waere das wohl deutlich einfacher. btw. was soll ueberhaupt in der Datei sein?
    Gibt naemlich auch anzeichen das das nur Fake/Abzocke ist.
     
    + Multi-Zitat Zitieren
  4. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    In der Datei soll ein Lied inkl. Lyrics sein.
    Ich habe mir auch schon überlegt, dass das vielleicht alles nur fake sein könnte. aber wäre die datei dann so groß ?
    Und dürfte ich außerdem fragen, wie du das ganze jetzt analysiert hast?
    Und selbst wenn das Lied dort selbst nicht enthalten ist, ist es nicht möglich das ganze mit Ollydbg o.ä. so zu manipulieren, dass das Programm denkt, man hätte bezahlt?
     
    + Multi-Zitat Zitieren
  5. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?


    Schau mal nach ob die Datei bei dir ne PCHDPlayer.exe gespawnt hat (C:\Programme\pchd).
    Wenn ja ist auch nen Trojaner mit drinne. Der grossteil der Datei besteht auf dem Bittorrent Client qBittorrent.
     
    + Multi-Zitat Zitieren
  6. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    Ja, das ist der fall -.- Da kommt dann diese virtual-girl- .
    Aber das ist ja erstmal wurscht.
    Ich fänds interessant zu wissen, ob man denn irgendwie an dieses Lied kommt. Dann halt über Torrent. Gibt es irgendeinen verweis in der .exe zu der quelle des liedes im torrent-netzwerk oder sowas?
     
    + Multi-Zitat Zitieren
  7. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?


    Gib mir lieber mal den Namen vom Lied, das sollte deutlich einfacher sein, zudem solltest du mal den Trojaner loeschen. Ich bezweifele mehr als stark, das du das lied auch nach bezahlung nicht bekommst.
     
    + Multi-Zitat Zitieren
  8. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    haha, das ist gar nicht so einfach^^
    ich hab nochmal nachgefragt (mache den ganzen mist natürlich nicht für mich, ich hab solche speziellen wünsche nicht)
    und der "kunde" meinte, das ist das Lied:

    ????? ????????? mit dem Titel ????? ???.

    Allerdings hat er die Karaoke-Version gesucht, wo außerdem noch die Lyrics mit inbegriffen sind.
    Also die bloße MP3 habe ich hier auch.

    //edit..merk grad, dass das hier nicht geht. Also die MP3 suchen kann ich selber. Meine Hoffnungen lagen halt in dieser exe von oben.
    Ansonsten muss ich wohl weiter suchen, falls keinem mehr was einfällt :/
     
    + Multi-Zitat Zitieren
  9. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    Mal ganz nebenbei:

    Dinge die normal mit UPX gepackt wurden kann man mit dem Switch "d" auch wieder unpacken, da braucht man keine großen Tools oder ähnliches.

    Spoiler
    Code:
    [arch@localhost tmp]$ upx -d Smerdyuchka_noviy_god_tekst_i_minus.exe
 Ultimate Packer for eXecutables
 Copyright (C) 1996 - 2010
UPX 3.07 Markus Oberhumer, Laszlo Molnar & John Reiser Sep 08th 2010

 File size Ratio Format Name
 -------------------- ------ ----------- -----------
 20881408 <- 8237568 39.45% win32/pe Smerdyuchka_noviy_god_tekst_i_minus.exe

Unpacked 1 file.

    Wollte das nur für den nächsten, der das hier googelt anmerken.

    Über den Sinn dieser Aktion hier will ich mich mal nicht auslassen, dennoch halte ich es für unwahrscheinlich, dass diese Datei dich zum Ziel bringt.
     
    + Multi-Zitat Zitieren
  10. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    Das ist gut zu wissen.
    Und ja, mir war durchaus bewusst, dass die Möglichkeit besteht, dass das alles zwecklos ist. Aber ich wollte wissen, was am Ende des Regenbogens auf mich wartet. Und ihr habt mir nochmal verdeutlicht, dass man da nie hinkommen wird.
    Da ich nun weiss, dass der Bittorrent-Client die eigentliche Dateigröße ausmacht, ist mein Wissensdurst bezüglich der Größe der Datei nun gestillt.
     
    + Multi-Zitat Zitieren
  11. 22. November 2010
    AW: UPX-gepacktes Archiv entpacken? Ollydbg?

    Eine Sache noch:

    ccsncprkid.com[Belieber String hier]

    Spoiler
    Code:
    [arch@localhost tmp]$ strings -8 Smerdyuchka_noviy_god_tekst_i_minus.exe | grep '\.php'
<a href="http://ccsncprkid.com/support.php">
http://ccsncprkid.com/pay_form.php?user_id=1&sub_id=53
http://ccsncprkid.com/pravila.php

    Sollte die letzten Zweifel ausräumen, man bekommt immer die selbe Datei (wie die, welche du hast) nur mit einem anderem Namen zum download. Das ist einfach wieder eine Sache die unwissenden Leuten versucht das Geld aus der Tasche zu ziehen.
     
    + Multi-Zitat Zitieren
  12. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten