Vollständige Version anzeigen : Virus/Malware reverse engineeren? (TOR/IRC Bot)


ChillingStream
21.04.2012, 17:27

Hi,

in der folgenden datei steckt afaik nen virus der, was er genau macht außer ner TOR node aufsetzen weiß ich nicht. kann mal jemand bitte schauen? :)

No File | ;;xup~in (;;;xup~in/dl,14843282/OODefrag15Professional64Enu;exe/)

Ists möglich den auch wieder zu entfernen oder nistet der sich zu tief ein?




Antivirus scan for 84c3c1de6153aacb6aab2d64a1f0b3b940f0c9dbad382a81a5b78432be80b595 at
2013-04-19 04:07:32 UTC - VirusTotal (;;;virustotal~com/file/84c3c1de6153aacb6aab2d64a1f0b3b940f0c9dbad382a81a5b78432be80b595/analysis/)

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
phraser
28.04.2012, 10:25

Sers,
ich würde dir raten mal ganz lieb "N0S" eine PN zu schicken - die sieht er schneller und wird dir sicherlich helfen ;)


Crack02
28.04.2012, 10:42

schieb die datei doch mal auf anubis (Anubis - Malware Analysis for Unknown Binaries (;anubis;iseclab~org/)). der zeigt genau, was die datei wo und wie macht nach dem aufruf.
natürlich ist anubis auch nicht 100% zuverlässig, da gewiefte malwarecoder natürlich die chance einkalkulieren, dass ihre programm nicht nur von virenscannern gecheckt wird, sondern auch z;b. mit anubis analyisiert wird und dann den schädlichen teil nicht ausführen.


N0S
28.04.2012, 11:10

Die Datei ist unschädlich, weil eine Setup\install;dat im Ordner der exe fehlt. In dieser install;dat ist die eigentliche Malware drin.


ChillingStream
28.04.2012, 13:21

i see, ich hab alles in ne ;rar gepackt und werde das N0S nochmal per PM schicken.


N0S
28.04.2012, 17:34

Dadurch werden 3 Dateien installiert:

Download: malware;zip | ;;xup~in (;;;xup~in/dl,32507403/malware;zip/)

TOR wird zur Kommunikation gebraucht, ein IRC Bot und noch eine exe die sich in Prozesse injected.

Skynet_0;3 nennt sich der IRC Bot. Der beherrscht DDOS, Bitcoin mining, usw.

Frisst sich aber alles nicht stark in das System, kann man gut entfernen.


alexgold
28.04.2012, 21:14

lass einfach ad aware drüber laufen reicht locker für so nen kinderding


ChillingStream
28.04.2012, 23:38

es wurde schon formatiert, der sicherheit halber. danke für eure hilfe though :)


N0S
29.04.2012, 12:51

So "Kiddie" ist es nicht. Gibt noch nicht so viele die über das TOR Netzwerk kommunizieren. Im Prinzip auch eine gute Idee. Es sieht auch so aus, als ob alles von einer Person oder einer Personengruppe programmiert wurde. Die Dateien sind alle ähnlich aufgebaut. Es ist also kein "Baukasten-Trojaner".


dreamax
29.04.2012, 13:27

So "Kiddie" ist es nicht. Gibt noch nicht so viele die über das TOR Netzwerk kommunizieren. Im Prinzip auch eine gute Idee. Es sieht auch so aus, als ob alles von einer Person oder einer Personengruppe programmiert wurde. Die Dateien sind alle ähnlich aufgebaut. Es ist also kein "Baukasten-Trojaner";

naja tor dann als externe binary einzubinden ist dann doch schon etwas blöd.


Geht im endeffekt wohl nur darum das man dadurch auf die tor hidden services zugreifen kann und somit der Standort des C&C Servers völlig anonym bleibt.


N0S
29.04.2012, 13:59

naja tor dann als externe binary einzubinden ist dann doch schon etwas blöd;
Ne, das würde ich genauso machen. Die exe wird nicht auf die HDD gedroppt, sondern es ist schon mit Memory Execution gelöst. Das ist die beste Lösung. Es wäre viel zu aufwendig die TOR Funktionen in die eigene EXE einzubauen.


Ähnliche Themen zu Virus/Malware reverse engineeren? (TOR/IRC Bot)
  • [XP] Spyware/Malware/Virus sogar nach Formatieren?!
    hallo zusammen, habe bis vorhin meinen rechner formatiert und wieder alle möglichen wichtigen programme installiert. ein grund warum ich formatiert habe ist, dass die geschwindigkeit beim surfen besonders so lahm war... bestimmt seiten wie die offizielle seite von spybot oder msn live messenger [...]

  • .jpg.scr datein Virus/Malware?
    Hallo, meine Schwester hat sucht eine Wohnung und hat von einem angeblichen Vermieter eine email mit folgendem link bekommen: (;;;business;samp4you~de/bilderspeicher/Wohnungsbilder;htm) auf der seite sind 5 links zu ;jpg;scr datein. virus total sagt 1/33. habe bei dieser scr geschichte noc [...]

  • [XP] W32/Parite Malware virus
    weiß einer wie man W32/Parite Malware virus komplett runter bringt ohne das ich alles löschen muß bin um jede hilfe dankbar [...]

  • Problem mit Malware/Virus
    Hallo,ich habe ein riesen Problem mit einer Malware (denke ich mal ist wahrscheinlicher als ein Virus):wenn ich den Computer ausschalte,kommt dieses Fenster wenn sich ein programm aufgehangen hat(mit dem "sofort beenden" Button) das Programm ist laut diesem Fenster ";NET-BroadcastEventWindow;2;0;0;0 [...]



raid-rush.ws | Imprint & Contact pr