WinFuture-Forum.de: Wurm (malware) Analyse - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Wurm (malware) Analyse Quelltext


#1 _moep_

  • Gruppe: Gäste

geschrieben 28. Dezember 2004 - 16:29

Hallo,
so ich habe heute meinen ersten Wurm im Postfach liegen.
Eher gesagt 2 aufeinmal.
Der erste ist vom Typ Worm/NetSky.P (Antivir)
Text:
Please see the attached file for details.
Angehängte Datei:
data.txt .pif


Die zweite Mail enthält folgenden Text:
If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
Http:\\www.adresse meines Mailservers.de\uns\so\weiter

von einer Adresse von [email protected] (für ... steht da eine Name den ich nicht kenne, deswegen poste ich ihn mal nicht)
Auf jeden Fall hat der eine message.htm angehänt und eine message.scr.
Weiß nicht ob es sich hier wirklich um Malware handelt, bin aber skeptisch., da ich die Adresse nicht kenne.

Letzterer interessiert mich nicht so. Aber ich würde mir schon mal gerne so einen Wurm (also ersteren) anschauen:
1.Wenn ich den Wurm umbennene in Virus.txt und dann öffne mit Notepad (oder was ihr mir empfehlt), dann wird der Wurm (Malware) doch nicht ausgeführt oder?
1.1. Sehe ich dann den Quelltext (im Klartext) oder brauch ich dann spezielle Software dann kämen wir zu Punkt 2.
2. Mit welchen Tools untersucht man (ihr) den Malware (im Bezug auf Quelltext) , falls man neugierig ist?

Ja klar irgendwo gibt es auch den Quelltext, will 's aber lieber so (wenns den geht)

Vielleicht könntet ihr mir ein bisschen helfen.
P.S.:
Der Virus kommt übrigens auf einen Test Rechner falls ich was falsch mache.

MFG Moep

Dieser Beitrag wurde von moep bearbeitet: 28. Dezember 2004 - 16:33

0

Anzeige



#2 Mitglied ist offline   stefanra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.208
  • Beigetreten: 13. September 04
  • Reputation: 1

geschrieben 28. Dezember 2004 - 16:35

Zitat

1.Wenn ich den Wurm umbennene in Virus.txt und dann öffne mit Notepad (oder was ihr mir empfehlt) dann wird der Wurm (Malware) doch nicht ausgeführt oder?

Nein, er wird nicht ausgeführt.

Zitat

1.1. Sehe ich dann den Quelltext (im Klartext) oder brauch ich dann spezielle Software dann kämen wir zu Punkt 2.

Meiner Meinung nach kannst du dir .PIF mit Notepad ansehen

Ähm, ich würde aber auf Nummer sicher gehen und die Analyse mit Hilfe eines Linux-Rechners machen - da kann nix passieren. :blink:
0

#3 _moep_

  • Gruppe: Gäste

geschrieben 28. Dezember 2004 - 16:48

1. Ja danke war mir einfach nicht sicher und fragen schadet nicht. :blink:
2. Gut ich glaub ich nehm Knoppix.


3. Vielleicht noch ein Tip welches Programm ich nehmen soll?
Ich sehe hier nicht das was ich erwartet habe.
(Gestehe war zu faul um mit Knoppix zu booten oder die Datei zu verschieben)

Zitat

MZ     ÿÿ  ¸      @                                  `  º ´ Í!¸LÍ!Windows Program
$PE  L            à      r                  @                    0                                    ô  k                                                                                                        t                              à  À    ta  p  °  to                à  À    a                          à  À Î!@   @  n                  @  @        »Ð@ ¿ @ ¾,A Sè
  ÒuŠFÒÃü²€¤j[ÿ$s÷3Éÿ$s3Àÿ$s!³A°ÿ$Àsùu?ªëÜèC  +Ëuè8  ë(¬ÑètAÉë‘HÁà¬è"  = }  s
€üsƒøwAA•‹Å³V‹÷+ðó¤^ë–3ÉAÿT$ÉÿT$rôÃ_[·;OtOtÁç ë‹{WƒÃCCéQÿÿÿ_»(!A G‹7¯Wÿ•3À®uýþtïþuGÿ7¯ë þ„¢ðþÿWUÿS ­uÛ‹ìÃ!        4! (!                    @! N!    @! N!               

Oder ist das heutzutage der Quelltext?
Dann sollte ich schnell die Programmiersprache wechseln.
(Habe nur einen kleinen Teil kopiert)

Naja immer hin weiß ich jetzt das beide E-Mails verseucht waren. ­

Dieser Beitrag wurde von moep bearbeitet: 28. Dezember 2004 - 16:58

0

#4 Mitglied ist offline   Matze 

  • Gruppe: aktive Mitglieder
  • Beiträge: 666
  • Beigetreten: 29. Februar 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 28. Dezember 2004 - 17:01

Neee, das ist nicht der Quelltext. Benutze mal einen HEX-Editor um die Datei zu 'untersuchen'.
Den Quelltext würdest du durch dekompilierung bekommen, ist aber bei VB6 z.B. fast unmöglich.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
0

#5 Mitglied ist offline   stefanra 

  • Gruppe: aktive Mitglieder
  • Beiträge: 6.208
  • Beigetreten: 13. September 04
  • Reputation: 1

geschrieben 28. Dezember 2004 - 17:03

Ne, da habe ich mich getäuscht, kann man doch nicht so lesen. Ich vermute mal, dass es in Visual Basic/C(++/#) geschrieben ist.
0

#6 _moep_

  • Gruppe: Gäste

geschrieben 28. Dezember 2004 - 17:08

OK schonmal vielen Dank, aber eine Frage noch:
Wie machen das Virenscanner, die werden ja wohl kaum alle Programme dekompilieren, suchen die nach bestimmten Mustern oder gucken die sich genau das an was ich gerade gesehen habe und wissen dann anhand von Merkmalen das es sich um diese Malware handelt?
Vielleicht bin ich auch zu blöd und es geht viel einfacher, aber interessiert mich gerade.
0

#7 Mitglied ist offline   Matze 

  • Gruppe: aktive Mitglieder
  • Beiträge: 666
  • Beigetreten: 29. Februar 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 28. Dezember 2004 - 17:10

Die haben da Experten sitzen (ausser Fa. XXXXXXXX), die Dateien nach bestimmten Mustern untersuchen und somit in die Definitionen einbauen.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr.
0

#8 Mitglied ist offline   hans_maulwurf 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.358
  • Beigetreten: 23. Februar 04
  • Reputation: 0
  • Wohnort:Oberhausen

geschrieben 28. Dezember 2004 - 19:50

Wenn du bei Linux irgendwo installiert hast dann guck dir mal Wine an, damit lassen sich
Windowsprogramme ausfuehren und man kann beobachten was die Malware so
macht. Da werden dann ploetzlich wild Ordner erstellt und Systemdateien
wo vorher keine waren :cursing: ist wirklich interresant zu beobachten...
Nur mal so nebenbei.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0