Virus/Malware reverse engineeren? (TOR/IRC Bot)

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von ChillingStream, 21. April 2012 .

Schlagworte:
  1. 21. April 2012
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Hi,

    in der folgenden datei steckt afaik nen virus der, was er genau macht außer ner TOR node aufsetzen weiß ich nicht. kann mal jemand bitte schauen?

    No File | www.xup.in

    Ists möglich den auch wieder zu entfernen oder nistet der sich zu tief ein?




    Antivirus scan for 84c3c1de6153aacb6aab2d64a1f0b3b940f0c9dbad382a81a5b78432be80b595 at
    2013-04-19 04:07:32 UTC - VirusTotal
     
  2. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    Sers,
    ich würde dir raten mal ganz lieb "N0S" eine PN zu schicken - die sieht er schneller und wird dir sicherlich helfen
     
    1 Person gefällt das.
  3. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    schieb die datei doch mal auf anubis (Anubis - Malware Analysis for Unknown Binaries). der zeigt genau, was die datei wo und wie macht nach dem aufruf.
    natürlich ist anubis auch nicht 100% zuverlässig, da gewiefte malwarecoder natürlich die chance einkalkulieren, dass ihre programm nicht nur von virenscannern gecheckt wird, sondern auch z.b. mit anubis analyisiert wird und dann den schädlichen teil nicht ausführen.
     
    2 Person(en) gefällt das.
  4. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    Die Datei ist unschädlich, weil eine Setup\install.dat im Ordner der exe fehlt. In dieser install.dat ist die eigentliche Malware drin.
     
    1 Person gefällt das.
  5. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    i see, ich hab alles in ne .rar gepackt und werde das N0S nochmal per PM schicken.
     
  6. 28. April 2012
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Kann jemand diesen Virus reverse engineeren?

    Dadurch werden 3 Dateien installiert:

    Download: malware.zip | www.xup.in

    TOR wird zur Kommunikation gebraucht, ein IRC Bot und noch eine exe die sich in Prozesse injected.

    Skynet_0.3 nennt sich der IRC Bot. Der beherrscht DDOS, Bitcoin mining, usw.

    Frisst sich aber alles nicht stark in das System, kann man gut entfernen.
     
    2 Person(en) gefällt das.
  7. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    lass einfach ad aware drüber laufen reicht locker für so nen kinderding
     
  8. 28. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    es wurde schon formatiert, der sicherheit halber. danke für eure hilfe though
     
  9. 29. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    So "Kiddie" ist es nicht. Gibt noch nicht so viele die über das TOR Netzwerk kommunizieren. Im Prinzip auch eine gute Idee. Es sieht auch so aus, als ob alles von einer Person oder einer Personengruppe programmiert wurde. Die Dateien sind alle ähnlich aufgebaut. Es ist also kein "Baukasten-Trojaner".
     
  10. 29. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    naja tor dann als externe binary einzubinden ist dann doch schon etwas blöd.


    Geht im endeffekt wohl nur darum das man dadurch auf die tor hidden services zugreifen kann und somit der Standort des C&C Servers völlig anonym bleibt.
     
  11. 29. April 2012
    AW: Kann jemand diesen Virus reverse engineeren?

    Ne, das würde ich genauso machen. Die exe wird nicht auf die HDD gedroppt, sondern es ist schon mit Memory Execution gelöst. Das ist die beste Lösung. Es wäre viel zu aufwendig die TOR Funktionen in die eigene EXE einzubauen.
     
  12. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.