[Guide] How 2 detect fud Trojaner

bl00d5p0rt

bl00d5p0rt

Banned
Thread Starter
Mitglied seit
16.08.2007
Beiträge
2.441
Ort
Berlin
Benötigt:

http://www.softpedia.com/get/Programming/File-Editors/PEditor.shtml
http://www.chip.de/downloads/Hex-Editor-MX-6.0_30351843.html

So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.
Nehmen wir an, wir haben hier einen FUD Trojaner.
Wie entlarven wir ihn nun?

-> als erstes natürlich mit dem installiertem AV scannen.
Es wird nichts gefunden.
Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen.
Absolut Nichts wurde erkannt.

Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory.
Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.
So in diesem Fall nehmen wir an, wir sehen Wsock32.dll.
Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist.
Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist.
Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt?
nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports).
Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist)
dass da etwas sehr faul ist.
nun hier würde aber nichts stehen.
Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode,
die noch angezeigt werden etc ) steht da was von z.B.
Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.

Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.

Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich,
deswegen werde ich nach und nach mehr hinzufügen.

Mfg
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
ganz nett erklärt :)
nur wieso sollte man sich um sowas sorgen machen, wenn man mit brain.exe sich im inet bewegt? ;o
 
Hört doch auf mit Brain.exe.
War ja mal ganz lustig aber dass es wirklich immer noch Leute gibt, die allen ernstes meinen allen Gefahren gefeit zu sein...
Kein AV etc. und immer schön behaupten dass man sich noch nie was eingefangen hat und merkt es dabei überhaupt nicht, ja wie denn auch?
Auf manche Sachen hat man einfach keinen Einfluss, selbst nicht mit Brain2.0.
 
wie soll denn ein fud troj auf meinen pc kommen?
trojaner installierst du dir immer selbst.. außer du bist schon infiziert.
glaub kaum, dass ich durch 2-3 foren und n mail acc infiziert werd..
und so nutzen die meisten ihren pc..
is kla, dass die ganzen filesharer dauernd sich iwelchen krims einfangen..
 
michi2k schrieb:
Hört doch auf mit Brain.exe.
War ja mal ganz lustig aber dass es wirklich immer noch Leute gibt, die allen ernstes meinen allen Gefahren gefeit zu sein...
Kein AV etc. und immer schön behaupten dass man sich noch nie was eingefangen hat und merkt es dabei überhaupt nicht, ja wie denn auch?
Auf manche Sachen hat man einfach keinen Einfluss, selbst nicht mit Brain2.0.
Zum Vergrößern anklicken....

Ich habe zwar nen Antiviren Prog auf der Kiste, aber On Access Scan iss ausgeschalten... Jede Woche wird das System einmal komplett gescannt, und siehe da, noch nie was gefunden...
Ist also durchaus möglich im Netz zu surfen, ohne sich etwas einzufangen. Und ich surfe nicht wenig, das kannste mir glauben :P

mfg: Mete
 
ich hab nur ne firewall und ein mal im monat kommt ein virenproggi drauf und dann wird durchgescant ;) is eigentlich auch nie was dabei ...
 
ja das mit dem durchscannen und nix finden is ja mal quark an der stelle, wenns um fud trojs geht ^^
 
Mete888 schrieb:
haste wohl den post den ich zitiert habe net gelesen ;)

mfg: Mete
Zum Vergrößern anklicken....

doch. du sagtest dass du dir nie was eingefangen hast..
so, hier gehts aber um fud troj.. ^^ die kannste also eigentlich nicht erkennen :P
aber so ne dinger holt man sich nich einfach so ins haus..
brain.exe reicht auf jeden fall
 
eXTA schrieb:
wie soll denn ein fud troj auf meinen pc kommen?
trojaner installierst du dir immer selbst.. außer du bist schon infiziert.
Zum Vergrößern anklicken....

das stimmt nicht. ;)

-------------------

fud trojaner erkennt man nicht ausser halt die methode die ich oben erwähnte! av hilft nicht egal was du nutzt selbst vmware bringt nix wenn der trojaner einen bypass mit sich bringt, selbst wenn du nicht im admin modus surfst bist du schneller im ar*** als du denkst. trojaner werden heutzutage auch per mail übertragen, auch wenn ihr schon links anklickt die infectet sind habt ihr innerhalb weniger sekunden einen trojaner auf dmem pc. ihr sagt ihr fangt euch keine ein? da seid euch mal nicht so sichr, es würde mich nicht wundern wenn ihr schon nen paar aufn rechner habt.

ich beschäftige mich schon sehr lange damit und studiere fast jeden trojaner mit einem test pc und habe schon so einiges gesehn.

mfg
 
Zuletzt bearbeitet:
bl00d5p0rt schrieb:
trojaner werden heutzutage auch per mail übertragen, auch wenn ihr schon links anklickt die infectet sind habt ihr innerhalb weniger sekunden einen trojaner auf dmem pc
Zum Vergrößern anklicken....

ja wie ich sagte.. wer klickt auf solche links? ich klick nur da rauf wo ich 100% sicher bin, dass das clean is.. und die wahrscheinlichkeit, dass der dann n troj is, is so gering ;) und fud troj noch geringer

außerdem is das dann selbst installieren
 
Mir gefällt dein Beitrag. Kann ich denn mehr über diese Art der Viren erfahren und auch wie man sie am besten aufspührt?

Habe jetzt anhand deines Beispiels eine Datei untersucht, die lt Virustotal.com von einem großen Teil der AV-Engines als Trojaner angezeigt wird. Leider habe ich anhand der oben beschriebenen Methode nichts gefunden:(
 
Ich finde das immer so lustig diese Aussage von wegen man bewegt sich nur auf Seiten die man kennt also fängt man sich nichts ein.
Sowas blödes hat auch mein alter Vorgesetzter behauptet.

Stellen wir uns mal folgendes vor: Ich bewege mich in Foren. Mindestens eines davon wurde in den vergangenen Jahren schon gecrackt. Ist die Seite nun sicher oder nicht?

Dann mache ich Online Banking. Es wird immer wieder gesagt dass gerade die Anmeldeseite bei Online Banking ein beliebtes cracker Ziel ist. Ist die Seite nun sicher?

Ich lade Programme von einer PC Zeitschrift Webseite runter. Etliche Virenscanner erkennen da Viren in den Dateien. Ist die Seite nun sicher?

Mein Bruder kauft sich ein neues Spiel. Auf der CD-ROM befindet sich ein Virus. Ist die CD-ROM nun sicher?

Und was auch immer wieder vorkommt, Geräte (MP3 Player oder ähnliches), die ab Werk mit einem Virus infiziert sind. Habe glaube ich dieses Jahr schon zwei solcher Meldungen gelesen.


Wer also nun behauptet Brain.exe Version 565454654654 reiche aus, der irrt.
Man kann sich Viren/Trojaner/Würmer auf soviele unterschiedliche Varianten einfangen, das glaubt man kaum. Da kann man noch so vorsichtig sein.

Einmal im Monat einen guten und aktuellen Virenscanner (ich empfehle Demoversion von Kaspersky, hat immer die neusten Virensignaturen und ist einer der besten Virenscanner) und Spybot sowie HiJackThis drüber laufen lassen. Das wäre das mindestes was jeder machen sollte.

Die Realität sieht aber anders aus. Die meisten haben keine Ahnung was sie da überhaupt für ein Stück EDV in der Hand haben und wie man damit umgeht. Das Beweist auch die Statistik der Virenscanner Firmen, die schön aufzeigen können wieviele Privatrechner als Spamschleuder verseucht sind.

Kurz gesagt, Brain.exe ist schon gut, aber reicht bei weitem nicht aus.

Und wer behauptet er hätte noch nie was drauf gehabt und habe keinen Scanner, der soll sich mal Kaspersky Demoversion runterladen sowie Spybot und HiJackThis und dann evtl. staunen.
 
Ich verstehe was ganz anderes nicht:

1. Einmal im Monat ein AV über das System laufen lassen ist OK. Aber in der Zwischenzeit völlig ohne AV zu arbeiten ist mir doch zu heikel!
Wie X5-599 schon sagte, ist Brain.exe allein ein teilweiser Schutz.

Es hängt davon ab, was man mit dem PC vorhat. Nur surfen und nie ein Programm aus dem Internet antesten, rechtfertig dann wohl kaum ein Windows Betriebssystem auf dem heimischen PC.

@TOPIC
Da der User diesen Beitrag mehrmals im Netz ,unter verschiedenen User-Namen, verbreitet hat, ist es unklar, ob er hier nochmal vorbeischaut.

Kennt jemand noch ähnliche Verfahren zur Kontrolle von Programmen?
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh