Toast Is Pimp! Skrevet 15. oktober 2009 Del Skrevet 15. oktober 2009 (endret) Hei, jeg har en EXE fil jeg har nedlastet fra en side, der jeg antok med sterk sannsynlighet inneholdt noe suspekt. Jeg brukte en Online Scanner som bruker flere scannere http://www.virustotal.com/ Ingen som kunne finne noe. Så hvordan åpner jeg EXE filen og finner ut hva den gjør? Antageligvis laget av en script kiddie (bat fil kanskje?) Jeg har kjørt filen i XP Mode i Windows 7 og håper det er nok for og hindre angrep. Edit: Filen kan ikke åpnes i 7zip Med ExeScript Pro fikk jeg lest ut dette: [#($)#] ~exe.revres~|6BP20TKMESACTRWCXRRS3|@3366455993019626664468@²lld.ZX4KY1P1CI²'seY'°°°exe.revres\9.1v_taRorP\sesroH najorT\sroodkcaB-snajorT kt.ueMlumliF\kcaH\potkseD\evitaerC\sresU\:C°°°[#($)#][informations] web=/1/0/1//2/http://www.google.com/2//3/500/3/ protect=/1/0/1//2/English/2//3/Classic/3//4/äêÄf/4/ msgbox=/1/0/1//2/<None>/2//3/Rub3/3//4/Package was installed successfully !/4/ crypt=/1/1/1/ [#($)#]69CRYPT69380 ÚäíÌ�Š�Ì‘Š¬ÌŒ‰�ÌEŠ�Ì�Š�ÌÍŠ·Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Œ�ÌGš�Ú¬>¦™®BžZ«-\áò?ú;ôüþ9÷?ªÿ1ü:ÿ0òü½#öøÐþš”Á�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�ÌÝÏ�ÌÙ‹ ÌSn: �Š�Ì�Š�ÌmŠ¬Ï˜‹¢Ì�Ú¢Ì�š�Ì�Ú·Ì=.¼Ì�ê·Ì�:¼Ì�ŠÝÌ�š�Ì�Œ�Ì‘Š�Ì�Š�Ì‘Š�Ì�Š�Ì�J¼Ì�š�Ì�Š�Ì�Š�Ì�ŠÌ�ª�Ì�ŠÌ�š�Ì�Š�Ì�Š�Ì�ª»Ì•þ�Ì]D¼Ìµ��Ì�:¼Ì]”�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�̹0¼Ì¥Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�ÌâÚõü�Š�Ì�Ú·Ì�š�Ì�Š�Ì�Ž�Ì�Š�Ì�Š�Ì�Š�Ì Š�¬âÚõý�Š�Ì�Ú¢Ì�ê·Ì�Ò¢Ì�Ž�Ì�Š�Ì�Š�Ì�Š�ÌÍŠ�¬»ü>ðŠ�Ì�š�Ì�:¼Ì�˜�Ì�Ö¢Ì�Š�Ì�Š�Ì�Š�ÌÍŠ�Œ�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�Ì�Š�ý»¼ÒÌâÚõ홓¢ÖÕÍq Â)áE)¼Ì9΢Ì�x»Ì³�ꈀœËxš.ÇÍÈ÷ÕÙìs•oØŠ>·•K}Î0y«G|y÷Š…ï˜ÍW]—¦1ä§Ô•nÍÈV›Õõ®ö4!Öèo€¡†ýŒy“§¥4ý½]lj®`m€”ý‡�ÚMˆàòJ¸lé›×�Š`…EŠ¨•× mŠÖEˆ¿KlŒ[Äòî6•2å—t¨Œ yÛ˚݉Ò6‘~eIl>táiéJå«*@þ‚R�›ƒV]E†`ÿ²{ªvz„Jíí}Ã��™9Z5òš»Â2`'Œ‡œËññ(⹊(ÐM-N•ÊŒ‰ÑŽÛ*±ŽímK ± úÌ2´(�óÇAWeºä1õ"§€Û2+©Ü0¤UÔ11ÝXi¦B’'$¯9mÏÅ¢$�–ËŒ5F9_-!v(�òÔ ©ÌšcÑ¥xŒ<‹ªåxŸ(ÙU ®Tž²úJB §ºa¹oÁ@Üëú;…šžæK‹éLʘ‹�Œê�AÅBYÝÍŠØ`áÏ¡ƒ¬féñ–aW¢ZeU�vçK�âàÁ‹¶¨oŒúÚ㺤¥MœO!³OÈÏ®W mÿ_°WJªHh`½A|h5*c PË„û°!Âœ~0ŒºU‰¢øý±Šéz�÷%æ¥4Aº`r®VˆÄI´Èûi ùÉ‹`:Ne§äBñ釜ÉBš]!XS&Y&]‰â˜mÑ� Àü(ã]Œ·óQⰕ߉G˜/±(ÖŒûÁhöü”Â(Zê” ìœAUÓ>�‰‡®ÅOa9¼"“_Ñ&yÇ¡ŠWì…âIJ”ÒäVzöù=ŠÓ^Âœ}ÂWÎ-ÌÓˆÆ9Ùüü™µÓý¦7 z-`PßgXVùê–�Ì�u¸Ît†Ë¤ öhÛlšCÑÝ(!aŸcÌìí„Ì-(±êLБ¦=̉ˆœ¼ÊÒ±KÒ Det er nok 3333 linjer, så jeg tror ikke alt ble kopiert inn her. Endret 15. oktober 2009 av Toast Is Pimp! Lenke til kommentar
flyndrefjes Skrevet 15. oktober 2009 Del Skrevet 15. oktober 2009 Jeg lurer på hvorfor ordet "TROJAN" er nevnt i den filen flere ganger? Kanskje ikke helt "god" den filen der, likevel? Lenke til kommentar
PerB Skrevet 15. oktober 2009 Del Skrevet 15. oktober 2009 Så hvordan åpner jeg EXE filen og finner ut hva den gjør? Exe-filer er binære programmer i maskinkode. De kan ikke åpnes som sådan. Enkelte exe-filer kan være selvoppakkende arkivfiler, Det vil si at de komprimerte filene er pakket sammen med en kodedel (oppsratbar og kjørbar) som pakker opp de filene pakken (exe-filen) inneholder. Du kan med andre ord ikke "åpne" exe-filen for å se hva den gjør. Eneste mulighet ville vært en de-asembler hvor resultatet ville vært asemblerkode og svært tungt lesbart. Og har du forsøkt å kjøre filen (og den gjør suspekte ting) er det antaglig forsent og den har fått sjangsen til å gjøre den ugangen den ønsker. Lenke til kommentar
GeirGrusom Skrevet 15. oktober 2009 Del Skrevet 15. oktober 2009 Det står riktignok Trojan Horses og Trojan Backdoors under en mappe der. En ting du kan gjøre, er å kjøre en disassembly og se hvilke funksjoner den kaller, eller eventuelt kjøre en packet sniffer (som WireShark) Så lenge filen kjører under en vm er det temmelig begrenset hva den får gjort. Lenke til kommentar
Toast Is Pimp! Skrevet 15. oktober 2009 Forfatter Del Skrevet 15. oktober 2009 (endret) Jeg kjørte Wireshark, men ingen utgående pakker. Da jeg testet en webside virket Wireshark. Noe jeg må tenke på når jeg gjør det? Helvette, skulle zippe filen slik at ingen åpner den med et uhell (lagring). Tror dere at filen ble kjørt nå? "GEN/PwdZIP" Jeg kjører Avira på høyest innstilling, der det oppstår mange falske deteksjoner, men ingenting skjedde da jeg skulle Zip'e filen lagt ved her. Her er hva en deasembler fikk ut av filen: Passordet er navnet på forumet uten Dot No. Zip (stored, ZipCrypto) Fjernet da 7 brukere har nedlastet filen. Og da forventer jeg svar. Endret 15. oktober 2009 av Toast Is Pimp! Lenke til kommentar
Kris Skrevet 15. oktober 2009 Del Skrevet 15. oktober 2009 Kanskje ikke så smart å legge ut filen her? Lenke til kommentar
Toast Is Pimp! Skrevet 15. oktober 2009 Forfatter Del Skrevet 15. oktober 2009 (endret) Ja man kan vell gjøre denne kjørbar igjen ja. Men er det noen ærlige sjeler som vil komplimere den tilbake til exe... Endret 15. oktober 2009 av Toast Is Pimp! Lenke til kommentar
GeirGrusom Skrevet 16. oktober 2009 Del Skrevet 16. oktober 2009 (endret) Jeg fikk ikke lest disassemblyen Forrt gjort å gjøre assembly kode slik at programmet ikke funker da, eksempelvis legge inn en slik en i entry point: NOP JMP NEAR -1 Endret 16. oktober 2009 av GeirGrusom Lenke til kommentar
GeirGrusom Skrevet 16. oktober 2009 Del Skrevet 16. oktober 2009 Akai, da fikk jeg kildekoden (eller disassembly fila) Jeg gadd ikke gå så grundig tilverks, da det virker til at denne er skrevet i Assembly.(ellers kunne jeg brukt en Decompiler) men etter det jeg ser: Filen er 16-bit .com fil, så den burde i teorien ikke kjøre under 64-bit windows. Filen inneholder massivt mye mer data enn kode, noe som gjør at jeg tipper at dette er en slags "bootloader" for mer skadelig programvare. Det er dog kun gjetninger basert på et temmelig røft overblikk, så ikke vet jeg. Den kaller ingen interrupts (annet enn et til int 3, som er det samme som debug break) Det den derimot gjør, er å skrive hyppig til porter. Det er litt vanskelig å se hvilken port (i mange tilfeller) og det er vanskelig for meg å se hva poenget er... Jeg er ikke fryktelig flink i 286 assembly, så jeg får nesten bare gi meg der. Det er folk som er langt bedre kvalifisert enn meg til dette ^^ Lenke til kommentar
Toast Is Pimp! Skrevet 16. oktober 2009 Forfatter Del Skrevet 16. oktober 2009 (endret) Hehe! Har bare runnet filen i Windows 7 sin virtuelle XP. Det er litt risky da jeg tror det gir litt tilgang tin Win 7... Så, jeg var paranoid og installerte Win7 pånytt. Hadde ikke tid til og installere Win XP x64 i virtualbox. Men som sakt, det er DOS (16bit) og hadde ikke greid og kjørt i Win XP x64 da den ikke kan åpne 16bit's filer uten emulator (feks dosbox). PS: Send med PM hvis du som leser dette ønsker koden. Endret 16. oktober 2009 av Toast Is Pimp! Lenke til kommentar
PerB Skrevet 17. oktober 2009 Del Skrevet 17. oktober 2009 Fjernet da 7 brukere har nedlastet filen. Og da forventer jeg svar. Du har ingen krav på svar. Nå har jeg ikke sett koden i programmet. Extension (her exe) sier engetlig ingenting om filtype (forteller bare operativsystemet at dette kan være enkjørbar fil (som com, bat, etc.). Exe-filer (16/32-bit) starter med MZ. Derpå følger kode som forteller hvordan programmet skal lastes i minnet og hvor startpunktet er. Com-filer er memorybilde av et program (det vil si er identisk med hvordan programmet ser ut i maskinens minne når det er startet). Lenke til kommentar
GeirGrusom Skrevet 17. oktober 2009 Del Skrevet 17. oktober 2009 Jeppjepp. Dette er egentlig en .com fil skjult som en .exe fil. Den starter for det første med den karakteristiske org 100h instruksjonen. .com filer hadde før den flotte egenskapen at de ble preferert fremfor .exe filer, så noen virus la inn .com filer som het helt eksempelvis notepad.com Så hvis noen skrev "notepad" så startet notepad.com istedet for notepad.exe. Helt eksempelvis dog, de brukte sikkert mer fornuftige programmer, men jeg var borti dette på en kamerat sin maskin i gamle dager. Lenke til kommentar
Toast Is Pimp! Skrevet 18. oktober 2009 Forfatter Del Skrevet 18. oktober 2009 (endret) Den gir han IP'en og åpner port 5110, i følge the maker! Og han sa han har lagd den selv... Jedå... Endret 18. oktober 2009 av Toast Is Pimp! Lenke til kommentar
GeirGrusom Skrevet 19. oktober 2009 Del Skrevet 19. oktober 2009 Jeg har SVÆRT vanskelig for å tro at den gjør noe som helst med nettverket. Men det kan godt være jeg tar feil, jeg er ikke så flink til å skrive 16-bit programmer i assembly. Grunnen til at jeg har problemer med å tro dett,e er at den må gå inn på nettverksstacken på nettverkskortet temmelig manuelt (som i såfall forklarer alle I/O port instruksjonene) men problemet med dette er at det er temmelig komplisert (hvis engang mulig under emulatoren i Windows) og programmet er forholdsvis lite. Det er som regel bare et lite fåtall med porter en kan skrive til under emulering, og jeg har vanskelig for å tro at nettverkskortet er en av dem. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå