"Quellcode" aus .exe lesen

[Blubmann1337]

Naja scheint ja so gesehen schon was "echtes" zu sein. Die Datei mit gleichem Hash wurde bereits vor 13 Stunden analysiert. Dann wird wie @mae1cum77 sagt versucht zu erkenne, ob das Programm in einer VM ausgeführt wird. Außerdem werden IPs kontaktiert, die im Verdacht stehen zu einem Botnetz zu gehören.... Also wenn das dein Kollege geschrieben hat, dann ist er entweder echt gut oder lügt dich an

 

[s1ave77]

bin gerade ungewiss, was ich tun soll.

Demjenigen einfach glauben. So ein Tool kann, wenn es denn ausgeführt wird, einiges an Schaden anrichten. Da es online Vewrbindung aufbaut, fließen auch Daten ab.

kannst mal aus spaß VirtualBox

Wird nicht funktionieren, die EXE sucht nach VM-Strings und wird dann nicht aktiv .

 

[Rüsan Gür]

Wird nicht funktionieren, die EXE sucht nach VM-Strings und wird dann nicht aktiv .

Das wäre mir neu aber die Strings eingebaut ist wissen wir nicht aber gut dass du mich auf aktueller stand gebracht hast mit dem VM Strings

 

[Blubmann1337]

Ich selber bin gerade ungewiss, was ich tun soll.

Nichts tun, Datei löschen und Ende. Wir brauchen nicht noch mehr Geräte in einem Botnetz, das irgendwelche DDoS-Angriffe fährt

 

[s1ave77]

Das wäre mir neu aber die Strings eingebaut ist wissen wir nicht

Der 'Behavior'-Check von virustotal vermerkt das 2 mal : https://www.virustotal.com/gui/file...546881e104b0acb79a56607c3fe766e02edd/behavior

 

[Blubmann1337]

Mittlerweile wird es auch von 33/68 Antiviren-Programmen als gefährlich eingestuft... Also......

 

[LioNite]

Ich möchte Dir nicht zu nahe treten, ABER.

Stell Dir vor, Du findest wirklich ein Programm, das den Quellcode aus der Exe herauszieht.

Was machst Du dann z.b. mit einem simplen Quelltext?

Hier mal ein Python-Script aus einer Beginner-Lektion.

# Import pickle module
import pickle

# Declare the object to store data
dataObject = []
# Iterate the for loop for 5 times
for num in range(10, 15):
dataObject.append(num)

# Open a file for writing data
file_handler = open('languages', 'wb')

# Dump the data of the object into the file
pickle.dump(dataObject, file_handler)

# close the file handler
file_handler.close()

# Open a file for reading the file
file_handler = open('languages', 'rb')

# Load the data from the file after deserialization
dataObject = pickle.load(file_handler)

# Iterate the loop to print the data
for val in dataObject:
print('The data value : ', val)

# close the file handler
file_handler.close()

Was hat Dir das gebracht, wenn Du sowas siehst?

Quelltexte als solches, habe ich schon mehrmals gelesen, mal abgesehen davon, das es auch einfache Zeilen gibt, wo man bestimmte wörte und deren Bedeutungen rauslesen kann.

Ergänzung (2. August 2023)

Der 'Behavior'-Check von virustotal vermerkt das 2 mal : https://www.virustotal.com/gui/file...546881e104b0acb79a56607c3fe766e02edd/behavior

Ehh was ?

 

[Rüsan Gür]

Der 'Behavior'-Check von virustotal vermerkt das 2 mal : https://www.virustotal.com/gui/file...546881e104b0acb79a56607c3fe766e02edd/behavior

Habs voll übersehen xD

 

[LioNite]

Der 'Behavior'-Check von virustotal vermerkt das 2 mal : https://www.virustotal.com/gui/file...546881e104b0acb79a56607c3fe766e02edd/behavior

Ehh was ?

 

[Blubmann1337]

Verhaltensanalyse zur Laufzeit, also was tut das Programm, wenn es ausgeführt wird.

 

[LioNite]

Naja scheint ja so gesehen schon was "echtes" zu sein. Die Datei mit gleichem Hash wurde bereits vor 13 Stunden analysiert. Dann wird wie @mae1cum77 sagt versucht zu erkenne, ob das Programm in einer VM ausgeführt wird. Außerdem werden IPs kontaktiert, die im Verdacht stehen zu einem Botnetz zu gehören.... Also wenn das dein Kollege geschrieben hat, dann ist er entweder echt gut oder lügt dich an

Nein, das hat er auf jedenfall gemacht.

 

[TorenAltair]

Ja, verschiedene Module zusammengeklickt.

 

[LioNite]

Jz verstehe ich garnichts mehr haha.

Ergänzung (2. August 2023)

Also was ich jetzt von euch allen rausgelesen habe ist, das IPs kontaktiert werden, die im Verdacht stehen zu einem Botnetz zu gehören.

Ergänzung (2. August 2023)

Gibts noch etwas schlimmes, was ich eventuell übersehen habe?

 

[TorenAltair]

Gibts noch etwas schlimmes, was ich eventuell übersehen habe?

Jop. Potentielle Strafbarkeit bei Verbreitung solcher Programme.

 

[LioNite]

Ich meine vom Inhalt des Programmes..

 

[Blubmann1337]

Naja Verbindungen zu einem möglichen Botnetz, Erkennung von Laufzeit in VM und Charakteristiken eines Stealers, also sprich Daten abgreifen. Zumindest wenn man die Antivirusmeldungen anschaut. Also genug Indizien um zu sagen, dass man das Programm löschen sollte. Auch wenn es nur Anhaltspunkte sind, kann ja wie @TorenAltair sagte etwas zusammengeklicktes sein, was aber im Endeffekt gar nix tut. In welcher Programmiersprache hat dein Freund das Ganze denn geschrieben?

 

[d3nso]

Das weis der TE nicht. Warscheinlich hat das Programm auch kein Freund geschrieben sondern irgend ein dullie in Indien und der TE hat irgendwas aus dem Netz gesaugt mit dieser .exe
Klingt nämlich alles sehr Nebulös was hier geschildert wird...

 

[s1ave77]

In welcher Programmiersprache hat dein Freund das Ganze denn geschrieben?

Wenn die benutzte Obfuskation (Aufblähen mit scheinbar sinnlosem Code) halbwegs taugt, wird da nicht viel zu 'lesen' sein, egal, was genutzt wurde.

 

[Raijin]

Gibts noch etwas schlimmes, was ich eventuell übersehen habe?

Du weißt was eine Verbindung zu einem Botnetz schon anrichten kann, oder? Wie funktioniert wohl TeamViewer? Das ist zwar kein böses Botnetz, aber prinzipiell kann Malware genau dieselben Techniken nutzen, um eine Backdoor auf deinem PC einzurichten und deinen PC nach Belieben aus der Ferne zu steuern. Es gibt wenig, das gefährlicher ist als sowas.

 

[sh.]

Du weißt was eine Verbindung zu einem Botnetz schon anrichten kann, oder?

Wir werden es sicherlich mitbekommen wenn er den nächsten Thread aufmacht