Hallo ihr!
Ich möchte euch heute ein wenig über die "Basics" von Malware Analysis aufklären, daher wie ihr Programme im Voraus durchsuchen könnt und so diese als Malware identifizieren könnt, bevor es eben zu spät ist. Bitte beachtet, dass auch all diese Tipps euch nicht weiter helfen, wenn euch einfach der menschliche Verstand fehlt um bei extrem auffälligen Dingen gleich auf Alarmglocke umzuschalten.
Dieser Thread wird euch auch nicht helfen wenn es denn bereits zu spät ist. Solltet ihr euch bereits infiziert haben, hilft euch Malware Analysis auch nichts mehr, da diese Methoden dazu da sind um bösartige Assemblies zu identifizieren bevor ihr sie öffnet.
Ich werde euch allerdings auch ein wenig Vorwissen zum Thema Malware beibringen, solltet ihr dieses noch nicht besitzen, bevor ich dann überhaupt dazu komme wie ihr denn nun Malware identifiziert.
Bevor ihr in diesem Thread also den Überblick verliert, biete ich euch ein kurzes Inhaltsverzeichnis.
§1 Warum ist Malware Analysis so wichtig und warum sollte ich es machen?
Nun kommen wir also erstmal zum Vorwissen. Zunächst solltest du dir mal Gedanken machen, warum du dich eigentlich mit diesem Thema auseinandersetzen solltest und was für einen Vorteil es für dich birgt. das ist grundlegend eigentlich ganz einfach: Du kannst deinen Computer, deine persönlichen Daten und dementsprechend dich selbst schützen bevor es zu spät ist. Mit Hilfe von Malware Analysis kannst du diese bösartigen Würmer, Trojaner usw. identifizieren, bevor du erst infiziert hast und es eigentlich für jede Hilfe schon zu spät ist. Denn Malware neigt dazu, sich selbst zu verbreiten und irgendwann wird es so komplex, dass du sie einfach nicht mehr entfernen kannst und dir selbst denkst "Warum habe ich nicht vorher nachgedacht?". Wenn Malware also erstmal auf deiner Platte ist, bekommst du sie häufig auch nicht mehr runter und so hilft nur noch ein Neuaufsetzen des Computers. Und wer will schon jedes Mal wenn er sich wieder eine rein gefangen hat, sämtliche Daten aufs Neue verlieren und "von Null anfangen"? Die nächste Infizierung lässt bestimmt nicht lang auf sich warten.
Und eben dafür benutzen wir Malware Analysis: Sozusagen eine Unterstützung für den menschlichen Verstand, sich gar nicht erst zu infizieren.
§2 Warum verbreiten Leute Malware, was ist der Zweck?
Warum Leute Malware verbreiten kann komplett verschiedene Gründe haben. Zunächst mal müssen wir feststellen, was denn eigentlich Malware ist und wie es definiert wird: Malware ist eigentlich nur der Überbegriff für jegliche schädliche Software die du dir einfangen kannst. Bedeutet, Malware umfasst die bekannten Viren, sowie Keylogger, Stealer, Trojaner, Adware, Würmer, Ransomware und so weiter und so fort. Warum Leute nun Malware verbreiten, beziehungsweise was für einen Zweck damit erreichen wollen, hängt ganz vom Malware-Typ ab. Die offensichtlichste Variante wäre hier wohl der Virus, der bei einigen Unwissenden auch mit dem Begriff Malware vertauscht wird. Viren sind einfach Software, die deinen Computer zerstören. Sie deaktivieren daher alles, löschen Daten, fahren deinen PC runter und so weiter. Sie sind einfach nur destruktive Malware. Sie bieten keinerlei Vorteil für den Angreifer, lediglich einen Nachteil für das Opfer. Der Angreifer erhält mit einem Virus keinen Zugriff auf irgendwelche persönlichen Daten oder gar Passwörter: Ein Virus zerstört nur alles, was ihm irgendwie in die Finger kommt.
Keylogger oder Stealer beispielsweise haben es auf deine Kennwörter abgesehen, welche der Angreifer dann benutzen kann, um sich beispielsweise in deinen elitepvpers Account einzuloggen und "Blödsinn" zu treiben. Genauso kann er sich aber auch in deinen Online-Banking Account einloggen, und... der Rest versteht sich dann von selbst. Zwischen Keyloggern und Stealern wird in sofern unterschieden: Keylogger fangen jegliche Tasteneingaben ab. bedeutet, wenn du gerade am Chatten mit deinem Kumpel bist, kann der Angreifer alles mitlesen. Alles. Stealer hingegen durchforsten lediglich deinen Rechner nach den sogenannten "Cookies", die Webseiten auf deinem Rechner speichern. Stealer suchen gezielt nach Passwort-Cookies, bedeutet jene Cookies, die erstellt werden wenn du bei einem Login auf einer Webseite auf "Kennwort merken" klickst. Du kannst dich also schon mal vor Stealern schützen, indem du deine Kennwörter nie von deinem Browser speichern lässt - das nur als Zwischeninfo.
Wie du siehst, haben Angreifer also häufig ganz verschiedene Ideologien die sie mit der Verbreitung ihrer Malware verfolgen. Wichtig ist nur: Wir wollen uns davor schützen, und hier fällt erneut das Stichwort Malware Analysis.
§3 Gibt es ein Betriebssystem, für das es keinerlei Malware gibt?
Nein. Jeder, der dir etwas anderes erzählt, folgt lediglich den gerüchten die im Internet über OSX, Linux und Co geistern. Eins steht jedoch fest: Windows bildet knapp 90% des Marktanteils auf Rechnern, bedeutet: ein gefundenes Fresschen für Angreifer und dementsprechend Malware aller Art. Versetzt euch doch mal in die Lage eines Angreifers: Welches Betriebssystem würdet ihr eher angreifen? Eines, welches auf knapp 9 von 10 Computern weltweit installiert ist, oder eines das auf vielleicht 5 von 100 Computern installiert ist? Ersteres, richtig! Windows ist so also das Hauptangriffsziel von Malware. Dahinter sind alles nur noch Gerüchte und können nicht bestätigt werden. Ich zähle jetzt nur die drei bekanntesten Betriebssysteme auf: Windows, OSX und Linux. Meiner Meinung nach folgt nach Windows auf der "Malware-Verbreitungsskala" OSX, da es auch hier einen immer noch größeren Anteil an Nutzern gibt, als bei Linux, weswegen Linux auch entsprechend ganz hinten steht und meiner Meinung nach am Sichersten ist. Ich selbst nutze für Alltagsdinge auch nur Linux und habe noch nie in meinem ganzen Leben eine Anti-Virus Software für meine Ubuntu Installation benutzt. Und ich hatte auch nie einen Malware-Angriff zu verzeichnen. Ganz anders auf meiner Windows Installation, wo ein Antivirus heutzutage Pflicht ist. Dieses kann euch heutzutage aber in 50% der Fälle null weiterhelfen, was aber ein anderes Thema ist.
Fakt ist: Es gibt kein Betriebssystem, das 100% geschützt ist. Für jedes Betriebssystem gibt es Malware, sei es Windows, OSX oder Linux. Jedoch gibt es einen deutlichen Unterschied bei der Verbreitung von Malware zwischen diesen drei "OS-Riesen".
§4 Equipment
Nachdem wir uns also nun durch die Grundlagen von Viren durchgekämpft haben, geht es nun endlich an das eigentliche Thema: Malware Analysis. Um dies jedoch richtig ausführen zu können, benötigen wir ein paar Dinge.
§5 Die absoluten Basics
Ich werde euch hier nicht erklären, wie ein Antivirus oder eine Firewall funktioniert. Solltet ihr dies nicht wissen und bisher ohne aktivierten Antivirus durch das Netz gegeistert sein, so habt ihr als PC Nutzer etwas falsch gemacht und solltet euch erstmal darüber informieren, bevor ihr überhaupt an richtige Malware Analysis denkt.
Ihr habt nun also ein Programm, welches nicht 100% seriös ist, daher welches ihr nicht von einer vertruanswürdigen Seite wie CHIP oder sonst was gedownloaded habt. Dieses wollt ihr also nun analysieren, um Infektionen mit Malware vorzubeugen. Gute Entscheidung, und natürlich die absolut Richtige.
Was ihr natürlich als aller erstes machen solltet, ist die Datei mit Hilfe von eurem Anti-Virus zu scannen. In diesem Beispiel verwende ich Avast, es sollte aber in etwa genauso mit jeglichen anderen Antivirus Programmen funktionieren.
In diesem etwas übertriebenen Beispiel habe ich mir extra eine Datei herausgepickt, die ganz offensichtlich Malware ist und somit auch direkt von einem zuverlässigen AV gefunden werden kann. Stellen wir uns aber nun mal vor, der Antivirus hätte nicht nichts gefunden. Sollten wir uns nun auf ihn verlassen und das Programm sorgenfrei starten? Nein! Malware kann einem Antivirus heutzutage vorgaukeln, es sei ein ganz anderes Programm und gänzlich harmlos. Schutz dagegen bieten nur sehr ausgereifte, vollständige Internet Securitys wie die von Kaspersky oder Norton. Diese überprüfen das jeweilige Programm dann verhaltensbasiert, nicht auf Heuristiken oder ähnliches.
Also: Der AV hat nichts gefunden (stellen wir uns nun mal vor). Wir sind uns aber nach wie vor nicht hundertprozentig sicher. Der nächste Schritt wäre, die Datei mit einer Mass-Engine wie zu überprüfen. Solche Scanner nutzen die Engines von bis zu über 60 Antivirus Programmen und bieten somit ein zuverlässigeres Ergebnis.
Bedeutet, wir gehen nun auf VirusTotal und laden unsere verdächtige Datei hoch.
Nun heißt es ein wenig warten, bis VirusTotal das Ergebnis ausspuckt. Uuuund...
Eine deutliche Erkennungsrate, weswegen dieses Programm eindeutig als Malware zu identifizieren ist. Herrscht nur eine Erkennungsrate von < 3/54, so könnte dieses Programm auch ein sogenannter "false-positive" sein. Also ein Programm, welches bei Scannern als bösartig eingestuft wird, obwohl es das gar nicht ist. Bedeutet, wenn ein nicht so eindeutiges Ergebnis rauskommt, solltet ihr weiter machen und nicht hier aufhören. Auch bei einem Ergebnis von 0/54 solltet ihr möglichst die Analyse fortführen, da wie oben angesprochen, Malware sich tarnen kann.
§6 Sandboxes, Virtual Machines, ... Was ist das?
Nachdem wir nun also unser verdächtiges Programm mit jeglichen Virenscannern durchgecheckt haben, aber nach wie vor kein eindeutiges Ergebnis zum Vorschein kam, wollen wir zunächst mal feststellen, ob das Programm denn überhaupt das tut, was es soll. Dazu gibt es zwei Möglichkeiten, ohne dich selbst zu infizieren: Sandbox, sowie eine VM. Eine Sandbox, wie Sandboxie, macht nichts anderes als das verdächtige Programm vom Rest deines Systems auszuschließen. Bedeutet, es stellt eine Sandbox für dieses verdächtige Programm zur Verfügung, welches dann innerhalb dieses "Sandkastens" machen kann, was es will. Nach außen durchdringen kann es nicht, bzw. nur sehr kompliziert. Eine Virtual Machine, abgekürzt VM hingegen emuliert ein komplettes Betriebssystem auf deinem Computer. Bedeutet, du kannst hier Betriebssysteme installieren, ohne sie wirklich auf deinem eigenen Rechner zu installieren. Alles spielt sich in der VM ab. Ein Betriebssystem in einem Betriebssystem also. Dies ist noch mal um einiges sicherer als eine Sandbox, aber in diesem Beispiel werde ich Sandboxie verwenden, da dies schneller und einfacher erklärt ist.
Nun haben wir das Programm gestartet, ohne dass es irgendwelchen Schaden bei uns anrichten kann. Ich erkenne hier eins bereits im Voraus: Das Programm wurde vor zwei Tagen noch hier auf elitepvpers als Minecraft Crack angepriesen (was sowieso verboten ist auf Grund von Warez), hier jedoch öffnet sich eher etwas was in Richtung Teleport-Hack für irgendein FPS aussieht. Daher: Check bereits durchgefallen. Eindeutig Malware. Ansonsten könnt ihr innerhalb der Sandbox nun mit dem Programm machen, was ihr wollt - es wird keinen Schaden anrichten!
§7 Anubis
Was aber, wenn jegliche Checks bis hier hin versagt haben? Gibt es noch eine letzte Möglichkeit, ein Programm endgültig als Malware zu identifizieren? Ja. Die Lösung für jeglichen Malware Analyzer heißt "Anubis". Mit Hilfe von Anubis könnt ihr wie die großen Internet Security Systeme wie Kaspersky, Norton und Co das Programm verhaltensbasiert überwachen. Anubis wird euer Programm (vereinfacht erklärt) öffnen und schauen, was dieses tut. Lasst es uns also erneut mit dem Unturned Teleporter V2 versuchen.
Zunächst besuchen wir .
Anmerkung: Der Captcha ist keine Pflicht, durch Eingabe scannt Anubis jedoch schneller.
Nun heißt es erneut warten. Anubis scannt noch länger als VirusTotal, da Anubis eben das komplette Verhalten der Assembly überprüft und euch ein umfassendes Ergebnis liefert. Habt also ein wenig Geduld. Sobald Anubis fertig ist, werdet ihr eine solche Seite präsentiert bekommen:
Hier erkennt man tatsächlich noch nicht viel. Klickt ganz unten auf HTML, um das Ergebnis selbst anzuzeigen. Ihr könnt es auch im kopier-baren Textformat oder im XML-Format anzeigen lassen. Auch könnt ihr das Ergebnis als PDF downloaden. Seid ihr dann beim HTML Ergebnis angekommen, so werdet ihr erstmal ein wenig schwammig gucken. "Was ist das? Was soll das sein?"
Um bei Anubis tatsächlich etwas erkennen zu können, bedarf es wenigstens Grundwissen über den Registrierungs-Editor (Registry/regedit.exe) von Windows so wie die Ordnerstruktur. Besitzt ihr diese Kenntnisse, so steht euch nichts mehr im Weg. Lasst uns mal den Unturned Teleporter durchchecken:
Hier sehen wir bereits, dass Unturned Teleporter an Registrierungseinträgen rumfummelt, wo er eigentlich nichts verloren hat. Beispielsweise im Internet Explorer modifiziert er die Einträge ProxyName und so weiter. Solltet ihr nicht wissen, wofür die einzelnen Einträge in der Registrierung da sind, googelt einfach danach. Manchmal ändert ein Programm auch Registrierungseinträge, weil es für die Funktion notwendig ist. Unturned Teleporter hat in den Registry Einträgen von IE zumindest nichts zu suchen. Lasst uns weiter schauen...
Hier sehen wir, dass sich Unturned Teleporter offensichtlich selbst kopiert - es will also vom Nutzer keineswegs gelöscht werden. Ebenfalls verdächtig, nicht?
Das waren jetzt einige Beispiele, wie ihr mit Anubis Dateien endgültig den Malware-Hahn zudrehen könnt. Wenn ihr hier nichts verdächtiges feststellt, könnt ihr das Programm normalerweise unbesorgt öffnen.
Aber ich wiederhole noch einmal: Auch wenn du all diese Tipps befolgt - sie werden dir ohne menschlichen Verstand nicht weiterhelfen!
Ich würde mich über ein Feedback freuen, da es eine Heidenarbeit von über 2 Stunden war diesen Text zu schreiben und ich mir Mühe gemacht habe, gebt also mal Bescheid, ob es euch geholfen hat.
Danke für's Lesen!
Ich möchte euch heute ein wenig über die "Basics" von Malware Analysis aufklären, daher wie ihr Programme im Voraus durchsuchen könnt und so diese als Malware identifizieren könnt, bevor es eben zu spät ist. Bitte beachtet, dass auch all diese Tipps euch nicht weiter helfen, wenn euch einfach der menschliche Verstand fehlt um bei extrem auffälligen Dingen gleich auf Alarmglocke umzuschalten.
Dieser Thread wird euch auch nicht helfen wenn es denn bereits zu spät ist. Solltet ihr euch bereits infiziert haben, hilft euch Malware Analysis auch nichts mehr, da diese Methoden dazu da sind um bösartige Assemblies zu identifizieren bevor ihr sie öffnet.
Ich werde euch allerdings auch ein wenig Vorwissen zum Thema Malware beibringen, solltet ihr dieses noch nicht besitzen, bevor ich dann überhaupt dazu komme wie ihr denn nun Malware identifiziert.
Bevor ihr in diesem Thread also den Überblick verliert, biete ich euch ein kurzes Inhaltsverzeichnis.
- Warum ist Malware Analysis so wichtig und warum sollte ich es machen?
- Warum verbreiten Leute Malware, was ist der Zweck?
- Gibt es ein Betriebssystem, für das es keinerlei Malware gibt?
- Equipment
- Die absoluten Basics
- Sandboxes, Virtual Machines, ... Was ist das?
- Anubis
§1 Warum ist Malware Analysis so wichtig und warum sollte ich es machen?
Nun kommen wir also erstmal zum Vorwissen. Zunächst solltest du dir mal Gedanken machen, warum du dich eigentlich mit diesem Thema auseinandersetzen solltest und was für einen Vorteil es für dich birgt. das ist grundlegend eigentlich ganz einfach: Du kannst deinen Computer, deine persönlichen Daten und dementsprechend dich selbst schützen bevor es zu spät ist. Mit Hilfe von Malware Analysis kannst du diese bösartigen Würmer, Trojaner usw. identifizieren, bevor du erst infiziert hast und es eigentlich für jede Hilfe schon zu spät ist. Denn Malware neigt dazu, sich selbst zu verbreiten und irgendwann wird es so komplex, dass du sie einfach nicht mehr entfernen kannst und dir selbst denkst "Warum habe ich nicht vorher nachgedacht?". Wenn Malware also erstmal auf deiner Platte ist, bekommst du sie häufig auch nicht mehr runter und so hilft nur noch ein Neuaufsetzen des Computers. Und wer will schon jedes Mal wenn er sich wieder eine rein gefangen hat, sämtliche Daten aufs Neue verlieren und "von Null anfangen"? Die nächste Infizierung lässt bestimmt nicht lang auf sich warten.
Und eben dafür benutzen wir Malware Analysis: Sozusagen eine Unterstützung für den menschlichen Verstand, sich gar nicht erst zu infizieren.
§2 Warum verbreiten Leute Malware, was ist der Zweck?
Warum Leute Malware verbreiten kann komplett verschiedene Gründe haben. Zunächst mal müssen wir feststellen, was denn eigentlich Malware ist und wie es definiert wird: Malware ist eigentlich nur der Überbegriff für jegliche schädliche Software die du dir einfangen kannst. Bedeutet, Malware umfasst die bekannten Viren, sowie Keylogger, Stealer, Trojaner, Adware, Würmer, Ransomware und so weiter und so fort. Warum Leute nun Malware verbreiten, beziehungsweise was für einen Zweck damit erreichen wollen, hängt ganz vom Malware-Typ ab. Die offensichtlichste Variante wäre hier wohl der Virus, der bei einigen Unwissenden auch mit dem Begriff Malware vertauscht wird. Viren sind einfach Software, die deinen Computer zerstören. Sie deaktivieren daher alles, löschen Daten, fahren deinen PC runter und so weiter. Sie sind einfach nur destruktive Malware. Sie bieten keinerlei Vorteil für den Angreifer, lediglich einen Nachteil für das Opfer. Der Angreifer erhält mit einem Virus keinen Zugriff auf irgendwelche persönlichen Daten oder gar Passwörter: Ein Virus zerstört nur alles, was ihm irgendwie in die Finger kommt.
Keylogger oder Stealer beispielsweise haben es auf deine Kennwörter abgesehen, welche der Angreifer dann benutzen kann, um sich beispielsweise in deinen elitepvpers Account einzuloggen und "Blödsinn" zu treiben. Genauso kann er sich aber auch in deinen Online-Banking Account einloggen, und... der Rest versteht sich dann von selbst. Zwischen Keyloggern und Stealern wird in sofern unterschieden: Keylogger fangen jegliche Tasteneingaben ab. bedeutet, wenn du gerade am Chatten mit deinem Kumpel bist, kann der Angreifer alles mitlesen. Alles. Stealer hingegen durchforsten lediglich deinen Rechner nach den sogenannten "Cookies", die Webseiten auf deinem Rechner speichern. Stealer suchen gezielt nach Passwort-Cookies, bedeutet jene Cookies, die erstellt werden wenn du bei einem Login auf einer Webseite auf "Kennwort merken" klickst. Du kannst dich also schon mal vor Stealern schützen, indem du deine Kennwörter nie von deinem Browser speichern lässt - das nur als Zwischeninfo.
Wie du siehst, haben Angreifer also häufig ganz verschiedene Ideologien die sie mit der Verbreitung ihrer Malware verfolgen. Wichtig ist nur: Wir wollen uns davor schützen, und hier fällt erneut das Stichwort Malware Analysis.
§3 Gibt es ein Betriebssystem, für das es keinerlei Malware gibt?
Nein. Jeder, der dir etwas anderes erzählt, folgt lediglich den gerüchten die im Internet über OSX, Linux und Co geistern. Eins steht jedoch fest: Windows bildet knapp 90% des Marktanteils auf Rechnern, bedeutet: ein gefundenes Fresschen für Angreifer und dementsprechend Malware aller Art. Versetzt euch doch mal in die Lage eines Angreifers: Welches Betriebssystem würdet ihr eher angreifen? Eines, welches auf knapp 9 von 10 Computern weltweit installiert ist, oder eines das auf vielleicht 5 von 100 Computern installiert ist? Ersteres, richtig! Windows ist so also das Hauptangriffsziel von Malware. Dahinter sind alles nur noch Gerüchte und können nicht bestätigt werden. Ich zähle jetzt nur die drei bekanntesten Betriebssysteme auf: Windows, OSX und Linux. Meiner Meinung nach folgt nach Windows auf der "Malware-Verbreitungsskala" OSX, da es auch hier einen immer noch größeren Anteil an Nutzern gibt, als bei Linux, weswegen Linux auch entsprechend ganz hinten steht und meiner Meinung nach am Sichersten ist. Ich selbst nutze für Alltagsdinge auch nur Linux und habe noch nie in meinem ganzen Leben eine Anti-Virus Software für meine Ubuntu Installation benutzt. Und ich hatte auch nie einen Malware-Angriff zu verzeichnen. Ganz anders auf meiner Windows Installation, wo ein Antivirus heutzutage Pflicht ist. Dieses kann euch heutzutage aber in 50% der Fälle null weiterhelfen, was aber ein anderes Thema ist.
Fakt ist: Es gibt kein Betriebssystem, das 100% geschützt ist. Für jedes Betriebssystem gibt es Malware, sei es Windows, OSX oder Linux. Jedoch gibt es einen deutlichen Unterschied bei der Verbreitung von Malware zwischen diesen drei "OS-Riesen".
§4 Equipment
Nachdem wir uns also nun durch die Grundlagen von Viren durchgekämpft haben, geht es nun endlich an das eigentliche Thema: Malware Analysis. Um dies jedoch richtig ausführen zu können, benötigen wir ein paar Dinge.
- Ein aktuelles Backup deines Systems, zur Sicherheit
- Ein Antivirus sowie eine Firewall natürlich
- Sandboxie
- Zugang zu Anubis sowie VirusTotal
§5 Die absoluten Basics
Ich werde euch hier nicht erklären, wie ein Antivirus oder eine Firewall funktioniert. Solltet ihr dies nicht wissen und bisher ohne aktivierten Antivirus durch das Netz gegeistert sein, so habt ihr als PC Nutzer etwas falsch gemacht und solltet euch erstmal darüber informieren, bevor ihr überhaupt an richtige Malware Analysis denkt.
Ihr habt nun also ein Programm, welches nicht 100% seriös ist, daher welches ihr nicht von einer vertruanswürdigen Seite wie CHIP oder sonst was gedownloaded habt. Dieses wollt ihr also nun analysieren, um Infektionen mit Malware vorzubeugen. Gute Entscheidung, und natürlich die absolut Richtige.
Was ihr natürlich als aller erstes machen solltet, ist die Datei mit Hilfe von eurem Anti-Virus zu scannen. In diesem Beispiel verwende ich Avast, es sollte aber in etwa genauso mit jeglichen anderen Antivirus Programmen funktionieren.
In diesem etwas übertriebenen Beispiel habe ich mir extra eine Datei herausgepickt, die ganz offensichtlich Malware ist und somit auch direkt von einem zuverlässigen AV gefunden werden kann. Stellen wir uns aber nun mal vor, der Antivirus hätte nicht nichts gefunden. Sollten wir uns nun auf ihn verlassen und das Programm sorgenfrei starten? Nein! Malware kann einem Antivirus heutzutage vorgaukeln, es sei ein ganz anderes Programm und gänzlich harmlos. Schutz dagegen bieten nur sehr ausgereifte, vollständige Internet Securitys wie die von Kaspersky oder Norton. Diese überprüfen das jeweilige Programm dann verhaltensbasiert, nicht auf Heuristiken oder ähnliches.
Also: Der AV hat nichts gefunden (stellen wir uns nun mal vor). Wir sind uns aber nach wie vor nicht hundertprozentig sicher. Der nächste Schritt wäre, die Datei mit einer Mass-Engine wie zu überprüfen. Solche Scanner nutzen die Engines von bis zu über 60 Antivirus Programmen und bieten somit ein zuverlässigeres Ergebnis.
Bedeutet, wir gehen nun auf VirusTotal und laden unsere verdächtige Datei hoch.
Nun heißt es ein wenig warten, bis VirusTotal das Ergebnis ausspuckt. Uuuund...
Eine deutliche Erkennungsrate, weswegen dieses Programm eindeutig als Malware zu identifizieren ist. Herrscht nur eine Erkennungsrate von < 3/54, so könnte dieses Programm auch ein sogenannter "false-positive" sein. Also ein Programm, welches bei Scannern als bösartig eingestuft wird, obwohl es das gar nicht ist. Bedeutet, wenn ein nicht so eindeutiges Ergebnis rauskommt, solltet ihr weiter machen und nicht hier aufhören. Auch bei einem Ergebnis von 0/54 solltet ihr möglichst die Analyse fortführen, da wie oben angesprochen, Malware sich tarnen kann.
§6 Sandboxes, Virtual Machines, ... Was ist das?
Nachdem wir nun also unser verdächtiges Programm mit jeglichen Virenscannern durchgecheckt haben, aber nach wie vor kein eindeutiges Ergebnis zum Vorschein kam, wollen wir zunächst mal feststellen, ob das Programm denn überhaupt das tut, was es soll. Dazu gibt es zwei Möglichkeiten, ohne dich selbst zu infizieren: Sandbox, sowie eine VM. Eine Sandbox, wie Sandboxie, macht nichts anderes als das verdächtige Programm vom Rest deines Systems auszuschließen. Bedeutet, es stellt eine Sandbox für dieses verdächtige Programm zur Verfügung, welches dann innerhalb dieses "Sandkastens" machen kann, was es will. Nach außen durchdringen kann es nicht, bzw. nur sehr kompliziert. Eine Virtual Machine, abgekürzt VM hingegen emuliert ein komplettes Betriebssystem auf deinem Computer. Bedeutet, du kannst hier Betriebssysteme installieren, ohne sie wirklich auf deinem eigenen Rechner zu installieren. Alles spielt sich in der VM ab. Ein Betriebssystem in einem Betriebssystem also. Dies ist noch mal um einiges sicherer als eine Sandbox, aber in diesem Beispiel werde ich Sandboxie verwenden, da dies schneller und einfacher erklärt ist.
Nun haben wir das Programm gestartet, ohne dass es irgendwelchen Schaden bei uns anrichten kann. Ich erkenne hier eins bereits im Voraus: Das Programm wurde vor zwei Tagen noch hier auf elitepvpers als Minecraft Crack angepriesen (was sowieso verboten ist auf Grund von Warez), hier jedoch öffnet sich eher etwas was in Richtung Teleport-Hack für irgendein FPS aussieht. Daher: Check bereits durchgefallen. Eindeutig Malware. Ansonsten könnt ihr innerhalb der Sandbox nun mit dem Programm machen, was ihr wollt - es wird keinen Schaden anrichten!
§7 Anubis
Was aber, wenn jegliche Checks bis hier hin versagt haben? Gibt es noch eine letzte Möglichkeit, ein Programm endgültig als Malware zu identifizieren? Ja. Die Lösung für jeglichen Malware Analyzer heißt "Anubis". Mit Hilfe von Anubis könnt ihr wie die großen Internet Security Systeme wie Kaspersky, Norton und Co das Programm verhaltensbasiert überwachen. Anubis wird euer Programm (vereinfacht erklärt) öffnen und schauen, was dieses tut. Lasst es uns also erneut mit dem Unturned Teleporter V2 versuchen.
Zunächst besuchen wir .
Anmerkung: Der Captcha ist keine Pflicht, durch Eingabe scannt Anubis jedoch schneller.
Nun heißt es erneut warten. Anubis scannt noch länger als VirusTotal, da Anubis eben das komplette Verhalten der Assembly überprüft und euch ein umfassendes Ergebnis liefert. Habt also ein wenig Geduld. Sobald Anubis fertig ist, werdet ihr eine solche Seite präsentiert bekommen:
Hier erkennt man tatsächlich noch nicht viel. Klickt ganz unten auf HTML, um das Ergebnis selbst anzuzeigen. Ihr könnt es auch im kopier-baren Textformat oder im XML-Format anzeigen lassen. Auch könnt ihr das Ergebnis als PDF downloaden. Seid ihr dann beim HTML Ergebnis angekommen, so werdet ihr erstmal ein wenig schwammig gucken. "Was ist das? Was soll das sein?"
Um bei Anubis tatsächlich etwas erkennen zu können, bedarf es wenigstens Grundwissen über den Registrierungs-Editor (Registry/regedit.exe) von Windows so wie die Ordnerstruktur. Besitzt ihr diese Kenntnisse, so steht euch nichts mehr im Weg. Lasst uns mal den Unturned Teleporter durchchecken:
Hier sehen wir bereits, dass Unturned Teleporter an Registrierungseinträgen rumfummelt, wo er eigentlich nichts verloren hat. Beispielsweise im Internet Explorer modifiziert er die Einträge ProxyName und so weiter. Solltet ihr nicht wissen, wofür die einzelnen Einträge in der Registrierung da sind, googelt einfach danach. Manchmal ändert ein Programm auch Registrierungseinträge, weil es für die Funktion notwendig ist. Unturned Teleporter hat in den Registry Einträgen von IE zumindest nichts zu suchen. Lasst uns weiter schauen...
Hier sehen wir, dass sich Unturned Teleporter offensichtlich selbst kopiert - es will also vom Nutzer keineswegs gelöscht werden. Ebenfalls verdächtig, nicht?
Das waren jetzt einige Beispiele, wie ihr mit Anubis Dateien endgültig den Malware-Hahn zudrehen könnt. Wenn ihr hier nichts verdächtiges feststellt, könnt ihr das Programm normalerweise unbesorgt öffnen.
Aber ich wiederhole noch einmal: Auch wenn du all diese Tipps befolgt - sie werden dir ohne menschlichen Verstand nicht weiterhelfen!
Ich würde mich über ein Feedback freuen, da es eine Heidenarbeit von über 2 Stunden war diesen Text zu schreiben und ich mir Mühe gemacht habe, gebt also mal Bescheid, ob es euch geholfen hat.
Danke für's Lesen!