Register for your free account! | Forgot your password?

You last visited: Today at 02:54

  • Please register to post and access all features, it's quick, easy and FREE!

 

How 2 detect FUD Trojan

Reply
 
Old   #1
 
elite*gold: 0
Join Date: Feb 2008
Posts: 3,040
Received Thanks: 1,578
How 2 Wie teste ich Tools auf Viren

Hallo und herzlich Willkommen zu meinem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle.

Was wird benötigt?
- PEditor ( Download: )
- Hexeditor ( )

So, nun zeige ich euch einfach mal wie ich in einem einfachen Fall vorgehen würde.Nehmen wir an, wir haben hier einen FUD Trojaner. Wie entlarven wir ihn nun?

-> als erstes natürlich mit dem installiertem AV scannen. Es wird nichts gefunden. Nun laden wir die Datei bei Virustotal hoch, man will ja auf Nummer sicher gehen. Absolut Nichts wurde erkannt.

Was nun? Wir öffnen die Datei im PEditor, klicken auf Directory. Dort nun auf Imports, dann sehen wir alle Dll's, welche diese Datei benötigt.So in diesem Fall nehmen wir an, wir sehen Wsock32.dll. Das sagt schonmal dass hier was faul sein kann, kommt natürlich drauf an als was die Datei getarnt ist. Nehmen wir an es ist als Spiele-Crack getarnt, nun wissen wir natürlich sofort, dass es ein Trojan ist. Was aber wenn es als ein Programm getarnt ist, welches vllt auch ein Socket benötigt? nun wird es schon schwieriger. Wir schauen ersteinmal nach ressourcen ( unter Imports). Steht da etwas wie CUSTOM, dann ist schonmal klar ( natürlich wiederrum nur, wenn es kein Builder o.ä. ist) dass da etwas sehr faul ist. nun hier würde aber nichts stehen. Öffnen wir die Datei im Hexeditor und suchen nach bestimmten zeichenfolgen ( Kommentare im Quellcode, die noch angezeigt werden etc ) steht da was von z.B. Pass Decrypter oder ReverseConnect oder so ist zu 100% klar, dass die Datei infected ist.

Natürlich war dies nur ein Beispiel wie man an so etwas rangehen kann.

Ausserdem war dies nur auf die Schnelle gemacht und nicht sehr ausführlich, deswegen werde ich nach und nach mehr hinzufügen.

Würde die Admins darum bitten es ins Sticky zu heften damit die Leute Wissen wie sie Tools auf Trojanern testen können.

mfg



0x1337 is offline  
Old   #2
 
elite*gold: 0
Join Date: Apr 2008
Posts: 33
Received Thanks: 1
Sieht man im HexCode eigentl. auch die Login Daten für die FTPs auf die meist geuploaded wird?


d3vL is offline  
Old   #3
 
elite*gold: 0
Join Date: Aug 2007
Posts: 6,010
Received Thanks: 609
Ehhhhhm..ich denke falscher Bereich...hat rein gar nichts mit WoW zu tun
DarkCronicLe is offline  
Old   #4
 
elite*gold: 0
Join Date: Feb 2008
Posts: 3,040
Received Thanks: 1,578
Quote:
Originally Posted by DarkCronicLe View Post
Ehhhhhm..ich denke falscher Bereich...hat rein gar nichts mit WoW zu tun
ja schon jedoch passt das gut ins sticky um trojanern vorzubeugen.

Quote:
Originally Posted by d3vL View Post
Sieht man im HexCode eigentl. auch die Login Daten für die FTPs auf die meist geuploaded wird?
dazu schreibe ich später mehr.

mfg


0x1337 is offline  
Old   #5
 
elite*gold: 0
Join Date: Feb 2008
Posts: 104
Received Thanks: 31
detecten alleine reicht nicht aus, löschen wäre besser


goldroger is offline  
Reply



« Previous Thread | Next Thread »

Similar Threads
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
s>water,trojan 126 or t>for trojan no rb or trojan warrior in BlueBird
2 Replies - Conquer Online 2 Trading
Question about GM detect and player detect script
The GM detect is working? how does it work and the combination of player detect script can i put then it will detect tell me the function also of...
2 Replies - Dekaron
How 2 detect FUD Trojan
Hallo und herzlich Willkommen zu Teil 1 von dem Tutorial, welches ich aufgrund großer Nachfrage, nun erstelle. Was wird benötigt? - PEditor ( ...
10 Replies - Tutorials



All times are GMT +2. The time now is 02:54.


Powered by vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

Support | Contact Us | FAQ | Advertising | Privacy Policy | Abuse
Copyright ©2017 elitepvpers All Rights Reserved.