[HaBo]

b4ck

Hi Leute,
ich suche einen Virus (kein trojaner kein wurm etc. sondern nen virus) den ich für eine Präsentation verwenden kann.

Wenn möglich in batch, oder c++ geschrieben die verhaltensweise ist im prinzip egal da ich ihn in einer VMWare vorführen werde. Der Sourcecode sollte nicht zu lang sein da ich nur 15min für die Präsentation habe und auch teilweise darauf eingehen möchte.

Namen würden mir schon genügen da ich nicht weis ob das verlinken zu soetwas hier im board erwünscht ist.


bg

b4ck

lightsaver

Also mir kommt da direkt mal loveletter in den Kopf. Informationen dazu findest du z.B. bei Wikipedia.
Wenn du den Quelltext zum Erklären noch auf die wichtigen Teile beschneidest, solltest du das auch vorstellen können in der Zeitvorgabe.

CDW

http://www.totallygeek.com/vscdb/ind...p;p=0&vi=0
such Dir einen aus.
sonst siehe Anhang - PE.txt ist mit Quellcode.
(die Artikeln sind zwar "sehr alt" - aber immer noch aktuell (im Sinne: wenn eine neue Malware rauskommt, die die Techniken wie polymorphism einsetzt, haben alle AVs trotz der High-End-Ultra-Intelligenter Heuristik große Erkennunsprobleme ))
http://www.heise.de/newsticker/Schle.../meldung/72459

zu Batch: da fällt mir der berühmte Munga Bunga Harddiskkiller ein:
http://www.rohitab.com/discuss/lofiv...php/t8431.html

Angehängte Dateien

snakebyte.zip (93,2 KB, 48x aufgerufen)

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

3lan

loveletter ist ein wurm

ByteSurfer

Mmmh...
schreib ebend selber ein kleines script, welches dir alle *.txt Dateien unter eigene dateien löscht umbenennt in 1_Virus.text bis x_Virus.txt,oder so ähnlich.
Um den Scanner zu deaktivieren sowie dir Firewall killst du vorweg den Task...
am einfachsten bei der Windows Firewall sowie Avira zu lösen...
Sollte für eine Demonstration langen...
Könntest dann noch ein paar werte in die registrie einschreiben (was ein programm aufruft), wo dann bei jedem Start ein Fenster Message Box, oder was auch immer aufgeht und dem Benutzer irgendwas mitteilt.
Am einfachsten und wohl mit dem meistem Source im Netz zu realiseieren
--> Visual Basic

90nop

Avira schützt sich seit ca. 1 Jahr gegen das killen des Taskes, auch wenn der User Adminrechte hat. Ein Virus muss laut definition noch mehr können als ein "Sysfu**er" -z.B. sich selber Verbreiten.

Extinction

tja, 90nop, dahin die Zeiten, wo man Viren noch so klein halten musste, damit selbst ein modem Nutzer nicht merk, dass er ihn runterläd. Assembler? Nee... Heute Visual Basic, morgen der 3D Games Creator. ^^

Back2Topic:
Wer sagt eigentlich, dass er Avira in der VM installiert. Das währe ziemlich zweckentfremdet. O.o

xrayn

Ist ja schoen und gut, wenn Avira das killen des Task verhindert, bringt nur leider nichts, wenn man einfach einen Treiber laden kann, der die Hooks wieder aufhebt. Danach ist es kein Problem den Task zu killen und da heute Malware durchaus im Kernel operiert (hab letztens eine analysiert, die ziemlich tricky war und eben genau das oben beschriebene gemacht hat), bietet Avira keinen wirklichen Schutz.

@Extinction: Normalerweise wird Malware nicht in VB geschrieben, alles was du in der Richtung findest ist Kiddiezeugs.

90nop

Das jede AV ausgehebelt werden kann betreitet hier keiner, es geht mir nur darum, dass man es nicht mehr so ganz dämlich machen kann - das war schon peinlich von Avira...

So konnte man den eigentlichen Schadcode crypten (jedesmal pw dynamisch generieren, um immer anders aussehende verschlüsselte Daten zu erhalten = anderer Hashwert) und diese erst entpacken wenn der Antivir prozess abgeschossen wurde.

Von dem ist jede menge im Umlauf... leider. Die wirklich "guten" oldschool Viren sind eher in Assembler/C geschrieben - weil man dort am längsten Hebel sitzt.

ByteSurfer

@90nop:
1. Es dient lediglich einer Präsentation, und nicht einer neuen Generation von MalWare, Viren etc.
2. Ich glaube für eine 15 min. Präsentation programmiert man nicht mehrere Stunden um was addequates zu erhalten !?
3. Er fragte nach möglichkeiten Source etc... und ob VB gut schlecht oder ScriptKiddy kram ist, ist mir letztendlich wurscht. Letztendlich gibt es dafür den meisten Source, wonach er auch gefragt hat.
4. Wenn ich mir eine Präsentation für so etwas vorbereite dann ist man auch selber "Master of Disaster" und kann sein System selbst so installieren und vorbereiten wie man es brauch...
5.Finde deine Aussagen hier ein bißchen darüber hinaus geschossen...

Hier für alle...
Virus Definition

90nop

das sind eben eher die "alten" "echten"

Klar ist das Thema in 15min nicht mal anzukrazen, aber vielleicht sollte man dann halt auch allgemein von "Malware" reden - ich weis, tönt etwas pingelig, aber ein Virus ist nunmal recht komplex.

Das stimmt natürlich, besonders kann man den Source von "echten" eh nicht so schnell verstehen/erklähren.

Das kann passieren

Wie dem auch sei, viel Erfolg bei der Präsentation @ Themenstarter

ByteSurfer

@90nop:
Bin ich voll Deiner Meinung!

Man sollte die Vorgehensweise bzw. Verbreitungsmöglichkeiten etc. veranschaulichen. Auch alte und neue Varianten erklären.
Denn wie du auch schon sagtes, der "shit von gestern" ist auch nicht so aktuell...
Pingelig ist das nicht, sogar total richtig!
Denke manche werden dann sowieso im Unterricht sitzen und in sich keren ?
Man ist der gut!
oder
will ich auch können!

Naja ihr wisst selber wie das ist...

kann ich mich nur beipflichten, und wenn du fragen hast denke ich bekommst du hier genug feedback...

xrayn

Dann check mal was "rustock" tut, die Malware verknuepft alte Technologien mit neuen und was ist passiert? Das Ding war ewig UD

ByteSurfer

Cooles Ding


interessant zu lesen
der link

AndyPipkin

Hi,

hab den beitrag nur kurz überflogen, aber mir würde auf anhieb der EICAR testvirus (http://www.eicar.org/ ) einfallen.
das ist kein echter virus sondern nur eine zeichenfolge die von jedem virenscanner erkannt werden sollte.
keine ahnung was du demonstrieren willst, aber auf diesen ""virus" sollte jeder scanner anschlagen.

gruss A.P.