Programm decompilen

Hey,

ein Kumpel hat das Problem, dass sich der Task-Manager beim öffnen direkt immer wieder schließt.

Schon haufenweiße Scanner durchlaufen lassen, Autostart und Prozesse mit anderem Programm überprüft, nichts zu sehen.

Er hatte mal folgendes Programm genutzt: www.dezor.de/coke/kbcontent/install.exe

Laut PID's werden da auch noch 4 weitere Seiten durch die .exe geöffnet, also glaube noch nicht bei der install.exe erst bei dem Programm selber denk ich.

Ist jemand dazu fähig, dass Programm zu decompilen um sich den Sourcecode anzuschauen um zu sehen, ob sich da drinnen was schädliches verbirgt?

Wäre nicht nur wegen dem Problem mit dem Task-Manager wichtig, sondern um allgemein zu beweisen, dass an dem Programm was faul ist
 
xyz123 hat gesagt.:
Ist jemand dazu fähig, dass Programm zu decompilen
Der Source wird doch mitgeliefert :confused:
Im OllyDbg öffnen (1.10 reicht aus):
sofern Olly darauf eingestellt ist, beim EntryPoint zu stoppen, sieht man als erses eine "PUSH foo" Anweisung -> d.h es wurde irgendein Packer (die Benennung der Sections gibt da eigentich schon einen dezenten Hinweis ;) ) benutzt -> einfach paar Seiten durchscrollen, bis ein "JMP 40XX_Adresse_hab_ich_mir_nicht_gemerkt" kommt (danach gibt es eh' keinen sinnvollen Code - die Stelle ist also schon auffällig)).
Das ist quasi Standardstub/Block bei Packern - Entpackcode und und der Sprung zu der Originalstartadresse.

Nun sollte der Speicherinhalt entpackt vorliegen -> man wird also auch die beigelegten Scripte im Klartext finden können -> Alt+M um sich Memory Map anzuschauen.
Hier kann man mittels "Rechslick->Search" oder Ctrl+B eine Suche anstoßen -> einfach nach etwas auffälligem wie "COMPILER" suchen.

Die Trefferadresse sich merken und in der Memory Map Ansicht per Rechtsklick->"Dump memory region" die entsprechende Region auf der Platte speichern. Nun mittels Hexeditor "zurechtschnipseln" (also binärkram vor/nach dem Code entfernen oder einfach den Code markieren und ausschneiden).
Code:
[color=#666666]<[/color]COMPILER[color=#666666]:[/color] v1[color=#666666].[/color][color=#666666]1.13[/color][color=#666666].[/color][color=#666666]01[/color][color=#666666]>[/color]
[color=#008000]#NoEnv[/color]
if([color=#666666]![/color][color=#19177C]A_IsAdmin[/color]){
[color=#008000]Run[/color] [color=#666666]*[/color]RunAs [color=#BA2121]"%A_ScriptFullPath%"[/color],, UseErrorLevel
if([color=#19177C]ErrorLevel[/color]){
[color=#008000]MsgBox[/color], [color=#666666]53[/color],Berechtigungsfehler, Du musst das Setup als Administrator starten[color=#666666]![/color]
[color=#008000]IfMsgBox[/color], Retry
[color=#008000]Reload[/color]
[color=#008000]else[/color]
[color=#008000]ExitApp[/color]
}
[color=#008000]return[/color]
}
[color=#008000]ToolTip[/color], Erstelle Verzeichnis
[color=#008000]TrayTip[/color], ,Erstelle Verzeichnis
[color=#008000]FileCreateDir[/color], [color=#19177C]%A_ScriptDir%[/color]\#Keybinder
[color=#008000]FileCreateDir[/color], [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern
[color=#008000]sleep[/color] [color=#666666]1000[/color]
[color=#008000]FileCreateDir[/color], [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\sounds
[color=#008000]ToolTip[/color], Lade Dateien herunter
[color=#008000]TrayTip[/color],, Lade Dateien herunter
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]afnk2[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\afnk2[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], https[color=#666666]://[/color]github[color=#666666].[/color]com[color=#666666]/[/color]Slider1338[color=#666666]/[/color]GTA[color=#666666]-[/color]API[color=#666666]/[/color]blob[color=#666666]/[/color]master[color=#666666]/[/color]includes[color=#666666]/[/color]API[color=#666666].[/color]dll[color=#666666]?[/color]raw[color=#666666]=[/color][color=#19177C]true[/color], [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\api[color=#666666].[/color]dll
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]army_stpic_alternative[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\army_stpic_alternative[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]army_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\army_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]ballas_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\ballas_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]ballas_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\ballas_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], https[color=#666666]://[/color]github[color=#666666].[/color]com[color=#666666]/[/color]agrippa1994[color=#666666]/[/color]DX9[color=#666666]-[/color]Overlay[color=#666666]-[/color]API[color=#666666]/[/color]blob[color=#666666]/[/color]master[color=#666666]/[/color]bin[color=#666666]/[/color]dx9_overlay[color=#666666].[/color]dll[color=#666666]?[/color]raw[color=#666666]=[/color][color=#19177C]true[/color], [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\dx9_overlay[color=#666666].[/color]dll
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]blacklist[color=#666666].[/color]txt, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\blacklist[color=#666666].[/color]txt
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]check20[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\check20[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]edit[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\edit[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]fbi_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\fbi_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]fbi_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\fbi_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]grove_stpic_alternative[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\grove_stpic_alternative[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]grove_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\grove_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]hitman_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\hitman_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]hitman_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\hitman_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]kill[color=#666666].[/color]txt, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\kill[color=#666666].[/color]txt
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]msvcp120[color=#666666].[/color]dll, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\msvcp120[color=#666666].[/color]dll
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]log_logo[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\log_logo[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]news_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\news_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]news_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\news_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]rand1[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\rand1[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]rand2[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\rand2[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]russen_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\russen_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]russen_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\russen_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]saap_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\saap_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]saap_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\saap_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]sani_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\sani_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]sani_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\sani_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]sapd_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\sapd_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]sapd_stpic_alternative[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\sapd_stpic_alternative[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]sapd_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\sapd_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]terror_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\terror_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]terror_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\terror_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]ticker[color=#666666].[/color]txt, [color=#19177C]%A_ScriptDir%[/color]\#keybinder\intern\ticker[color=#666666].[/color]txt
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]triaden_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\triaden_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]triaden_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\triaden_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]trucker_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\trucker_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]trucker_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\trucker_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]yaku_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\yaku_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]yaku_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\yaku_stxt[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]zivi_stpic[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\zivi_stpic[color=#666666].[/color]png
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]zivi_stxt[color=#666666].[/color]png, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern\zivi_stxt[color=#666666].[/color]png
[color=#008000]Urldownloadtofile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]settings[color=#666666].[/color]ini, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\settings[color=#666666].[/color]ini
[color=#008000]UrlDownloadToFile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]intern[color=#666666]/[/color]msvcp120[color=#666666].[/color]dll, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\msvcp120[color=#666666].[/color]dll
[color=#008000]Urldownloadtofile[/color], http[color=#666666]://[/color]www[color=#666666].[/color]dezor[color=#666666].[/color]de[color=#666666]/[/color]coke[color=#666666]/[/color]kbcontent[color=#666666]/[/color]binder[color=#666666].[/color]exe, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\binder[color=#666666].[/color]exe
[color=#008000]ToolTip[/color], Stelle Installation fertig[color=#666666]..[/color]
[color=#008000]TrayTip[/color],, Stelle Installation fertig[color=#666666]..[/color]
[color=#008000]FileSetAttrib[/color], [color=#666666]+[/color]H, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\del[color=#666666].[/color]bat
[color=#008000]FileSetAttrib[/color], [color=#666666]+[/color]H, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\msvcp120[color=#666666].[/color]dll
[color=#008000]FileSetAttrib[/color], [color=#666666]+[/color]H, [color=#19177C]%A_ScriptDir%[/color]\#Keybinder\intern
[color=#008000]ToolTip[/color],
[color=#008000]MsgBox[/color], [color=#666666]4[/color], Installationssetup, Das Verzeichnis wurde erstellt und die Dateien wurden heruntergeladen[color=#666666].[/color][color=#BB6622][b]`n[/b][/color]Zur Problemlosen Nutzung wird empfohlen 'Visual C[color=#666666]++[/color] Redistributable Packages fuer Visual Studio [color=#666666]2013[/color]' zu installieren[color=#666666].[/color][color=#BB6622][b]`n[/b][/color]Moechtest du zur Downloadseite weitergeleitet werden[color=#666666]?[/color]
[color=#008000]IfMsgBox[/color] Yes
[color=#008000]Run[/color], http[color=#666666]://[/color]www[color=#666666].[/color]microsoft[color=#666666].[/color]com[color=#666666]/[/color]de[color=#666666]-[/color]de[color=#666666]/[/color]download[color=#666666]/[/color]details[color=#666666].[/color]aspx[color=#666666]?[/color]id[color=#666666]=[/color][color=#666666]40784[/color]
[color=#008000]IfMsgBox[/color], No
[color=#008000]MsgBox[/color],, Installationssetup, Alles klar, sollte beim Erststart die Meldung 'Die Api[color=#666666].[/color]dll konnte nicht gefunden werden' erscheinen liegt das vermutlich daran,[color=#BB6622][b]`n[/b][/color]das Sie eine veraltete Laufzeitkomponente installiert haben[color=#666666].[/color][color=#BB6622][b]`n[/b][/color]Ein aktuellen Link finden Sie im Thread des Keybinders[color=#666666].[/color]
[color=#008000]MsgBox[/color],, Installation abgeschlossen, Viel Spass mit dem Keybinder [color=#666666]![/color]
BatchFile[color=#666666]=[/color]
(
Ping 127.0.0.1
Del "%A_ScriptName%"
attrib +h %A_ScriptDir%\#Keybinder\intern
attrib +h %A_ScriptDir%\#Keybinder\msvcp120.dll
attrib +h %A_ScriptDir%\#Keybinder\del.bat
start %A_ScriptDir%\#Keybinder
)
[color=#008000]FileDelete[/color], #keybinder\del[color=#666666].[/color]bat
[color=#008000]FileAppend[/color],[color=#19177C]%BatchFile%[/color],#keybinder\del[color=#666666].[/color]bat
[color=#008000]Run[/color], #keybinder\del[color=#666666].[/color]bat,,hide
[color=#008000]Exitapp[/color]
um sich den Sourcecode anzuschauen um zu sehen, ob sich da drinnen was schädliches verbirgt?
das ist "mal eben" ein 242K-Batzen an Quellcode - ob sich da jemand findet? ;)
Alleine die ganzen Downloads:
Code:
CDW@highlander-jr:/tmp % grepi download  binder.txt
Run, http://www.microsoft.com/de-de/download/details.aspx?id=40784
urlDownloadToFile, %a%, %A_Temp%/response.tmp
Urldownloadtofile,http://www.dezor.de/coke/kbcontent/binder.exe, %A_ScriptName%.new
URLDownloadToFile, https://www.dropbox.com/s/i7jqrtdghv8xh2m/Ticker.txt?dl=1, intern\ticker.txt
ip := UrlDownloadToVar("http://dezor.de/showmyip.php")
URLDownloadToVar(url){
DownloadFile(UrlToFile, SaveFileAs, Overwrite := True, UseProgressBar := True) {
UrlDownloadToFile, %UrlToFile%, %SaveFileAs%
Code:
CDW@highlander-jr:/tmp % grepi www  binder.txt
Run, http://www.microsoft.com/de-de/download/details.aspx?id=40784
Urldownloadtofile,http://www.dezor.de/coke/kbcontent/binder.exe, %A_ScriptName%.new
URLDownloadToFile, https://www.dropbox.com/s/i7jqrtdghv8xh2m/Ticker.txt?dl=1, intern\ticker.txt
run http://www.z0r.de/63
tunein("http://www.myinstants.com/media/sounds/alles-wird-aus-hack-gemacht-mastered-version-mp3cut.mp3")
tunein("http://www.ringelkater.de/Sounds/2geraeusche_gegenst/cuckoo2.wav")
file=http://www.myinstants.com/media/sounds/turn-it-down-for-what.mp3
file=http://www.myinstants.com/media/sounds/turn-down-for-what.mp3
file=http://www.myinstants.com/media/sounds/barbra.mp3
file=http://www.myinstants.com/media/sounds/what_is_lovee.mp3
file=http://www.myinstants.com/media/sounds/surprise-motherfucker.mp3
file=http://www.myinstants.com/media/sounds/fuck-you.mp3
file=http://www.myinstants.com/media/sounds/dramatic-end.mp3
file=http://www.myinstants.com/media/sounds/5faec464991121610050914668544_29f1edf93b9.mp3
file=http://www.myinstants.com/media/sounds/smokepussyeveryday.mp3
file=http://www.myinstants.com/media/sounds/fhritp_2.mp3
file=http://www.myinstants.com/media/sounds/hahahahihihihehehe.mp3
file=http://www.myinstants.com/media/sounds/ballsofsteel.swf.mp3
file=http://www.myinstants.com/media/sounds/snoop-dogg-smoke-weed-everyday.mp3
file=http://www.myinstants.com/media/sounds/01-oh-yeah.mp3
file=http://www.myinstants.com/media/sounds/cantouchthis.mp3
file=http://www.myinstants.com/media/sounds/wiggle_1.mp3
file=http://www.myinstants.com/media/sounds/inceptionbutton.mp3
file=http://www.myinstants.com/media/sounds/untitled1_1.mp3
file=http://www.myinstants.com/media/sounds/gg.mp3
file=http://www.myinstants.com/media/sounds/youtube-poop-gary-nigga-nigga-nigga-mp3cut.mp3
file=http://www.myinstants.com/media/sounds/ylvis-the-fox-cut-mp3.mp3
file=http://www.myinstants.com/media/sounds/air-horn-club-sample_1.mp3
file=http://www.myinstants.com/media/sounds/george-micael-wham-careless-whisper-1.mp3
file=http://www.myinstants.com/media/sounds/flash.mp3
file=http://www.myinstants.com/media/sounds/ylvis-the-fox-cut-mp3.mp3
file=http://www.myinstants.com/media/sounds/dropbass.mp3
file=http://www.myinstants.com/media/sounds/d-d-d-d-drop-the-bass.mp3
file=http://www.myinstants.com/media/sounds/illuminati_1.mp3
file=http://www.myinstants.com/media/sounds/oh-shit_3.mp3
file=http://www.myinstants.com/media/sounds/yo-skrill-olha-o-macaco.mp3
Jeder Download kann irgendetwas herunterladen und ausführen - daher:
viel Erfolg bei der Suche nach einem "Freiwilligen" bzw. viel Spass beim Analysieren und Neuaufsetzen ;) (und ggf. sich das nächste mal vorher überlegen, ob man unbedingt Software aus dubiosen Quellen auf seinem Produktivrechner ausführt - oder nicht doch lieber für solche Experimente eine Virtualmachine (VirtualBox, VirtualPC, VmWare usw. VirtualBox ) nimmt ;) )

PS: zumindest bei der Ausführung in der VM (VirtualBox mit XP) gab es nichts Auffälliges (der Taskmanager lief ungestört) - was natürlich nichts heißen muss (Anti-VM Abfragen gibt es schon seit Ewigkeiten). Aber vielleicht sollte man auch andere Malwarequellen/Infektionsmöglichkeiten in Betracht ziehen?
 
Danke,

wo sind da 242K Zeilen Code ^^

Beim Installer scheinen es ja nur Bilder zu sein und der Keybinder.

Beim Downloader ebenfalls nur die .exe, eine .txt-Datei welche ich mir schon angeschaut habe die nur Texte ausgibt und ein Script um die IP auszulesen.

www, scheinen nur Sounds zu sein.


Im "binder" müsste also wenn wirklich was drann sein sollte, zu finden sein, richtig?

Würde man an eine .exe einen Virus hängen, würde man diesen dann überhaupt im Source finden?

Bzw. wie kann man rausfinden, ob an eine .exe ein Trojaner angehangen wurde?
 
PS: zumindest bei der Ausführung in der VM (VirtualBox mit XP) gab es nichts Auffälliges (der Taskmanager lief ungestört) - was natürlich nichts heißen muss (Anti-VM Abfragen gibt es schon seit Ewigkeiten). Aber vielleicht sollte man auch andere Malwarequellen/Infektionsmöglichkeiten in Betracht ziehen?

Avast hat gleich bei der Datei angeschlagen :wink:
 
wo sind da 242K Zeilen Code ^^
Da fehlt tatsächlich ein B nach dem K - von Zeilen war nicht die Rede (242KB und "nur" ~7800 Zeilen quasi unformattierten Code sind aber auch schon happig ;) )

Beim Downloader ebenfalls nur die .exe, eine .txt-Datei welche ich mir schon angeschaut habe die nur Texte ausgibt und ein Script um die IP auszulesen.
Ein wenig allgemeines Blabla:
Dateinamen (und Endungen) sind Schall und Rauch. Solange das Dateiformat stimmt, wird man mittels Systemschnittstellen aka WinAPIs (CreateProcess function (Windows)) auch eine huebsche_maedels_leicht_bekleidet.jpeg heino_top_10.mp3 ausführen können oder mittels LoadLibrary als DLL laden ;)

Ebenso ist es weder neu noch kompliziert umzusetzen, dass der Inhalt eines Downloads von IP oder dem User-Agent abhängt (es war noch vor einigen Jahren "Mode" bei Scareware-Webseiten - schaute man mit Googles IP oder wget/curl vorbei, "bekam" man eine
harmlose Seite zu sehen, mit FF/IE aber eine hübsche Animation, wie der Computer "gescannt" und auf dem Laufwerk C: ganz schlimme Sachen gefunden wurden - die man natürlich mit dem Downloads eines "utlimativen Säuberungstools" wegbekam :rolleyes: )
</blabla>
Kommt hier stark auf die Möglichkeiten der Scriptsrache an (hier: Autohotkey - ja, ist möglich, allerdings kommt CreateProcess Aufruf hier nicht vor, dafür gibt es Code, der einen Prozess suchen, diesen mittels "OpenProcess" öffnen und den Speicher lesen ("ReadProcessMemory") bzw. beschreiben ("WriteProcessMemory") kann sowie einen remote-Thread" ("CreateRemoteThread") starten und damit z.B eine DLL in den Processraum laden)
Abgesehen davon, wurden Scripte heruntergeladen und ausgeführt, die jetzt nicht (mehr) verfübgar sind - z.B. testweise versucht "http://www.z0r.de/63" herunterzuladen - scheint nicht mehr verfügbar zu sein).

Wobei ich ehrlich gesagt immer noch skeptisch bin, dass dieses Script "die Wurzel des Übels" sein soll - denn halbwegs gutes Verstecken des Schadcodes kollidiert irgendwie mit dem auffälligen Verhalten - wie dem sofortigen Beenden des Taskmanagers.
I.d.R kann ein unbedarfter Anwender sowieso nichts mit den Prozessnamen/Pfaden anfangen - und sofern der "Hax0r" bzw. Botnetbetreiber nicht zu gierig ist und CPU/IO-Last nicht zu hoch ansteigen lässt, sollte der Taskmanager nicht wirklich etwas auffälliges anzeigen - hier wäre eher ein AV-Programm "der Feind Nr 1".
Zudem,wenn man wie hier, sowieso schon die Möglichkeit hat, seine DLL in anderen Anwendungen unterzubringen - dann läuft der Schadcode im Kontext einer gestarteten Anwendung und ein Kill ist einfach nur kontraproduktiv.

Im "binder" müsste also wenn wirklich was drann sein sollte, zu finden sein, richtig?
Jein - wie gesagt, hier werden DLLs in den Speicher der anderen Anwendungen geladen (ich nehme an, GTA), es wäre also ebenso problemlos möglich (wenn überhaupt), die Schadcomponente auszulagern (DLL, Script). Ist irgendwie unauffälliger ;)

Würde man an eine .exe einen Virus hängen, würde man diesen dann überhaupt im Source finden?
Die Binder.exe sollte nur der Autohotkey-Interpreter sein (um wirklich sicher zu sein, müsste man die Exe ungepackt und ohne Script mit dem Original vergleichen oder per Hand auseinanderbröseln), an den das eigentliche Script angehängt wurde.
Daher überhaupt die "decompilierung" möglich - einfach den Source extrahieren.
Sonst wird man mit damit nur wenig Erfolg haben, da bei der "richtigen" Compilierung in Machinencode i.d.R viele Informationen verloren gehen (kommt stark auf die Sprache, Compiler sowie Compileroptionen/optimierungen an - aber wenn es sich nicht um eine Debugversion handelt, gibt es keine Bezeichner, von Kommentaren ganz zu schweigen, der Code könnte stark umstrukturiert sein (Inlining), teilweise zur Compilierzeit berechnete Werte, Division durch inverse Multiplikation ersetzt usw.).
D.h Source => nur wenn Malware als Script umgesetzt wurde UND an dieser Exe hängt. Sonst: eher nein, wobei Decompiler wie Hex-rays aber trotzdem hilfreich bei der Analyse wären ;)

Bzw. wie kann man rausfinden, ob an eine .exe ein Trojaner angehangen wurde?
Außeinanderbröseln im Debugger. Analysieren. Bedenken, dass es schon seit Ewigkeit Anit-VM Abfragen gibt - also am besten auf einem realen Rechner ausführen, von dem man vorher ein Image erstellt hat (bzw. eine Liste aller Dateien mit Prüfusummen) und nach der Ausführung sich die veränderten Dateien sowie Registrieeinträge ausgeben lassen kann.
Verhaltensanalyse - dabei aber im Kopf behalten dass nur Kiddies sich an "Fernsteuerung" des Opferrechners ergötzen ;) - i.d.R sind in erster Linie Daten wie Logins/Bankdaten interessant, danach kommt die Möglichkeit, den Rechner an ein Botnet "anzuschließen" sowie die "praktische Anwendung" (Spam versenden, ddosen, Coins minen, als SOCKS5 Proxy für 5 Euro im Monat an Carder vermieten usw.).
D.h es wird zuerst versucht, Daten abzugreifen und zu versenden, dann ggf. die Botnetkomponenten nachzuladen - und es spricht dabei absolut nichts dagegen, nicht gleich nach der Infektion loszulegen, sondern ein paar Stündchen abzuwarten und (bei "highquality-Malware") auch noch an Systemlast/Aktivität zu koppeln.

Wenn etwas Verdächtiges passiert => "böse". Wenn nichts passiert => Möglichkerweise immer noch böse ;)
Das Problem ist, dass man ziemlich viel Aufwand betreiben muss, um sagen zu können, dass eine Anwendung (jenseits von HelloWorld) wohl eher nicht infiziert ist. Sogar wenn man den Source hat ;). Der Tipp (eher die Grundregel) mit dem Neuaufsetzen bei Malwareverdacht ist nicht ganz grundlos und hat nichts mit mangelnder "professionalität" oder Qualifikation zu tun ;)
 
Zuletzt bearbeitet:
Zurück
Oben