![[HaBo]](/styles/default/logoklein.png)
w4rlock
Stammuser
Hallo HaBo Community ,
vor ein paar Tagen rief mich mein Vater an weil er bei der Arbeit eine email von einem angeblichen Inkassobüro bekommen hat , welches vorgab im Auftrag von einem großen Onlineshop für Damenmoden Abmahnungen zu verteilen und forderten auch direkt eine "Strafgebühr" über 450,00€.
Nach kurzem rumfragen in der Familie stellte sich heraus das niemand da jemals irgendwas bestellt hatte.
Mein Vater bat mich daraufhin die email(+Anhänge) mal anzusehen , was ich dann auch tat.
Die erste Auffälligkeit fand sich schon im email header , "xxx@orange.fr"
, schon etwas misstrauisch wandte ich mich dann dem Text zu , welcher zumindest sprachlich und grammatikalisch korrekt war.
Allerdings musste ich dann bei den angeblichen Rechnungsunterlagen doch schon ein wenig schmunzeln , eine 104kB große MS-DOS.exe mit Namen
"(Hans Müller) (Onlineshop) GmbH AG Rechnung"
(Namen ersetzt)
Eigentlich wollte ich die mail direkt löschen , aber da ich gerade anfange mir ein bisschen übers Reverse Engineering anzulesen , dachte ich mir wäre es ja vielleicht mal nett ein bisschen an einem "live" Beispiel zu üben.
Also hab ich mir die .exe auf meine VirtualBox gezogen und mal versucht ein bisschen was rauszubekommen , vorweg sei gesagt ich kann zwar ein wenig mit C++ programmieren und kenne grundlegende Assembler Befehle , aber da hörts dann schon auf , wie gesagt , es ist eigentlich ehr die Neugier herauszufinden was es machen würde und wie es funktioniert.
Ich habe mir daraufhin die Datei mal mit IDA angeschaut und das sieht dann so aus , nun eigentlich meine Frage , warum sehe ich so wenig ?
malware - Imgur
Ich habe schon versucht die Datei mit dem PE Explorer zu entpacken , aber der sagt mir nur das die Datei weder mit UPX noch mit den anderen beiden Packern (Name gerade entfallen
) gepackt ist.
Müsste man nicht weitaus mehr Funktionen sehen , und vor allem mehr Code ?
Und was bedeutet der graue/schwarze Balken oben ?
Im blauen Teil kann ich ja wunderbar den Code runterscrollen , und da auch IDA mir sagt das die Datei gepackt ist vermute ich mal ganz stark das die farbliche Veränderung mir sagen soll das IDA den Code nicht übersetzen konnte ?
Die eigentliche Frage lautet also , wie kann ich am schnellsten an verwertbare Ergebnisse kommen ?
edit : Hier mal der VT Link
edit2 :
Ich habe mir Lena's RE Tutorials schon einmal kurz angeschaut , allerdings arbeite ich mich gerademal durch die absoluten Basics durch , dh ich werde noch ne Weile brauchen bis ich zu sowas wie Unpacking komme , aber vielleicht hat ja hier jemand einen guten Ratschlag
edit3 : Falls ihr die Screens in groß haben wollt kann ich sie gerne nochmal hochladen.
gruß
w4rlock
vor ein paar Tagen rief mich mein Vater an weil er bei der Arbeit eine email von einem angeblichen Inkassobüro bekommen hat , welches vorgab im Auftrag von einem großen Onlineshop für Damenmoden Abmahnungen zu verteilen und forderten auch direkt eine "Strafgebühr" über 450,00€.
Nach kurzem rumfragen in der Familie stellte sich heraus das niemand da jemals irgendwas bestellt hatte.
Mein Vater bat mich daraufhin die email(+Anhänge) mal anzusehen , was ich dann auch tat.
Die erste Auffälligkeit fand sich schon im email header , "xxx@orange.fr"
, schon etwas misstrauisch wandte ich mich dann dem Text zu , welcher zumindest sprachlich und grammatikalisch korrekt war.
Allerdings musste ich dann bei den angeblichen Rechnungsunterlagen doch schon ein wenig schmunzeln , eine 104kB große MS-DOS.exe mit Namen
"(Hans Müller) (Onlineshop) GmbH AG Rechnung"
(Namen ersetzt)
Eigentlich wollte ich die mail direkt löschen , aber da ich gerade anfange mir ein bisschen übers Reverse Engineering anzulesen , dachte ich mir wäre es ja vielleicht mal nett ein bisschen an einem "live" Beispiel zu üben.
Also hab ich mir die .exe auf meine VirtualBox gezogen und mal versucht ein bisschen was rauszubekommen , vorweg sei gesagt ich kann zwar ein wenig mit C++ programmieren und kenne grundlegende Assembler Befehle , aber da hörts dann schon auf , wie gesagt , es ist eigentlich ehr die Neugier herauszufinden was es machen würde und wie es funktioniert.
Ich habe mir daraufhin die Datei mal mit IDA angeschaut und das sieht dann so aus , nun eigentlich meine Frage , warum sehe ich so wenig ?
malware - Imgur
Ich habe schon versucht die Datei mit dem PE Explorer zu entpacken , aber der sagt mir nur das die Datei weder mit UPX noch mit den anderen beiden Packern (Name gerade entfallen
) gepackt ist. Müsste man nicht weitaus mehr Funktionen sehen , und vor allem mehr Code ?
Und was bedeutet der graue/schwarze Balken oben ?
Im blauen Teil kann ich ja wunderbar den Code runterscrollen , und da auch IDA mir sagt das die Datei gepackt ist vermute ich mal ganz stark das die farbliche Veränderung mir sagen soll das IDA den Code nicht übersetzen konnte ?
Die eigentliche Frage lautet also , wie kann ich am schnellsten an verwertbare Ergebnisse kommen ?
edit : Hier mal der VT Link
edit2 :
Ich habe mir Lena's RE Tutorials schon einmal kurz angeschaut , allerdings arbeite ich mich gerademal durch die absoluten Basics durch , dh ich werde noch ne Weile brauchen bis ich zu sowas wie Unpacking komme , aber vielleicht hat ja hier jemand einen guten Ratschlag
edit3 : Falls ihr die Screens in groß haben wollt kann ich sie gerne nochmal hochladen.
gruß
w4rlock
