Trojaner Entpacken?

T

theend

0
Ist es möglich, wenn man ein Trojaner hat, den zu entpacken. Um z.B. an FTP daten zu kommen?

Ich lade mir eine Datei, die 100% mit einem Trojaner Infiziert ist. Der Trojaner ist aber ausschließlich an einem Password interessiert, wenn ich das mal so sagen darf.

Kann ich jetzt schauen wohin er die gesammelten daten Speichert?

Ich hab allerdings noch nicht so große Ahnung, von OllyDbg und so.

Mfg
Theend

PS: Ich benutze Vitual PC um den Trojaner zu enpacken, soll ja schließlich nicht mein PC Infizieren^^

PSS: Complimiert wurde die datei mit microsoft visual c++ 6.0
 
Du schreibst manchmal echt verwirrend...

Wie auch immer, das einfachste dürfte sein, du lässt deine VM vom Trojaner infizieren, startest ihn also. Jetzt wirfst du einen Netzwerksniffer an, und siehst sogleich wohin überall verbindungen hingehen.

Wenn dein Trojaner eine normale FTP Verbindung nutzt, dann kannst sogar das Login-PW sowie den Usernamen ziemlich einfach auslesen (sinffen). Cain & Abel sollten das ziemlich Komfortabel anzeigen.
 
Dankeschön, ich werde das mal versuchen.

Ich habe herausgefunden, das der Trojaner einen KEYLOGGER auf meinem PC installiert.
Jetzt denkst du dir vllt, was bringt IHM das? Die sachen die ich eingebe, werden in eine datei gespeichert, also denk ich, sie werden ihm gesendet.

Keylogger = Ardamax Keylogger

<edit>Bei mir zeigt Cain & Abel überhaupt nichts an, nichtmal wenn ich mit dem Firefox surfe </edit>

<edit2> Jetzt hab ich n Tutorial gefunden^^ </edit2>

<edit3> Habe jetzt herausgefunden, das das Programm die daten per Email verschickt :-( </edit3>
 
Jetzt mal ganz ehrlich.. du solltest dir glaube erstmal die Grundlagen zu solchen Sachen anschauen. Irgendwie kommt mir der ganze Thread hier sehr skiddyhaft vor..
 
Original von M4CH!N3
Jetzt mal ganz ehrlich.. du solltest dir glaube erstmal die Grundlagen zu solchen Sachen anschauen. Irgendwie kommt mir der ganze Thread hier sehr skiddyhaft vor..
Zum Vergrößern anklicken....
Hat was. Aber du weist ja wie es ist. Am Anfang wollen alle die 1337 sein, aber wenn sie auf dem Weg dorthin Grundlagen lernen, ist es nicht schlecht.

Wenn man sich nur auf Tool-Nutzen beschränkt, bringt einen das nicht weiter... Er hat immerhin nicht gefragt, wie man C&A bedient :)
 
Wenn das mit dem Netzwerksniffer nichts wird(Daten verschlüsselt, o.ä.) kannst du dir auch den Trojaner auch mit einem Disassembler anschauen und so sehen, wie dies genau vonstatten geht.
 
theend: IDA, OllyDbg (ImportREC) und Wireshark. Damit geht (fast) alles ;). Wenn du Probleme beim entpacken hast, dann stell die Datei mal on und ich guck sie mir mal an.
 
Naja, wenn man die Exe startet, wird der Keylogger nach

C:\Windows\system32\28463\ (Zahl zufällig)

PXOL.exe extrahiert. Daneben gibts noch PXOL.001 - 007.

Sowie AKV.exe, welche den "Viewer" für die Logs darstellt.

Nicht sehr spektakulär also... :)
 
Genau das selbe hat ich auch herausgefunden, und das er noch in dem Temp Order 2 Daten erstellt.

Aber soweit war ich schon, nur ich möchte wissen, wohin die Daten geschickt werden.

Und 28463 ist keine Zufallszahl, sonst wäre sie bei mir anders^^
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben