Trojaner-exe Disassemblieren? Wie ???

[powerpixel]

Hallo,

habe hier zwei Trojaner bei mir entdeckt mit Namen MicrosoftOffixe.exe und system32.exe.
Habe die .exe Endungen in .txt umgewandelt und versucht, mit dem Editor etwas zu erkennen. Klar dass ich den Code nicht lesen kann. Konnte jedoch in verschlüsselter Form eine e-mail Adresse erkennen. Jedoch codiert und nicht lesbar.
Meine Frage: Kann ich die .exe Datei umwandeln in lesbare Dateninformationen?
Und wenn ja, WIE?
Möchte doch zu gerne wissen, an wen meine Daten gesendet wurden. War wohl ein Keylogger, der Daten an eine externe e-mail Adresse sendet.

Wenn jemand eine Idee hat, bitte melden !
Thanks..

 

[Xalon]

Aus ner .exe mit nem Editor ne mailadresse rauslesen?
Naja versuchs mal mit IDA


Xalon

 

[Blacki]

wenn die mailaddresse codiert war, woher weisst du dann das es eine ist?!?
@gibt es ja auch in den Programmcodes genug!

 

[ghostdog]

Wieso sollte in einem Trojaner ne Emailadresse drinstecken? Ich dachte sowas läuft über TCP und nicht über mailto ^^

 

[MaSCi]

Original von ghostdog
Wieso sollte in einem Trojaner ne Emailadresse drinstecken? Ich dachte sowas läuft über TCP und nicht über mailto ^^

Ich glaub das hat was mit der Mail Notify zu tun wenn diese beim erstellen des servers benutzt wurde.

 

[heinzelJacKy]

wenn du n bisschen ahnung von assembler hast, kannst dus mal mit ida (interactive disassembler) versuchen, evtl auch mit softice debuggen oder mit olly...allerdings solltest du wissen, was du tust, und wenn du keine ahnung davon hast, sind deine erfolgschancen eher gering..
aber wenn es ein logger ist, der schon bekannt ist, kannst du ja mal versuchen, anhand der (evtl erkannten) antiviren-signatur was bei google rauszubekommen wie der funktioniert.. es muss ja nicht mal zwangsläufig sein, dass der logger die daten direkt ins net uploadet, sondern er kann sie ja auch (zunächst) lokal speichern

 

[CorTex]

Original von powerpixel
Meine Frage: Kann ich die .exe Datei umwandeln in lesbare Dateninformationen?
Und wenn ja, WIE?
Möchte doch zu gerne wissen, an wen meine Daten gesendet wurden. War wohl ein Keylogger, der Daten an eine externe e-mail Adresse sendet.

Wenn jemand eine Idee hat, bitte melden !
Thanks..

Möglicherweise bietet dir die Norman Sandbox mehr Informationen darüber was das file macht. Du kannst die Datei hochladen und erhältst dann einen Bericht per Mail.

Link: http://sandbox.norman.no/live_4.html

Greez CorTex

 

[cr]

Ein Sniffer wie Ethereal oder Tcpdump müsste dir alles anzeigen können was der Trojaner sendet.

 

[t3rr0r.bYt3]

lustige sachen schreiben hier manche

PeiD oder das "analyse"-programm deiner wahl sagt dir, mit was es gepackt wurde bzw mit welcher software gecodet. ausgehen davon kannste nun enscheiden, was du machst.
disassemblen: wdasm. debuggen: olly/softice. für VB: smartcheck.

ansonsten disassembled man einen trojaner wie jedes andere prog/crackme/wasauchimmer.
google + die crackme-sction sind dein freund

 

[nop]

Nach dem was ich vom OP gelesen habe, sollte er auf keinen Fall mit einem Debugger an der Datei arbeiten. Wenn er aus irgendeinem Grund den EIP verliert und das Prg weiterläuft hat er sein System infiziert und kann es neu installieren. Oh übrigens... Das System scheint eh infiziert zu sein also sollte er den Rechner auf jeden Fall nicht am Netz haben wenn er ihn schon nicht neu installieren wollte.

@PowerPixel
Woher weisst du, dass diese Dateien Trojaner sind? Virenscanner? Vermutung? Wenn es dich nicht stört, dass jemand die Kontrolle über deinen Rechner hat kannst du natürlich auch mit etherreal oder 'nem anderen Sniffer wie cr gesagt hat versuchen, damit sparst du dir die Arbeit des Analysierens. Wieviel Ahnung hast du von Reverse Engineering?

 

[ERit]

am einfachsten wäre mit olly nach textstrings suchen.
also mit olly datei öffnen, rechtsklick in das CPU fenster (in dem der ASM code zu sehen ist) , "search for" - "all referenced text strings"

jetzt erscheint eine liste mit dem clear text der in der exe enthalten ist.
falls der debugger nix findet, ethereal anwerfen und exe starten. dabei solltest du jedoch von einer antiviren firma zuvor eine beschreibung zum sicheren entfernen des trojaners gefunden haben. z.b. das antivirenprogi meldet sich und verrät dir den namen des trojaners. --> google suche

wenn das alles nicht der fall ist würde ich die finger davon lassen =)

lg