Um etwas konkreter zu sein, warum das ein unüblicher Infektionsweg wäre:
Ein 0815 "Hacker" nimmt normalerweise einen "Köder" (Crack/Trainer/Keygen/"Hacktool") + Trojaner/Stealer/Bot + Binder.
Diese gibt es zu kaufen (ca. 5-10 bis 100 PSC - bis nach oben offen) oder auch umsonst (sogenannte "Leaks" oder "cracked Trojaner/Stelaer usw").
Rein praktisch sorgen schon die Kids, die solche Tools selbst verkaufen dafür, dass die "Konkurrenz" möglichst schnell einem AV zugesendet wird (und schon gar frei verfügbare)
D.h es wird schwer sein, einen kostenlosen Trojaner und Binder im Netz zu finden, der von keinem AV erkannt wird und auch noch keine "Geschenke" beinhaltet.
Also braucht der 0815 "Hackexperte" einen Packer/Obfuscator, der den Trojaner für den AV unkenntlich macht. Die Kids nennen das "Cryptor" (klingt cooler) und die gibt es wiederum zu kaufen oder "frei" (mit schon erwähnten Problemen). Der "Crypter" ist oft gleichzeitig auch ein Binder.
Diese Tools kann man grob in 2 Kategorien unterteilen:
1. "Anfänger-Cryptor" - entpackt verschlüsselte Malware auf die Platte und startet diese.
2. "Elite-Cryptor" - entpackt verschlüsselte Malware im Speicher.
D.h bei 1) kann man als Verkäufer hübsch mit VT-Scans angeben ("schaut mal, es ist FUD!" - FUD=fully undetectable!), allerdings wird die angehängte Malware auf einem Desktop-PC von quasi jeder AV-Software entdeckt, da diese (Malware) zwischendurch auf der Platte landet.
bei 2) muss die AV Software schon etwas mehr Aufwand betreiben - sprich Verhaltensanalyse & Co während der Laufzeit, im Prozessspeicher.
Die Kids nennen das "Scantime-FUD" und "Runtime-FUD"
(konnte mir den Sarkasmus nicht verkneifen, da man auch bei "Elite-Versionen" an den Fingern einer Hand die Fälle abzählen kann, bei denen der Autor auch wirklich verstand, worum es geht und nicht nur blind den Code kopiert hat
)
--------------------------
Jetzt kommen wir zum interessanten Part:
Die Exe, die Du hier gepostet hast ist in C(ev. mit C++ Elementen, kompiliert vermtultich mit MS C++ 8 ), und das was entpackt wird ist C/Delphi "Mix" (=> vermutlich FreePascal).
Damit spielt es automatisch in einer "höheren Liga" (da kein VB, NET oder AutoIt & Co
) - wofür auch ausreichende Fehlerbehandlung für Systemfunktionsaufrufe & Co spricht. D.h es wäre erstmal auch möglich, dass der Code Anti-Debug/Anti-VM verwendet, die ich nicht kenne/finde.
Allerdings wäre für solchen Code passender, die Malware im Speicher zu entpacken und auch möglichst die Systemfunktionsaufrufe zu verschleiern (beides nicht der Fall).
Da der erste Scan bei VT auf den 9 Mai 2013 datiert ist, müsste es schon ein sehr selten verwendeter Trojaner oder Crypter sein, dazu noch "hochwertig genug", um sich vor dem Debugger/VM zu schützen und nicht aufzufallen. Die "Halbwertszeit" eines 0815 Malwaretools ist (genauer gesagt: war vor paar Jahren) üblicherweise 3-5 Wochen.
Ergo: jemand muss so ein Teil selber schreiben oder relativ viel Geld ausgeben, damit der Autor das nicht an weitere Leute verkauft, um es dann nur "unter der Hand" weiterzureichen und sich nur mit wenigen "Opfern" zufrieden zu geben. Unüblich/etwas unrealistisch
![[HaBo]](/styles/default/logoklein.png)
