Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Malwareanalytik: Geeignete Samples für einen Workshop (https://www.trojaner-board.de/86445-malwareanalytik-geeignete-samples-workshop.html)

Silent sharK 08.07.2010 09:40
Polymorph ist, wenn sich der Code von Infektion zu Infektion verändert

BIOTEC 09.07.2010 09:54
Ich hab da grade mal wieder nen Test mit einem Creation Kit gemacht und muss sagen das die Dinger sehr potent sind...

Es wird ein drld.delphi.gen erstellt...dieser befällt dann, je nachdem, was man einstellt, alle exe Files und kopiert seinen eigenen Code in jede Datei auf dem rechner (auch in der /WinXP).

Mit dem Kit lassen sich dann auch die Schutzfunktionen von Windows deaktivieren, wie die Firewall und der AV Schutz...desweiteren wird immer beim starten einer infizierten exe eine frei wählbare Fehlermeldung ausgegeben.

Ich hab da nur mal einen test gemacht und das VM XP wurde nicht mehr benutzbar! Hab dann versucht mit Combofix zu arbeiten, aber der Delphi hat sich direkt in die entpackten Files von Combofix gesetzt und Combofix wurde damit unbrauchbar!

Es wurden keine Tools mehr geöffnet...IE weg, regedit und Taskmanager weg!

In den F8 Abgesicherten Modus kam man auch nicht mehr rein, weil er beim Laden gestoppt hat!

Avira Rescue CD konnte die Infizierten Files nurnoch umbenennen, was bei Windows Files fatal ist und ein Booten unmöglich macht!

Also das Teil ist eines der Sorte "Buzus", oder "Sality"...Fileinfector Trojaner!

BIOTEC

Hacker 09.07.2010 12:31
Naja fast....
"Delphi" ist nur der Name einer Programiersprache.
Wurde von Borland entwickelt und basiert auf Pascal. Der Unterschied ist, dass man wie bei VB6 die Graphische Oberfläche zeichnet und nicht beschreibt.

Was da rauskam nennt man in Fachkreisen einen Systemf*c*er.
Er zerstört das System so, dass man danach formatieren muss.

Sality und co. zerstören das System nicht vollständig.
Booten kann man dann noch;)

BIOTEC 09.07.2010 14:25
Ich hatte aber auch schon einen Sality auf VM, bei dem ging nach der Infektion zwar noch der Bootvorgang, aber er ist dann beim Login in eine endlosschleife gelaufen...das Bild hat sich laufend neu initialisiert...das war nicht so toll!

(Im moment bin ich AMIGA Viren am testen...das waren noch friedliche Zeitgenossen...Diskette infiziert und fertig...wenn man da die heutigen Viren sieht...Puh)

i_needhelp 29.07.2016 20:42
Nimm mabezat;-)

Den hatte ich auch:-)))))

cosinus 29.07.2016 22:24
Zitat:
Zitat von i_needhelp (Beitrag 1601256)
Nimm mabezat;-)

Den hatte ich auch:-)))))
Nach sechs Jahren wird er sich bestimmt brennend dafür interessieren :blabla:

i_needhelp 30.07.2016 11:50
UPS:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:14 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131