Verseuchte Datei wieder cleanen?

[the|eddy]

Hallo Leute,

ich habe mir gerade Sony Vegas gesaugt und als ich es installieren wollte ist antivir angesprungen und meinte, ein Trojaner namens Dropper.Gen ist in der Datei %temp%\stealer.exe .

Nunja, ist halt einfach mit nem Stealer gebindet. Meine Frage ist also, wie entferne ich den Stealer aus der Datei?


MfG

[mainstream]

Das ist mal ne gute Frage
Torrents saugen und dann die Viren weg machen(die so ziemlich jeder Torrent hat)
Wär cool wenn es ein Tut dazu gibt,oder jemand eins dazu macht

[the|eddy]

Kein Torrent haha. Warez. Torrents mag ich nicht.^^

[Razorigga]

Ich bin mir nicht sicher, ob es überhaupt geht, aber wenn dann musst dir mal das ganze mit nem Assembler angucken und das ganze zurückcompilen und dann im Quellcode den Stealer von der eig. Executable entfernen oder zumindest beschädigen, Stichwort: Reverse Engineering. Nur hat auch jeder der nen Stealer oder sonstiges coden kann Ahnung davor sich vor Reverse-Engineering zu schützen(Strings/Variabeln ersetzen, etc.). Wenn du jetzt keine Ahnung hast wovon ich hier rede, dann kannst du es gleich vergessen...also vorrausgesetzte Kenntnisse für das, was du da vorhast sind schon sehr hoch:
- Man muss die Sprache beherrschen in der der Stealer/Bot/Trojaner gecodet ist.
- Man muss Ahnung von Reverse Engineering und den Schutzmethoden davor haben.
- Man muss mit Assemblern und Debuggern umgehen können.
MfG Razorigga

[Zylasty]

@ Vorposter
Bei den meisten Viren (Die durch Kiddies verbreitet werden) werden die "gebundenen" Files auch wirklich nur gebunden. Heißt der SFX oder what ever. Heißt man brauch gar nichts mit Quellcode und sowas machen, was eh für die meisten zu kompliziert wäre.

Heißt wenn du es installiert, werden Installer und Virus gestartet.
Im besten Fall wird der Virus geblockt und der Installer installiert weiter. Musst einfach versuchen. Kannst in der Sandbox ja mal ausführen und vllt findest du da ja den "reinen" Installer.
Hast sowieso Glück dass dein Antivir das erkannt hat xD normal macht man sich im vornherein Gedanken ob es verseucht ist!

[EBFE]

Man muss die Sprache beherrschen in der der Stealer/Bot/Trojaner gecodet ist.

muss man nicht . NET lässt sich mit Reflector in jede NET Sprache recompilieren (es reicht also eine davon zu beherrschen: Delphi, C#,VB,VC++).
Native Exen lässt sich nicht zurückkompilieren. Beim RE gehts i.R nur um Asm/winAPI/System/Debuggerkenntnisse, denn im "klassischen" Sinne reverst man meistens native Anwendungen, für die es keine Decompiler gibt.

Nur hat auch jeder der nen Stealer oder sonstiges coden kann Ahnung davor sich vor Reverse-Engineering zu schützen(Strings/Variabeln ersetzen, etc.).

beschränkt sich meistens auf Google&copy&Paste . OllyDbg mit paar aktuellen Plugins reicht schon - man wird von den ganzen Antis nichts merken.

Allerdings gibt es keine generelle Methode, wie man nun eine Exe extrahiert. Grob gesehen kann man Binder in 2 Klassen unterteilen:
a)welche die gebundenen Dateien im Speicher starten (schwieriger für AVs zu detecten, aber auch schwieriger zu programmieren) und
b)"dropper" - also solche, die Dateien auf die Festplatte schreiben und erst dann starten (viel einfacher umzusetzen - wird allerdings auch so gut wie von allen Avs entdeckt ).
Bei der ersten Klasse gibt es noch feinere Unterteilung - meistens wird aber RunPE Modul eingesetzt (dafür gibts unpacker/extrakter)
bei der zweiten (was hier wohl vorliegt) kommt man mit etwas Glück auch ohne RE-Kenntnisse - denn der Binder entpackt ja nicht nur den stealer, sondern muss auch die Setupdatei auf die Festplatte schreiben. Es kommt nur darauf an, wie die Einstellungen im Binder gesetzt wurden - einfach auf die Platte schreiben und starten (dann sollte man im tempordner nach einer Setup.msi/exe suchen) oder nacheinander schreiben, starten, auf das Beenden warten und die nächste Datei schreiben/starten (usw). Also am besten[1] Temp Ordner vorher löschen und dann schauen, welche Dateien erstellt wurden.

[1] am besten ist eigentlich sich eine saubere Exe zu besorgen

edit: zylasty war mit schneller. Klar, im einfachsten Fall ist es eine Zip/RAR/IEXPRESS SFX

[nathex]

Torrents saugen und dann die Viren weg machen(die so ziemlich jeder Torrent hat)

Ich weiß ja nicht auf was für einem schlechten Tracker du Torrents lädst, aber ich habe bisher noch nie einen verseuchten torrent geladen! Ich habe da wesentlich bessere Erfahrung gemacht als mit Warez.
Zumal der Speed bei einem guten Tracker meist bis an die Grenze geht (Bei DSL 16000 -> 1,6mb/s download)

[the|eddy]

Nunja. Ich denke es ist mit SFX gebunden. Ich habe mir ne saubere gesaugt jetzt. Nunja, war trotzdem interessant das zu wissen :-D Danke!

[DoS]

Einfache Variante, die jeder kann . Die hatte auch schon Zylasty stichwortartig angesprochen:

Ich persöhnlich habe Avira. Ich weiß nicht, wie das bei anderen AntiViren Programmen ist, aber: Du kannst einfach die .exe ausführen und, wenn dein AntiVir anschlägt einfach auf "zugriff verweigern" klicken und dem AntiVir sagen, dass es sich das merken soll. Wenn du Glück hast läuft das normale Programm und dann ohne den Virus weiter, da der immer von AntiVir geblockt wird. Da der Virus wahrscheinlich nur beim Starten ausgeführt wird, hast du dann nur einmal ein nerviges Piespen. Und wie gesagt:
Der Virus wird nicht ausgeführt und das richtige Programm je nachdem, ob du Glück hast doch.

Also ein Versuch ist es doch Wert

Ansonten mal die Tuts von DizzY_D angucken. Die könnten dir vielleicht helfen .

Ach ja, und wenn ich gerade eine falsche Aussage gemacht haben sollte: Sagt mir Bescheid.

gruß

[PCFX]

@DoS: Aber ich starte doch nicht mit Absicht einen Virus, von dem ich hoffe, dass er von meiner Firewall blockiert wird
Einfachste Möglichkeit, eine saubere Quelle suchen. RE finde ich etwas zu viel aufwand um den Virus aus einer .exe oder einem Keygen zu filtern nur damit ich ein Programm cracken kann. Das ist wie mit Kanonenkugeln auf Spatzen zu schießen! :p