Ergebnis 1 bis 3 von 3
  1. #1
    Stiller Leser
    Registriert seit
    14.12.2011
    Beiträge
    4

    Standard Gema-Virus/Hijacking (Decompiled)

    Hallo,
    habe den Gema "Virus" der akutell unterwegs ist zerlegt!
    Der Virus ist mit UPX gepackt und in Delphi geschrieben!

    Die Datei gema-virus.exe ist die UPX-gepackte Variante
    Die Datei gema-virus-un.exe ist die UPX-entpackte Variante

    Analyse:

    Der Virus wurde in Delphi geschrieben und scheinbar mit Borland Delphi 7 compiled!

    Mittels DeDe konnte ich die Schadware decompilen, er beinhaltet ein Webbrowser Element, einige Timer, ein Panel mit der Aufschrift "Es besteht noch keine Internet verbindung, bitte warten.", ein unsichtbares Edit mit dem Inhalt "http://85.121.39.2/~mfeeling/gema/index.php" sowie ein dWinlock Element.

    Das dWinlock Element wird von der Firma Kassl vertrieben es ist eine API zum deaktivieren von Windows Funktionen z.B. Taskmanager,Desktop,Taskleiste,etc.pp

    Funktion:

    Der Virus kopiert sich bei Aufruf in das Lokale Benutzerverzeichniss, anschließend wird mittels dWinlock der Computer komplett gesperrt,
    der Shell Eintrag in der Registry wird angeändert so das nicht mehr der explorer sondern der Virus startet!
    Anschließend wird der Inhalt des Edit Elements in dem Webbrowser Element geladen, auf der Seite kann man dann den UCash Code eingeben!
    Wenn man bezahlt wird mit dWinlock wieder entsperrt! (nicht geprüft!)


    Wie kann ich meinen PC "desinfizieren"?

    WindowsXP -> BartPE CD -> regedit.exe -> Struktur laden...etc
    Windows Vista/ 7 -> Windows 7 CD -> Reperatur Konsole -> regedit.exe -> Struktur laden...etc

    Anschließend sollte man noch einen Virenscanner drüber laufen lassen!

    vllt. kann ja jmd. was mit dem "Virus" anfangen!

    PS: Es ist kein wirklicher "Virus" ist halt DAU Sprache "OH! Hey! Hilf mir mal ich hab da so nen Virus von der Gema drauf!"...

    Download: http://www.filesonic.com/file/421852...s-forensic.zip
    Passwort der zip: 123456

    BITTE NICHT AUF EINEM PRODUKTIVEN SYSTEM AUSFÜHREN!!!! ICH ÜBERNEHME KEINE HAFTUNG!! SAGT NICHT ICH HÄTTE EUCH NICHT GEWARNT! NUR ZU TEST UND FORSCHUNGSZWECKEN BENUTZEN!!

    mfG
    Geändert von the|Ripper (14.12.2011 um 17:48 Uhr)

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    Dida (21.05.2012)

  3. #2
    Rechtsfreier Raum Avatar von loewenherz
    Registriert seit
    17.10.2011
    Beiträge
    181

    Standard

    [ame]http://www.youtube.com/watch?v=Rme1NLkXvYw[/ame]

    [ame]http://www.youtube.com/watch?v=Ex2n4OLe1tQ[/ame]

    [ame]http://www.youtube.com/watch?v=MLg5p4WgF1Q[/ame]

  4. #3
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard

    Zum reversen von Delphi Apps kann ich dir IDR statt DeDe empfehlen, da DeDe schon etwas älter ist.

Ähnliche Themen

  1. [HowTo] BotNet HiJacking
    Von SFX im Forum Biete Tutorials
    Antworten: 0
    Letzter Beitrag: 12.12.2010, 17:24
  2. [B]TCP-Session-Hijacking paper
    Von Cheese im Forum Biete Tutorials
    Antworten: 1
    Letzter Beitrag: 23.08.2009, 09:10
  3. Hijacking Putty Sessions
    Von -=Player=- im Forum Biete Tutorials
    Antworten: 13
    Letzter Beitrag: 25.11.2008, 17:51
  4. S - session hijacking
    Von craw im Forum Trashbox
    Antworten: 0
    Letzter Beitrag: 06.10.2007, 10:14

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •