Kennt sich jemand mit FUD Trojanern aus?

Übersicht

Sonstiges

Smalltalk

	Skabus Betreff: Kennt sich jemand mit FUD Trojanern aus?	Do, März 04, 2010 18:24 Antworten mit Zitat
Hallo, Nein ich will keine Viren programmieren also bitte, bevor jetzt irgendwer "Trash!" ruft, erstmal lesen bitte. Ein bekannter von mir ist son Vollzeithacker.Der beschäftigt sich den ganzen Tag damit Trojaner zu programmieren und ahnungslose Leute damit zu ärgern. Heute hat er mit von sog. FUD Trojanern erzählt und etwas von Runtime-UD und Scanntime-UD und dergleichen erzählt(hab bei google auch schon nen bissle gefunden). So wie ich das verstanden habe, wird ein verschlüsseltes Dummyprogramm auf dem infizierten PC abgelegt und dann entschlüsselt in den RAM geschrieben und dort ausgeführt.Somit also weit weg vom Einflussbereich der Antivirensoftware. Nun meine Frage: Kennt jemand Bücher/Referenzen/EBooks etc. wo man sich mehr darüber informieren kann? Und nein nicht um sowas zu proggen, ich hab nirgends(google) ne vernünftige Lösung gefunden sich gegen diese FUD´s zu schützen. hab bereits mal nen paar Progs probiert mit denen man Dateien per Hexcode auf enthaltene Kommentare (decrypted und dergleichen) überprüfen kann, aber das hilft ja nicht wirklich, wenn der Programmierer dass net dummerweise auskommentiert hat. Würd mich über eure Hilfe freuen^^ MfG Ska EDIT: Hab zu dem Thema zumindest schonmal ne freizugängliche Lektüre gefunden: http://www.oreilly.de/german/freebooks/sii2ger/
"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit! Ein SNES-RPG mit Handels- und Wirtschaftselemente. Infos?Hier: http://www.blitzforum.de/worklogs/234/ Besucht meine Seite: www.seelenfriedhof.de.vu

Skabus

Betreff: Kennt sich jemand mit FUD Trojanern aus?

Do, März 04, 2010 18:24
Antworten mit Zitat

Hallo,

Nein ich will keine Viren programmieren also bitte, bevor jetzt irgendwer "Trash!" ruft,
erstmal lesen bitte.

Ein bekannter von mir ist son Vollzeithacker.Der beschäftigt sich den ganzen Tag damit Trojaner
zu programmieren und ahnungslose Leute damit zu ärgern.

Heute hat er mit von sog. FUD Trojanern erzählt und etwas von Runtime-UD und Scanntime-UD und dergleichen erzählt(hab bei google auch schon nen bissle gefunden).

So wie ich das verstanden habe, wird ein verschlüsseltes Dummyprogramm auf dem infizierten PC abgelegt und dann entschlüsselt in den RAM geschrieben und dort ausgeführt.Somit also weit weg vom Einflussbereich der Antivirensoftware.

Nun meine Frage:

Kennt jemand Bücher/Referenzen/EBooks etc. wo man sich mehr darüber informieren kann?
Und nein nicht um sowas zu proggen, ich hab nirgends(google) ne vernünftige Lösung gefunden
sich gegen diese FUD´s zu schützen.

hab bereits mal nen paar Progs probiert mit denen man Dateien per Hexcode auf enthaltene
Kommentare (decrypted und dergleichen) überprüfen kann, aber das hilft ja nicht wirklich,
wenn der Programmierer dass net dummerweise auskommentiert hat.

Würd mich über eure Hilfe freuen^^

MfG Ska

EDIT: Hab zu dem Thema zumindest schonmal ne freizugängliche Lektüre gefunden: http://www.oreilly.de/german/freebooks/sii2ger/

"In einer so verrückten Welt, kann man um in ihr zu überleben nur eines tun, nämlich eben jenes werden: Ein Verrückter!" -Selbstzitat

aktuelles Projekt: Aves Certim - Der Galgen ist nicht weit!
Ein SNES-RPG mit Handels- und Wirtschaftselemente.
Infos?Hier: http://www.blitzforum.de/worklogs/234/
Besucht meine Seite:
www.seelenfriedhof.de.vu

	Snade	Sa, März 20, 2010 23:51 Antworten mit Zitat
Also theoretisch kannst du nichts dagegen machen sonst hätten ja alle großen AV Hersteller eine Methode die funktionieren würde längst implementiert. Außerdem kann ich dir sagen das die "schmalste" encrypten die diese Leute benutzen RC4 ist und du da keinen chancen haben wirst zu erkennen was im code steht. PM an mich wenn du mehr wissen willst lg. Snade

Snade

Sa, März 20, 2010 23:51
Antworten mit Zitat

Also theoretisch kannst du nichts dagegen machen sonst hätten ja alle großen AV Hersteller eine Methode die funktionieren würde längst implementiert. Außerdem kann ich dir sagen das die "schmalste" encrypten die diese Leute benutzen RC4 ist und du da keinen chancen haben wirst zu erkennen was im code steht.

PM an mich wenn du mehr wissen willst Wink

lg. Snade

	Thunder	So, März 21, 2010 11:22 Antworten mit Zitat
Zitat: Man kann nie zu 100% sicher vor Viren und Trojanern sein. Avira Antivir ist gut, jedoch die Vollversion noch besser, da sie auch FUD und UD Trojaner anzeigt. FUD bedeutet soviel, wie "full undetectable" also Komplett unentdeckbar. Antivir erkennt diese Dateien jedoch trotzdem. Habe ich hier gefunden. @Snade: Jedes symmetrische Verfahren lässt sich genauso leicht wieder umkehren, nur dauert es länger, weil das ganze Cracker-Pack heutzutage eher in Hochsprache programmiert und die Antivirenhersteller meist nur Zugang zum Binärcode haben. mfg Thunder
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Thunder

So, März 21, 2010 11:22
Antworten mit Zitat

Zitat:

Man kann nie zu 100% sicher vor Viren und Trojanern sein.
Avira Antivir ist gut, jedoch die Vollversion noch besser, da sie auch FUD und UD Trojaner anzeigt. FUD bedeutet soviel, wie "full undetectable" also Komplett unentdeckbar. Antivir erkennt diese Dateien jedoch trotzdem.

Habe ich hier gefunden.

@Snade: Jedes symmetrische Verfahren lässt sich genauso leicht wieder umkehren, nur dauert es länger, weil das ganze Cracker-Pack heutzutage eher in Hochsprache programmiert und die Antivirenhersteller meist nur Zugang zum Binärcode haben.

mfg Thunder

Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

	Snade	So, März 21, 2010 19:11 Antworten mit Zitat
Wie willst du es denn Umkehren? Das ist ungefähr so als würde man ne .exe mit Truecrypt verschlüsseln da kann man auch nichts mehr umkehren ohne das Passwort. Allerdings ist die effektivste Methode sich davor zu schützen schon eine Firewall wie ZoneAlarm. Zitat: Man kann nie zu 100% sicher vor Viren und Trojanern sein. Avira Antivir ist gut, jedoch die Vollversion noch besser, da sie auch FUD und UD Trojaner anzeigt. FUD bedeutet soviel, wie "full undetectable" also Komplett unentdeckbar. Antivir erkennt diese Dateien jedoch trotzdem. Das stimmt ganz und gar nicht, denn das wiederspricht sich ja schon selbst. 1. Wenn etwas "FUD" ist kann es nicht erkannt werden solange bis es nicht mehr FUD ist. Auch nicht von der Avira Vollversion. 2. Es macht keinen Unterschied ob Vollversion oder nicht. 3. UD = Undetected heißt das es von manchen Herstellern erkannt wird und von manchen nicht. FUD heißt das es von keinem erkannt wird. lg. Snade

Snade

So, März 21, 2010 19:11
Antworten mit Zitat

Wie willst du es denn Umkehren? Das ist ungefähr so als würde man ne .exe mit Truecrypt verschlüsseln da kann man auch nichts mehr umkehren ohne das Passwort.

Allerdings ist die effektivste Methode sich davor zu schützen schon eine Firewall wie ZoneAlarm.

Zitat:

Das stimmt ganz und gar nicht, denn das wiederspricht sich ja schon selbst.

1. Wenn etwas "FUD" ist kann es nicht erkannt werden solange bis es nicht mehr FUD ist. Auch nicht von der Avira Vollversion.
2. Es macht keinen Unterschied ob Vollversion oder nicht.
3. UD = Undetected heißt das es von manchen Herstellern erkannt wird und von manchen nicht. FUD heißt das es von keinem erkannt wird.

lg. Snade

	Thunder	So, März 21, 2010 19:41 Antworten mit Zitat
Das ist dasselbe wie wenn du sagst: "Die Teile heißen doch Atome, also müssen sie unteilbar sein." Nur weil etwas "full undetectable" heißt, muss es nicht unentdeckbar sein. Ich kann auch mal schnell ein VBS-Virus runterladen und ihn "full undetectable" nennen. Hinweis: TrueCrypt lässt sich auch umkehren (ohne Passwort). Genauso wie WPA2 bei WLans geknackt werden kann. Genauso wie RSA-768 (glaub ich) durch Rainbow-Tables vor kurzem geknackt wurde ... Wie ich es umkehren will? Ich kann das nicht, zumindest nicht ohne sehr großen Aufwand. Aber es gibt einige, die das können. Das nennt sich Reverse Engineering. Du suchst die Funktion in der Exe, die die Daten zur Laufzeit entschlüsselt. Dann denkst du nach, wie du das umkehren kannst. Ein Beispiel wäre: Du findest heraus es ist eine Caesarverschiebung um 3 ASCII-Zeichen. Dann nimmst du die ganze Datei und lässt alle Zeichen um 3 ASCII-Zeichen nach unten rücken. Dann testet das Antivirus die Datei mit den üblichen Methoden. (Das ganze macht dann in dem Fall das Antivirus) So stelle ich mir das vor und manuell funktioniert es auf jeden Fall. Ich bin mir nur nicht ganz sicher, ob das ein Programm tun kann. mfg Thunder
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Thunder

So, März 21, 2010 19:41
Antworten mit Zitat

Das ist dasselbe wie wenn du sagst: "Die Teile heißen doch Atome, also müssen sie unteilbar sein."
Nur weil etwas "full undetectable" heißt, muss es nicht unentdeckbar sein. Ich kann auch mal schnell ein VBS-Virus runterladen und ihn "full undetectable" nennen.

Hinweis: TrueCrypt lässt sich auch umkehren (ohne Passwort). Genauso wie WPA2 bei WLans geknackt werden kann. Genauso wie RSA-768 (glaub ich) durch Rainbow-Tables vor kurzem geknackt wurde ...

Wie ich es umkehren will? Ich kann das nicht, zumindest nicht ohne sehr großen Aufwand. Aber es gibt einige, die das können. Das nennt sich Reverse Engineering. Du suchst die Funktion in der Exe, die die Daten zur Laufzeit entschlüsselt. Dann denkst du nach, wie du das umkehren kannst.
Ein Beispiel wäre: Du findest heraus es ist eine Caesarverschiebung Very Happy

um 3 ASCII-Zeichen. Dann nimmst du die ganze Datei und lässt alle Zeichen um 3 ASCII-Zeichen nach unten rücken. Dann testet das Antivirus die Datei mit den üblichen Methoden.
(Das ganze macht dann in dem Fall das Antivirus)

So stelle ich mir das vor und manuell funktioniert es auf jeden Fall. Ich bin mir nur nicht ganz sicher, ob das ein Programm tun kann.

mfg Thunder

Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

	TimBo	So, März 21, 2010 20:25 Antworten mit Zitat
Zitat: dann entschlüsselt in den RAM geschrieben und dort ausgeführt. Zitat: Somit also weit weg vom Einflussbereich der Antivirensoftware. warum kann eine AV software den Ram nicht überprüfen ?
mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10 Stolzer Gewinner des BCC 25 & BCC 31 hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht.

TimBo

So, März 21, 2010 20:25
Antworten mit Zitat

Zitat:

dann entschlüsselt in den RAM geschrieben und dort ausgeführt.

Zitat:

Somit also weit weg vom Einflussbereich der Antivirensoftware.

warum kann eine AV software den Ram nicht überprüfen ?

mfg Tim Borowski // CPU: Ryzen 2700x GPU: Nvidia RTX 2070 OC (Gigabyte) Ram: 16GB DDR4 @ 3000MHz OS: Windows 10
Stolzer Gewinner des BCC 25 & BCC 31
hat einen ersten Preis in der 1. Runde beim BWInf 2010/2011 & 2011/12 mit BlitzBasic erreicht.

	Snade	So, März 21, 2010 20:41 Antworten mit Zitat
@ Thunder wenn ich von FUD spreche dann meine ich auch das die Datei FUD ist und die Datei von www.virustotal.com oder http://scanner.novirusthanks.org/ nicht erkannt wird. Leider kann ich dir Sagen das kein einziger der seine Trojaner FUD machen will eine Caesar-Verschlüsselung benutzt. Und ich kann mir nicht Vorstellen das True Crypt im Regelfall geknackt werden kann da das BKA diese Methode dann schon längst benutzten würde. Man kann natürlich auch durch Reverse Engineering an Informationen kommen aber wie viele Normal User haben schon das können/Zeit das zu machen vor allem wenn man am Tag mehrere Sachen lädt ? lg. Snade

Snade

So, März 21, 2010 20:41
Antworten mit Zitat

@ Thunder wenn ich von FUD spreche dann meine ich auch das die Datei FUD ist und die Datei von www.virustotal.com oder
http://scanner.novirusthanks.org/
nicht erkannt wird.

Leider kann ich dir Sagen das kein einziger der seine Trojaner FUD machen will eine Caesar-Verschlüsselung benutzt.

Und ich kann mir nicht Vorstellen das True Crypt im Regelfall geknackt werden kann da das BKA diese Methode dann schon längst benutzten würde.

Man kann natürlich auch durch Reverse Engineering an Informationen kommen aber wie viele Normal User haben schon das können/Zeit das zu machen vor allem wenn man am Tag mehrere Sachen lädt ?

lg. Snade

	Thunder	So, März 21, 2010 21:17 Antworten mit Zitat
TrueCrypt kann geknackt werden (Bootsektorvirus). Das ist jetzt schon fast 1 Jahr her (glaube ich), dass es diesen Virus gibt. Er ist nur nicht in freier Wildbahn, da ihn der Autor nicht freigesetzt hat, ihn aber auf der Internationalen Hacker-Messe in der USA präsentiert hat. Beim Reverse Engineering sprach ich nicht unbedingt von Normalusern, sondern von Antivirus-Programmierern, die dafür bezahlt werden, dass sie das tun. Caesar-Verschiebung war nur der Einfachheit halber gemeint. mfg Thunder
Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

Thunder

So, März 21, 2010 21:17
Antworten mit Zitat

TrueCrypt kann geknackt werden (Bootsektorvirus). Das ist jetzt schon fast 1 Jahr her (glaube ich), dass es diesen Virus gibt. Er ist nur nicht in freier Wildbahn, da ihn der Autor nicht freigesetzt hat, ihn aber auf der Internationalen Hacker-Messe in der USA präsentiert hat.

Beim Reverse Engineering sprach ich nicht unbedingt von Normalusern, sondern von Antivirus-Programmierern, die dafür bezahlt werden, dass sie das tun.

Caesar-Verschiebung war nur der Einfachheit halber gemeint.

mfg Thunder

Meine Sachen: https://bitbucket.org/chtisgit https://github.com/chtisgit

	Snade	So, März 21, 2010 21:24 Antworten mit Zitat
Den Bootsektor Virus darf das BKA allerdings nicht nutzen

Snade

So, März 21, 2010 21:24
Antworten mit Zitat

Den Bootsektor Virus darf das BKA allerdings nicht nutzen Wink

	Coffee	Do, März 25, 2010 20:01 Antworten mit Zitat
Thunder hat Folgendes geschrieben: TrueCrypt kann geknackt werden (Bootsektorvirus). Das ist jetzt schon fast 1 Jahr her (glaube ich), dass es diesen Virus gibt. Er ist nur nicht in freier Wildbahn, da ihn der Autor nicht freigesetzt hat, ihn aber auf der Internationalen Hacker-Messe in der USA präsentiert hat. mfg Thunder Lustigerweise war ich an der Aktion gewissermaßen beteiligt, da der Autor (Peter) ein Freund von mir ist... Und damit ist TrueCrypt wirklich "relativ einfach" zu knacken, aber durch herkömmliches ReverseEngineering halte ich dies für eine sehr zeitintensive und damit fast unmögliche Aufgabe... Wieso darf das BKA sowas eigentlich nicht?
Mjam

Coffee

Do, März 25, 2010 20:01
Antworten mit Zitat

Thunder hat Folgendes geschrieben:

Lustigerweise war ich an der Aktion gewissermaßen beteiligt, da der Autor (Peter) ein Freund von mir ist... Und damit ist TrueCrypt wirklich "relativ einfach" zu knacken, aber durch herkömmliches ReverseEngineering halte ich dies für eine sehr zeitintensive und damit fast unmögliche Aufgabe... Wieso darf das BKA sowas eigentlich nicht?

*Mjam*

	Snade	Do, März 25, 2010 20:32 Antworten mit Zitat
Ich weiß es nicht nicht genau jedenfalls dürfen sie es nicht. Ich schätze mal, da es ein Virus ist und wir in Deutschland sind lg. Snade

Snade

Do, März 25, 2010 20:32
Antworten mit Zitat

Ich weiß es nicht nicht genau jedenfalls dürfen sie es nicht. Ich schätze mal, da es ein Virus ist und wir in Deutschland sind Laughing

lg. Snade

	Garfield12	Do, März 25, 2010 20:48 Antworten mit Zitat
Coffee redest du von Peter Kleissner? Der wurde doc letztens Verklag, wie geht der Prozess denn so voran man hört ja nichts mehr von ihm.

Garfield12

Do, März 25, 2010 20:48
Antworten mit Zitat

Coffee redest du von Peter Kleissner? Der wurde doc letztens Verklag, wie geht der Prozess denn so voran man hört ja nichts mehr von ihm.

	Coffee	Do, März 25, 2010 21:38 Antworten mit Zitat
Hehe, so wirds sein, Snade. @ Garfield12: Ja, das tue ich. Ich hab ihn vor vielen Jahren mal in nem OS-Dever-Forum kennengelernt und wir haben öfter mal zusammen geproggt... Aber seit 'ner Weile hört man echt wenig von ihm, wenns dich interessiert, frag ich ihn einfach mal per Mail.
Mjam

Coffee

Do, März 25, 2010 21:38
Antworten mit Zitat

Hehe, so wirds sein, Snade.

@ Garfield12: Ja, das tue ich. Ich hab ihn vor vielen Jahren mal in nem OS-Dever-Forum kennengelernt und wir haben öfter mal zusammen geproggt... Aber seit 'ner Weile hört man echt wenig von ihm, wenns dich interessiert, frag ich ihn einfach mal per Mail.

*Mjam*

Übersicht

Sonstiges

Smalltalk

Nach Oben

BlitzBasic Portal

Kennt sich jemand mit FUD Trojanern aus?

Betreff: Kennt sich jemand mit FUD Trojanern aus?