Trojaner... Gibt es eine Möglichkeit herauszufinden, was das Programm genau macht

C

chicco

Guest
Hallo,

mich würde interessieren, ob es eine Möglichkeit gibt, herauszufinden, was ein Trojaner für eine Funktion hat. Ich meine nicht die Definition, sondern was ein spezifischer trojaner verursacht. Gibt es zudem eine Möglichkeit herauszufinden wohin der trojaner kommuniziert?
ich bin mir eigentlich sicher, dass es möglichkeiten gibt, doch welche besonderen kenntnisse sind notwendig?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
nee eben nicht. aber ich habe herausgefunden wie man ein trojaner/virus analysieren kann.
allerdings fehlt mir die kenntnis aus der computersprache etwas herrauszulesen. vielleicht kann da einer helfen:

PHP: 
<table border="1"><tr><td colspan="4">Datei shell.fne empfangen 2009.09.30 19:43:04 (UTC)</td></tr><tr><td>Antivirus</td><td>Version</td><td>letzte aktualisierung</td><td>Ergebnis</td</tr><tr><td>a-squared</td><td>4.5.0.24</td><td>2009.09.30</td><td style="color: red;">Trojan.Peed!IK</td</tr><tr><td>AhnLab-V3</td><td>5.0.0.2</td><td>2009.09.30</td><td style="color: red;">Win-Trojan/Peed.40960.ES</td</tr><tr><td>AntiVir</td><td>7.9.1.27</td><td>2009.09.30</td><td style="color: red;">TR/Peed.A.1052</td</tr><tr><td>Antiy-AVL</td><td>2.0.3.7</td><td>2009.09.30</td><td>-</td</tr><tr><td>Authentium</td><td>5.1.2.4</td><td>2009.09.30</td><td style="color: red;">W32/Autorun.NG</td</tr><tr><td>Avast</td><td>4.8.1351.0</td><td>2009.09.29</td><td style="color: red;">Win32:Trojan-gen {Other}</td</tr><tr><td>AVG</td><td>8.5.0.412</td><td>2009.09.30</td><td style="color: red;">Crypt.FQT</td</tr><tr><td>BitDefender</td><td>7.2</td><td>2009.09.30</td><td>-</td</tr><tr><td>CAT-QuickHeal</td><td>10.00</td><td>2009.09.30</td><td style="color: red;">Trojan.Agent.gen</td</tr><tr><td>ClamAV</td><td>0.94.1</td><td>2009.09.30</td><td>-</td</tr><tr><td>Comodo</td><td>2474</td><td>2009.09.30</td><td style="color: red;">UnclassifiedMalware</td</tr><tr><td>DrWeb</td><td>5.0.0.12182</td><td>2009.09.30</td><td>-</td</tr><tr><td>eSafe</td><td>7.0.17.0</td><td>2009.09.30</td><td style="color: red;">Win32.TRPeed.a</td</tr><tr><td>eTrust-Vet</td><td>None</td><td>2009.09.30</td><td>-</td</tr><tr><td>F-Prot</td><td>4.5.1.85</td><td>2009.09.30</td><td style="color: red;">W32/Autorun.NG</td</tr><tr><td>F-Secure</td><td>8.0.14470.0</td><td>2009.09.30</td><td>-</td</tr><tr><td>Fortinet</td><td>3.120.0.0</td><td>2009.09.30</td><td>-</td</tr><tr><td>GData</td><td>19</td><td>2009.09.30</td><td style="color: red;">Win32:Trojan-gen {Other}</td</tr><tr><td>Ikarus</td><td>T3.1.1.72.0</td><td>2009.09.30</td><td style="color: red;">Trojan.Peed</td</tr><tr><td>Jiangmin</td><td>11.0.800</td><td>2009.09.27</td><td>-</td</tr><tr><td>K7AntiVirus</td><td>7.10.857</td><td>2009.09.30</td><td style="color: red;">Trojan.Win32.Malware</td</tr><tr><td>Kaspersky</td><td>7.0.0.125</td><td>2009.09.30</td><td>-</td</tr><tr><td>McAfee</td><td>5757</td><td>2009.09.30</td><td style="color: red;">Generic.dx</td</tr><tr><td>McAfee+Artemis</td><td>5757</td><td>2009.09.30</td><td style="color: red;">Generic.dx</td</tr><tr><td>McAfee-GW-Edition</td><td>6.8.5</td><td>2009.09.30</td><td style="color: red;">Heuristic.LooksLike.Win32.Peed.H</td</tr><tr><td>Microsoft</td><td>1.5005</td><td>2009.09.23</td><td style="color: red;">Trojan:Win32/Bumat!rts</td</tr><tr><td>NOD32</td><td>4471</td><td>2009.09.30</td><td style="color: red;">probably a variant of Win32/Agent</td</tr><tr><td>Norman</td><td>6.01.09</td><td>2009.09.30</td><td style="color: red;">Smalltroj.ITDL</td</tr><tr><td>nProtect</td><td>2009.1.8.0</td><td>2009.09.30</td><td>-</td</tr><tr><td>Panda</td><td>10.0.2.2</td><td>2009.09.30</td><td style="color: red;">Generic Trojan</td</tr><tr><td>PCTools</td><td>4.4.2.0</td><td>2009.09.30</td><td style="color: red;">Trojan.Agent.ADMK</td</tr><tr><td>Prevx</td><td>3.0</td><td>2009.09.30</td><td>-</td</tr><tr><td>Rising</td><td>21.49.22.00</td><td>2009.09.30</td><td>-</td</tr><tr><td>Sophos</td><td>4.45.0</td><td>2009.09.30</td><td style="color: red;">Mal/EncPk-GF</td</tr><tr><td>Sunbelt</td><td>3.2.1858.2</td><td>2009.09.30</td><td style="color: red;">Trojan.Peed.Gen</td</tr><tr><td>Symantec</td><td>1.4.4.12</td><td>2009.09.30</td><td style="color: red;">Trojan Horse</td</tr><tr><td>TheHacker</td><td>6.5.0.2.023</td><td>2009.09.30</td><td>-</td</tr><tr><td>TrendMicro</td><td>8.950.0.1094</td><td>2009.09.30</td><td>-</td</tr><tr><td>VBA32</td><td>3.12.10.11</td><td>2009.09.30</td><td>-</td</tr><tr><td>ViRobot</td><td>2009.9.30.1965</td><td>2009.09.30</td><td>-</td</tr><tr><td>VirusBuster</td><td>4.6.5.0</td><td>2009.09.30</td><td>-</td</tr><tr><td colspan="4"> </td></tr><tr><td colspan="4">weitere Informationen</td></tr><tr><td colspan="4">File size: 40960 bytes</td></tr><tr><td colspan="4">MD5...: 1fb1d0b167dd9850ced0eacbbaa5602f</td></tr><tr><td colspan="4">SHA1..: a1d50e9e984a8a2bddf018b19d48279f2230b791</td></tr><tr><td colspan="4">SHA256: 95bb9d1d2f6bb51dab10403fcb83616493516ff3b3f923eb3c9f4868475d1cb3</td></tr><tr><td colspan="4">ssdeep: 768:ct0zTV6aYEreHAke33GNYB5SYO6W3FjLoLm66tlk0tARkI1LceW:ctSYaYEf<br>331BZO6WxoUkjG4O<br></td></tr><tr><td colspan="4">PEiD..: -</td></tr><tr><td colspan="4">PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x5e65<br>timedatestamp.....: 0x4837a56f (Sat May 24 05:19:43 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name        viradd    virsiz   rawdsiz  ntrpy  md5<br>.text       0x1000    0x5000    0x5000   7.49  3a044f3b9020fe9b7cc370ef66797503<br>.rdata      0x6000     0xd86    0x1000   4.64  da39373d7ecbc259d88551f58fd8cb5d<br>.data       0x7000    0x81e0    0x2000   6.24  406a7b73a2b3a7e1a8a3a8b7d3fc6894<br>.data      0x10000     0x7a2    0x1000   3.54  00cc6b990a8291e55324c9879e589988<br><br>( 5 imports )  <br>> KERNEL32.dll: lstrlenA, GetTempPathA, GetSystemDirectoryA, GetWindowsDirectoryA, GetLastError, GetCurrentProcess, GetVersionExA, SetSystemPowerState, MultiByteToWideChar, WideCharToMultiByte, HeapFree, GetStringTypeA, LCMapStringW, LCMapStringA, LoadLibraryA, GetProcAddress, VirtualAlloc, GetOEMCP, GetACP, GetCPInfo, HeapReAlloc, GetProcessHeap, HeapAlloc, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, WriteFile, RtlUnwind, GetCommandLineA, GetVersion, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, ExitProcess, TerminateProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, GetStringTypeW<br>> USER32.dll: EnableWindow, ExitWindowsEx, SetForegroundWindow, SetActiveWindow, GetActiveWindow, IsWindow, GetForegroundWindow, IsWindowEnabled, GetParent<br>> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken<br>> SHELL32.dll: SHGetMalloc, SHFileOperationA, SHGetSpecialFolderPathA, ShellExecuteA, SHBrowseForFolderA, SHGetPathFromIDListA, SHGetFileInfoA<br>> ole32.dll: CoCreateInstance<br><br>( 0 exports ) <br></td></tr><tr><td colspan="4">RDS...: NSRL Reference Data Set<br>-</td></tr><tr><td colspan="4">pdfid.: -</td></tr><tr><td colspan="4">trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<br>Win32 Executable Generic (14.7%)<br>Win32 Dynamic Link Library (generic) (13.1%)<br>Generic Win/DOS Executable (3.4%)<br>DOS Executable Generic (3.4%)</td></tr><tr><td colspan="4">ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=1fb1d0b167dd9850ced0eacbbaa5602f' target='_blank'>http://www.threatexpert.com/report.aspx?md5=1fb1d0b167dd9850ced0eacbbaa5602f</a></td></tr><tr><td colspan="4">sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br></td></tr><tr><td colspan="4">packers (Kaspersky): PE-Crypt.CF</td></tr></table>
 
Hab das ganze schnell umgewandelt damit es lesbarer ist...

Hab es dir als PDF angefügt. ;)
 

Anhänge

  • untitled.pdf
    60 KB · Aufrufe: 52
Kann alles sein, such halt bei Wikipedia nach nem Trojanischem Pferd und dir werden höchstwarhscheinlich ein paar Beispiel Viren genannt.
 
Furgy schrieb:
Hab das ganze schnell umgewandelt damit es lesbarer ist...

Hab es dir als PDF angefügt. ;)
Zum Vergrößern anklicken....

ha danke ;) hab die ganze zeit versucht mit dem beitragseditor, das irgendwie lesbar zu machen :d

danke firefox. doch was trojaner für eine funktion haben könnten, ist mir bekannt. ich möchte gerne herausfinden welche funktion ein bestimmter trojaner hat (zum beispiel den, der genau auf meiner festplatte ist).
 
Schau bei den üblichen Virenscanner- Programmanbietern rein und suche auf deren Seiten danach. Da gibts meist eine grobe Beschreibung, was der Schädling tut und wie hoch die Gefährdung dadurch eingeschätzt wird.
 
Der Virus aus dem log ist ein ganz normaler Trojaner der wahrscheinlich werbung verursacht, deinen PC als Bot nutzt mehr aber nicht.
Das ist nicht so schlimm wie wenn du einen aktiven Trojanerh hättest, womit jemand anders deinen PC fernsteuern kann.
 
Irgendwie verstehe ich das hier nicht so richtig. Warum willst du dich bitte in die Materie einarbeiten? Willst du sowas unbedingt selber programmieren?

Dir bleiben nur 2 Möglichkeiten. Entweder du zerlegst den Virus selber und analysierst den Code, was aber ohne entsprechendes Wissen in zum Beispiel Assembler nicht möglich ist oder aber du installierst dir einen Netzwerkschniffer und schaust was der Trojaner so an Daten verschickt. Die Daten wirst du ohne entsprechendes Wissen aber auch nicht lesen können. Wenn du das nötige Vorwissen hast, dann verstehe ich nicht warum du nicht selber auf diese 2 Ideen gekommen bist. Also gehe ich mal davon aus, dass du weder vom Programmieren noch von Netzwerken viel Ahnung hast. Aus diesem Grund schlage ich vor, dass du erstmal damit anfängst dich da in die Materie einzuarbeiten bevor du dich an einen Trojaner ranwagst.

Nimm es bitte nicht als Beleidigung auf. Ich denke nur, dass dir das nötige Wissen fehlt um einen Trojaner zu analysieren.
 
Zuletzt bearbeitet:
little_skunk schrieb:
Irgendwie verstehe ich das hier nicht so richtig. Warum willst du dich bitte in die Materie einarbeiten? Willst du sowas unbedingt selber programmieren?

Dir bleiben nur 2 Möglichkeiten. Entweder du zerlegst den Virus selber und analysierst den Code, was aber ohne entsprechendes Wissen in zum Beispiel Assembler nicht möglich ist oder aber du installierst dir einen Netzwerkschniffer und schaust was der Trojaner so an Daten verschickt. Die Daten wirst du ohne entsprechendes Wissen aber auch nicht lesen können. Wenn du das nötige Vorwissen hast, dann verstehe ich nicht warum du nicht selber auf diese 2 Ideen gekommen bist. Also gehe ich mal davon aus, dass du weder vom Programmieren noch von Netzwerken viel Ahnung hast. Aus diesem Grund schlage ich vor, dass du erstmal damit anfängst dich da in die Materie einzuarbeiten bevor du dich an einen Trojaner ranwagst.

Nimm es bitte nicht als Beleidigung auf. Ich denke nur, dass dir das nötige Wissen fehlt um einen Trojaner zu analysieren.
Zum Vergrößern anklicken....


genau auf solch eine antwort habe ich gewartet. dass ich mich nicht wirklich mit programmiersprache auskenne, hast du richtig erkannt, auch das du vermutest, dass ich zumindest ein paar vorkenntnisse habe, stimmt. die zwei ideen, die du ansprichst waren mir bewusst, doch ich hatte noch zwei andere eventualitäten im kopf. vielleicht gibt es ja spezielle programme, die den code eines trojaners analysieren oder es würde sich eventuell eine kompentente person zu wort melden, die sich meine beiden trojaner mal ansieht. da der mensch allerdings oft erst einmal den weg des geringsten widerstands geht, habe ich erst mal gehofft meine eben genannten möglichkeiten könnten sich bewahrheiten.
letztendlich wäre ich allerdings auch bereit die hürde zu nehmen und mir wissen selber anzueignen bzw. mich in die materie einzuarbeiten. dazu bräuchte ich allerdings ein paar hinweise. zum beispiel welche sprache/code muss ich interpretieren können. es gibt ja zick computersprachen, die sich hier und da auch ähneln, doch welche wäre die geeignetste?

welche kenntnisse bräuchte ich denn für einen netzwerksniffer, um zu gucken, was ein programm denn so macht? über netzwerktechnik kenne ich mich doch schon ein wenig aus (netzwerkstrukturen, netzwerkgerätschfaten,
tcp/ip).
 
Also gut. Dir scheint es ja wirklich ernst zu sein :d

Ich bin übrings Fachinformatiker und würde ohne entsprechendes einarbeiten in die Materie vermutlich ebenfalls wie ein Schwein ins Uhrwerk schaun. Ich zähle mal auf was genau das Problem an der Sache ist.

Der Trojaner ist mit hoher warscheinlichkeit in einer "niederen Programmiersprache" geschrieben.
Wäre der Trojaner in Java oder VB.Net geschrieben, könnte man mit geeigneten Programmen einen Teil des Quellcodes entschlüsseln. Die Funktionsweise des Quelltextes wäre dann relativ problemlos lesbar. Lediglich die Variablennamen wäre unkenntlich.
Mit sehr großer Warscheinlichkeit ist der Trojaner in C++ geschrieben. Soweit ich weiß, compiliert desses Compiler aber komplett in Maschienencode. Das ganze lässt sich nicht mehr umkehren. Man kann nur noch mit einem Hex Editor den Trojaner öffnen und den Maschienencode anschaun. Assembler ist eine mir bekannte Programmiersprache, die sehr nahe am Maschienencode liegt. Assembler alleine bringt dich aber nicht weiter. Du musst Maschienencode lesen können. Ich könnte zwar noch den Maschienencode mit Hilfe von Google auf bestimmte befehle durchsuchen, würde aber mangels Zeit niemals den gesammten Quelltext rekonstruieren können. Mit ist kein Programm bekannt, dass Maschienencode selbständig übersetzen kann. Falls du bei deiner Suche auf eines stoßen solltest, sag mir bescheid :)

Nun zu dem Sniffer. Wireshark ist ein recht gutes Programm. Problem ist, dass der PC so oder so sehr viele Datenpackete verschickt. Du musst also schon wissen wonach du suchen musst bzw alle unwichtigen Packete irgendwie rausfiltern. Am einfachsten geht das über den Port oder die Zieladresse. Ich hab es selber noch nicht gemacht aber eigentlich müsste das Trojanerpacket an 2 Adressen adressiert sein. Adresse 1 ist dein Router, da dieser dein Gateway zum Internet ist und die 2. Adresse ist die eigentliche Zieladresse des Packets. Eigentlich solltest du damit schon recht gut filter können, da damit schonmal die komplette LAN komunikation rausgefilter wird.

Für den Netzwerksniffer wäre der Aufbau von den Datenpacketen sehr wichtig. Ob du den Inhalt des Datenpackets dann auch lesen kannst, steht noch auf einem ganz anderen Blatt. Du bekommt aber zumindest schonmal die Zieladresse raus.
 
Zuletzt bearbeitet:
Ich danke Dir für die ganzen Tips. Habe mich mal mit einem Snifferprogramm auseinandergesetzt, da das Lesen des Codes einfach zu zeitintensiv ist bzw. die Kenntnisse die man braucht um das zu können einfach viel zu lang dauern würde. Nächstes Jahr habe ich die Möglichkeit Informatik in der Schule zu wählen und kann mir so ein paar Grundkenntnisse in Programmiersprache aneignen. Selbst mit den Grundkenntnissen würde ich wahrschenlich nur einen Hauch eines Trojaners in seinem Grundgerüst interpretieren können. Ein Snifferprogramm ist zwar auch nicht gerade enfach zu handeln, doch mit Einarbeitung lässt sich doch hier und da einiges Erfahren über das Netzwerkverhalten.
 
Anmelden, um zu antworten.

Ähnliche Themen

K
Homeserver Anforderung/Planung
Antworten
2
Aufrufe
658
Kurzschluss[A]
K
B
Zusammenstellung Gaming-PC
2 3
Antworten
80
Aufrufe
4K
Blebbens
B
P
[Kaufberatung] ITX-System für Office, Gelegenheitsvideoschnitt- und bildbearbeitung
Antworten
3
Aufrufe
224
2k5lexi
2k5lexi
Z
Expertenmeinung für Umrüstung gesucht
Antworten
9
Aufrufe
642
Scrush
Scrush
D
Bester Hypervisor für Windows VMs gesucht
Antworten
10
Aufrufe
973
Supaman
Supaman
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh