OldSchoolHack

Register / Login English
deutschDeutsch
englishEnglish
New Posts Advanced Search

Essay: mal wieder was gelernt...


icon Essay: mal wieder was gelernt... #1

Join Date: Aug 2007

Posts: 8643

User-Rating:

199 positive
33 negative
 Heute morgen hatte ich eine Email in meinem Postfach, die ich nicht einfach löschen wollte, da ich grad Zeit hatte und neugierig war, was mich denn schönes erwarten würde. Das hier ist das gute Stück:

http://www.abload.de/img/virus1mm77.jpg

An sich ne stinknormale Spammail mit Virenansatz, aber warum nicht trotzdem mal reinschauen. Die Rechnung.zip sah von innen so aus:

http://www.abload.de/img/virus2mmjf.jpg

Welch Wunder! Keine exe, bat, cmd, com oder pif drin. Da steigt die Neugierde doch fast ins unermessliche. Also schnell mal den ganzen Krempel entpackt:

http://www.abload.de/img/virus3vmp6.jpg

Die zertifikat.ssl entpuppt sich mit Hilfe von Notepad schnell aus ausführbare Datei.

http://www.abload.de/img/virus4um7z.jpg

Doch wie wird die denn ausgeführt? Windows kann mit der Dateiendung ssl nämlich herzlich wenig anfangen. Also schnell mal die Verknüpfung angeschaut. Und siehe da, man lernt doch immernoch was dazu. So kann man also jede x-beliebige Datei ausführen lassen. Danke Windows für diese nette potentielle Sicherheitslücke.

http://www.abload.de/img/virus54mzk.jpg

Im Taskmanager sieht das ganze auch recht spektakulär aus:

http://www.abload.de/img/virus60mt0.jpg

Da bekommt der Satz aus der Email "Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist für Sie nicht von Bedeutung" doch gleich eine ganz andere Bedeutung. Hat uns dieser nette Spammer aber unter Umständen einen neuen Weg eröffnet Anticheatprogramme zu umgehen? Ich wei߸ es nicht, aber warum sollte man sich dieses "Feature" nicht zunutze machen können...? Virenscanner erkennen ja auch nur ausführbare Dateien. Und eine virus.txt lässt sich nicht ausführen. Oder doch?

thx 4 reading & greetz KN4CK3R

__________________

Hallo
KN4CK3R is offline
icon #2

Join Date: May 2008

Posts: 1662

User-Rating:

2 positive
0 negative
 wow wusste garnicht das sowas geht
Exxon is offline
icon #3

Join Date: Nov 2007

Posts: 2801

 Einfach lala.txt.exe mit nem schönen Editor Logo Versehen,
ist dann nicht so spektakulär wie hier, aber die Leute die die Dateiendung ausgeblendet haben sehen es nicht

BTW: Wieso haste Porno.exe und Messiah-Godmode.exe ausgeblendet?

mfg
Aldi

__________________

[RELEASES]
[INSURGENCY] OSH Memory Hack Download
[NEXT RELEASES]
[MULTI - Source Engine Mods] OSH Memory Hack [Vorschläge Hier]

http://misscreativeclassy.files.wordpress.com/2009/06/dubai-souk-aldi-dubai.png
AldiSkill is offline
icon #4

Join Date: Aug 2007

Posts: 8643

User-Rating:

199 positive
33 negative
 weil ich dann hier ne Altersbegrenzung hätte einbauen müssen

greetz KN4CK3R

__________________

Hallo
KN4CK3R is offline
icon #5

Join Date: Feb 2008

Posts: 10

 ja, manchmal nutzen die alten DOS Skills halt doch noch was

Die Virenprogramme suchen aber soweit ich weiß durch den Speicher. Und da macht der "Dateiname" dann relativ wenig aus. Zugriffe auf die Speicheradressen des Spiels und Klassennamen bzw Objektnamen/Funktionsnamen/Bibliotheksnamen sind erstmal das wichtigste zum Verstecken...

__________________

Don't fear the darkness...
...be part of it
FeN is offline