OldSchoolHack

Registrieren / Anmelden Deutsch
deutschDeutsch
englishEnglish
Neue Beiträge Erweiterte Suche

Essay: mal wieder was gelernt...


icon Essay: mal wieder was gelernt... #1

Anmeldungsdatum: Aug 2007

Beiträge: 8643

Benutzer-Bewertung:

199 positiv
33 negativ
 Heute morgen hatte ich eine Email in meinem Postfach, die ich nicht einfach löschen wollte, da ich grad Zeit hatte und neugierig war, was mich denn schönes erwarten würde. Das hier ist das gute Stück:

http://www.abload.de/img/virus1mm77.jpg

An sich ne stinknormale Spammail mit Virenansatz, aber warum nicht trotzdem mal reinschauen. Die Rechnung.zip sah von innen so aus:

http://www.abload.de/img/virus2mmjf.jpg

Welch Wunder! Keine exe, bat, cmd, com oder pif drin. Da steigt die Neugierde doch fast ins unermessliche. Also schnell mal den ganzen Krempel entpackt:

http://www.abload.de/img/virus3vmp6.jpg

Die zertifikat.ssl entpuppt sich mit Hilfe von Notepad schnell aus ausführbare Datei.

http://www.abload.de/img/virus4um7z.jpg

Doch wie wird die denn ausgeführt? Windows kann mit der Dateiendung ssl nämlich herzlich wenig anfangen. Also schnell mal die Verknüpfung angeschaut. Und siehe da, man lernt doch immernoch was dazu. So kann man also jede x-beliebige Datei ausführen lassen. Danke Windows für diese nette potentielle Sicherheitslücke.

http://www.abload.de/img/virus54mzk.jpg

Im Taskmanager sieht das ganze auch recht spektakulär aus:

http://www.abload.de/img/virus60mt0.jpg

Da bekommt der Satz aus der Email "Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist für Sie nicht von Bedeutung" doch gleich eine ganz andere Bedeutung. Hat uns dieser nette Spammer aber unter Umständen einen neuen Weg eröffnet Anticheatprogramme zu umgehen? Ich wei߸ es nicht, aber warum sollte man sich dieses "Feature" nicht zunutze machen können...? Virenscanner erkennen ja auch nur ausführbare Dateien. Und eine virus.txt lässt sich nicht ausführen. Oder doch?

thx 4 reading & greetz KN4CK3R

__________________

Hallo
KN4CK3R ist offline
icon #2

Anmeldungsdatum: Mai 2008

Beiträge: 1662

Benutzer-Bewertung:

2 positiv
0 negativ
 wow wusste garnicht das sowas geht
Exxon ist offline
icon #3

Anmeldungsdatum: Nov 2007

Beiträge: 2801

 Einfach lala.txt.exe mit nem schönen Editor Logo Versehen,
ist dann nicht so spektakulär wie hier, aber die Leute die die Dateiendung ausgeblendet haben sehen es nicht

BTW: Wieso haste Porno.exe und Messiah-Godmode.exe ausgeblendet?

mfg
Aldi

__________________

[RELEASES]
[INSURGENCY] OSH Memory Hack Download
[NEXT RELEASES]
[MULTI - Source Engine Mods] OSH Memory Hack [Vorschläge Hier]

http://misscreativeclassy.files.wordpress.com/2009/06/dubai-souk-aldi-dubai.png
AldiSkill ist offline
icon #4

Anmeldungsdatum: Aug 2007

Beiträge: 8643

Benutzer-Bewertung:

199 positiv
33 negativ
 weil ich dann hier ne Altersbegrenzung hätte einbauen müssen

greetz KN4CK3R

__________________

Hallo
KN4CK3R ist offline
icon #5

Anmeldungsdatum: Feb 2008

Beiträge: 10

 ja, manchmal nutzen die alten DOS Skills halt doch noch was

Die Virenprogramme suchen aber soweit ich weiß durch den Speicher. Und da macht der "Dateiname" dann relativ wenig aus. Zugriffe auf die Speicheradressen des Spiels und Klassennamen bzw Objektnamen/Funktionsnamen/Bibliotheksnamen sind erstmal das wichtigste zum Verstecken...

__________________

Don't fear the darkness...
...be part of it
FeN ist offline