4. Enthält dieses Assembler Tutorial Schadecode?

Enthält dieses Assembler Tutorial Schadecode?

  • ?

    Für das 4. Win32 Assembler Tutorial von deinmeister.de wird angezeigt, daß es Schadcode enthalten würde:
    http://www.deinmeister.de/w32asm5.htm

    Der Schadecode ist angeblich in folgendem Paket in mehreren *.exe Dateien enthalten:
    http://www.deinmeister.de/asmtut4.zip

    Ein scan mit Virustotal sagt zu der Datei pe/win005_n.exe z.B. folgendes:

    AntiVir	7.11.8.210	2011.05.31	TR/Crypt.XPACK.Gen
CAT-QuickHeal	11.00	2011.05.31	(Suspicious) - DNAScan
Emsisoft	5.1.0.5	2011.05.31	Trojan.Crypt.XPACK!IK
Ikarus	T3.1.1.104.0	2011.05.31	Trojan.Crypt.XPACK
K7AntiVirus	9.104.4745	2011.05.31	Trojan
McAfee	5.400.0.1158	2011.05.31	Generic.dx!vsl
McAfee-GW-Edition	2010.1D	2011.06.01	Generic.dx!vsl
Norman	6.07.07	2011.05.31	W32/Smalltroj.HQST
Panda	10.0.3.5	2011.05.31	Trj/CI.A
PCTools	7.0.3.5	2011.05.19	Trojan.Generic
Sophos	4.65.0	2011.05.31	Sus/JolProp-A
Symantec	20111.1.0.186	2011.05.31	Trojan Horse
TrendMicro	9.200.0.1012	2011.05.31	TROJ_Gen.4X2667
TrendMicro-HouseCall	9.200.0.1012	2011.06.01	TROJ_Gen.4X2667

    Und zu pe/win005_m.exe

    Commtouch 	5.3.2.6 	2011.05.31 	W32/SuspPack.T.gen!Eldorado
F-Prot 	4.6.2.117 	2011.05.31 	W32/SuspPack.T.gen!Eldorado
K7AntiVirus 	9.104.4745 	2011.05.31 	Riskware

    console/win005_n.exe

    CAT-QuickHeal	11.00	2011.05.31	(Suspicious) - DNAScan
Comodo	8906	2011.05.31	Heur.Packed.Unknown
Sophos	4.65.0	2011.05.31	Sus/UnkPacker

    Falls ihr also mit den Tutorials Assemblerprogrammierung lernen wollt, dann würde ich die EXE Dateien an eurer Stelle erstmal alle löschen und euch den Assemblercode ganz genau anschauen was der tut, wenn er mit einem Assemblierer in Maschinencode compiliert werden würde.

    Editiert: ursprüngliche Formulierung dieses Threads enthielt sofort eine Warnung vor dem Tutorial, was in dieser Form aber unnötig ist, da falscher Alarm. Habe daher aus der Aussage eine Frage gemacht. Marc++us

    0
  • ?

    Ich habe den Autor dieser Webseite mal angeschrieben, ich bin mal gespannt was er sagt.
    Vielleicht ist sein eigener Rechner voll mit Viren und er weiß es selber nicht.

    0
  • S

    Es kann durchaus sein, dass durch gewisse Assembler-Codierungen die nicht "üblich" sind Heuristiken von Virenscannern anschlagen ohne, dass es sich tatsächlich um einen Virus handelt.

    Ichkann das in dem besagten Fall absolut nicht sagen, aber die Möglichkeit besteht.

    MfG SideWinder

    0
  • ?

    Klarer Fall: false Positiv

    0
  • N

    Gleich mal (mit Ida) gucken, was der gefährliche Virus oder Trojaner oder eklige Wurm win005_n.exe so treibt. Ist bestimmt total interessant wer da wie programmiert hat, da kann man echt noch was lernen 😋
    oh man oh man, bin ich neugierig: ...tolle neue tricks juhu *sabber* ...

    IDA ...
code:00401000 ; Flags C0000040: Data Readable Writable
code:00401000 ; Alignment     : default
code:00401000
code:00401000                 .686p
code:00401000                 .mmx
code:00401000                 .model flat
code:00401000
code:00401000 ; ---------------------------------------------------------------------------
code:00401000
code:00401000 ; Segment type: Pure data
code:00401000 ; Segment permissions: Read/Write
code:00401000 code            segment para public 'DATA' use32
code:00401000                 assume cs:code
code:00401000                 ;org 401000h
code:00401000
code:00401000 ; ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ S U B R O U T I N E ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦
code:00401000
code:00401000
code:00401000                 public start
code:00401000 start           proc near
code:00401000                 retn
code:00401000 start           endp
code:00401000
code:00401000 ; ---------------------------------------------------------------------------
code:00401001                 align 1000h
code:00401001 code            ends
code:00401001
relocs:00402000 ; Section 2. (virtual address 00002000)
relocs:00402000 ; Virtual size                  : 00001000 (   4096.)
relocs:00402000 ; Section size in file          : 0000000C (     12.)
relocs:00402000 ; Offset to raw data for section: 00000400
relocs:00402000 ; Flags 52000040: Data Discardable Shareable Readable
relocs:00402000 ; Alignment     : default
relocs:00402000 ; ---------------------------------------------------------------------------
relocs:00402000
relocs:00402000 ; Segment type: Pure data
relocs:00402000 ; Segment permissions: Read
relocs:00402000 relocs          segment para public 'DATA' use32
relocs:00402000                 assume cs:relocs
relocs:00402000                 ;org 402000h
relocs:00402000                 db    0
relocs:00402001                 db    0
relocs:00402002                 db    0
relocs:00402003                 db    0
relocs:00402004                 db  0Ch
relocs:00402005                 db    0
relocs:00402006                 db    0
relocs:00402007                 db    0
relocs:00402008                 db    0
relocs:00402009                 db    0
relocs:0040200A                 db    0
relocs:0040200B                 db    0
relocs:0040200C                 align 1000h
relocs:0040200C relocs          ends
relocs:0040200C
relocs:0040200C
relocs:0040200C                 end start

    ...

    0
  • ?

    Der einzige Schadcode der hier sein Unwesen treibt ist derjenige in den Virenscannern und sonstigen Securityprodukten die mittlerweile zur Scareware degeneriert sind und auch weitgehend unkritische Funde über irgendwelche Heuristiken wie Volltreffer behandeln ohne den Nutzer darüber aufzuklären.

    Mittlerweile wird auch schon mal der alink.exe oder pskill.exe als "Hackertool" gebrandmarkt, komisch daß das nicht mit den Produkten großer Hersteller passiert obwohl die nicht minder als "Hackertool" verwendet werden können und wohl auch werden... von daher gehe ich durchaus davon aus daß dieses Problem den Herstellern bekannt ist, dieses aber bewußt kein großes Interesse an Verbesserungen diesbezüglich haben und den Benutzer lieber weiterhin werbewirksam in die Irre führen.

    Allerdings kann man zumindest bei den meisten Meldungen erkennen daß es keine Volltreffer sind: "Gen(eric)" deutet in der Regel darauf hin daß die Datei irgendwelche Eigenschaften hat die gehäuft bei verdächtigen Dateien vorkommen.
    "Crypt" und "Pack" deutet auf Code hin der zur Laufzeit entpackt bzw entschlüsselt wird (wobei man sieht daß schon hier die entsprechenden Scanner kräftig ins Klo gegriffen haben da offensichtlich ist daß hier nix entschlüsselt bzw. entpackt wird).

    Das sind allerdings alles Merkmale die durchaus in legitimen Programmen verbreitet sind: Packer wie UPX halten die Dateigröße kleiner, und eine Verschlüsselung kann durchaus genutzt werden um die Integrität einer Datei sicherzustellen - hier wird also eine Technik gebrandmarkt die durchaus auch verwendet wird um Programme durch Schutz vor Veränderung sicher zu machen.

    Weshalb die Heuristiken bei den EXE-Dateien aus dem Tutorial angeschlagen haben liegt wohl vor allem an folgendem:

    -die *_n.exe-Dateien wurden mit alink.exe (was frei verfügbar ist kann wohl nur ein böses Hackertool sein🙄) erzeugt anstatt mit dem MS-Linker.

    -bei den Dateien im /pe-Ordner wird keine API-Funktion eingebunden. Ein Programm das tatsächlich was sinnvolles machen möchte müßte deshalb mit Tricks versuchen dennoch an diese heranzukommen, was in der Tat unüblich ist

    -kleine Dateigröße (was in Zeiten von Flatrate, Breitband und Youtube allerdings reichlich überholt ist - zumal größere Dateien auch mehr Möglichkeiten bietet um tatsächlichen Schadcode besser zu verstecken)

    Die Dateien im /pe-Ordner sind übrigens so einfach daß man schon mit nem Hexeditor schnell sieht daß da nix groß drin sein kann was gefährlich ist...

    PS: Ja, mir ist bekannt daß es mittlerweile Möglichkeiten gibt um noch kleinere EXE-Dateien zu erzeugen. Diese sind dann allerdings nicht mehr mit allen Windows-Versionen kompatibel...
    Bei Interesse einfach mal nach "crinkler" suchen, oder "1kpack"

    0
Anmelden zum Antworten