Enthält dieses Assembler Tutorial Schadecode?
-
Für das 4. Win32 Assembler Tutorial von deinmeister.de wird angezeigt, daß es Schadcode enthalten würde:
http://www.deinmeister.de/w32asm5.htmDer Schadecode ist angeblich in folgendem Paket in mehreren *.exe Dateien enthalten:
http://www.deinmeister.de/asmtut4.zipEin scan mit Virustotal sagt zu der Datei pe/win005_n.exe z.B. folgendes:
AntiVir 7.11.8.210 2011.05.31 TR/Crypt.XPACK.Gen CAT-QuickHeal 11.00 2011.05.31 (Suspicious) - DNAScan Emsisoft 5.1.0.5 2011.05.31 Trojan.Crypt.XPACK!IK Ikarus T3.1.1.104.0 2011.05.31 Trojan.Crypt.XPACK K7AntiVirus 9.104.4745 2011.05.31 Trojan McAfee 5.400.0.1158 2011.05.31 Generic.dx!vsl McAfee-GW-Edition 2010.1D 2011.06.01 Generic.dx!vsl Norman 6.07.07 2011.05.31 W32/Smalltroj.HQST Panda 10.0.3.5 2011.05.31 Trj/CI.A PCTools 7.0.3.5 2011.05.19 Trojan.Generic Sophos 4.65.0 2011.05.31 Sus/JolProp-A Symantec 20111.1.0.186 2011.05.31 Trojan Horse TrendMicro 9.200.0.1012 2011.05.31 TROJ_Gen.4X2667 TrendMicro-HouseCall 9.200.0.1012 2011.06.01 TROJ_Gen.4X2667
Und zu pe/win005_m.exe
Commtouch 5.3.2.6 2011.05.31 W32/SuspPack.T.gen!Eldorado F-Prot 4.6.2.117 2011.05.31 W32/SuspPack.T.gen!Eldorado K7AntiVirus 9.104.4745 2011.05.31 Riskware
console/win005_n.exe
CAT-QuickHeal 11.00 2011.05.31 (Suspicious) - DNAScan Comodo 8906 2011.05.31 Heur.Packed.Unknown Sophos 4.65.0 2011.05.31 Sus/UnkPacker
Falls ihr also mit den Tutorials Assemblerprogrammierung lernen wollt, dann würde ich die EXE Dateien an eurer Stelle erstmal alle löschen und euch den Assemblercode ganz genau anschauen was der tut, wenn er mit einem Assemblierer in Maschinencode compiliert werden würde.
Editiert: ursprüngliche Formulierung dieses Threads enthielt sofort eine Warnung vor dem Tutorial, was in dieser Form aber unnötig ist, da falscher Alarm. Habe daher aus der Aussage eine Frage gemacht. Marc++us
-
Ich habe den Autor dieser Webseite mal angeschrieben, ich bin mal gespannt was er sagt.
Vielleicht ist sein eigener Rechner voll mit Viren und er weiß es selber nicht.
-
Es kann durchaus sein, dass durch gewisse Assembler-Codierungen die nicht "üblich" sind Heuristiken von Virenscannern anschlagen ohne, dass es sich tatsächlich um einen Virus handelt.
Ichkann das in dem besagten Fall absolut nicht sagen, aber die Möglichkeit besteht.
MfG SideWinder
-
Klarer Fall: false Positiv
-
Gleich mal (mit Ida) gucken, was der gefährliche Virus oder Trojaner oder eklige Wurm win005_n.exe so treibt. Ist bestimmt total interessant wer da wie programmiert hat, da kann man echt noch was lernen
oh man oh man, bin ich neugierig: ...tolle neue tricks juhu *sabber* ...IDA ... code:00401000 ; Flags C0000040: Data Readable Writable code:00401000 ; Alignment : default code:00401000 code:00401000 .686p code:00401000 .mmx code:00401000 .model flat code:00401000 code:00401000 ; --------------------------------------------------------------------------- code:00401000 code:00401000 ; Segment type: Pure data code:00401000 ; Segment permissions: Read/Write code:00401000 code segment para public 'DATA' use32 code:00401000 assume cs:code code:00401000 ;org 401000h code:00401000 code:00401000 ; ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ S U B R O U T I N E ¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ code:00401000 code:00401000 code:00401000 public start code:00401000 start proc near code:00401000 retn code:00401000 start endp code:00401000 code:00401000 ; --------------------------------------------------------------------------- code:00401001 align 1000h code:00401001 code ends code:00401001 relocs:00402000 ; Section 2. (virtual address 00002000) relocs:00402000 ; Virtual size : 00001000 ( 4096.) relocs:00402000 ; Section size in file : 0000000C ( 12.) relocs:00402000 ; Offset to raw data for section: 00000400 relocs:00402000 ; Flags 52000040: Data Discardable Shareable Readable relocs:00402000 ; Alignment : default relocs:00402000 ; --------------------------------------------------------------------------- relocs:00402000 relocs:00402000 ; Segment type: Pure data relocs:00402000 ; Segment permissions: Read relocs:00402000 relocs segment para public 'DATA' use32 relocs:00402000 assume cs:relocs relocs:00402000 ;org 402000h relocs:00402000 db 0 relocs:00402001 db 0 relocs:00402002 db 0 relocs:00402003 db 0 relocs:00402004 db 0Ch relocs:00402005 db 0 relocs:00402006 db 0 relocs:00402007 db 0 relocs:00402008 db 0 relocs:00402009 db 0 relocs:0040200A db 0 relocs:0040200B db 0 relocs:0040200C align 1000h relocs:0040200C relocs ends relocs:0040200C relocs:0040200C relocs:0040200C end start
...
-
Der einzige Schadcode der hier sein Unwesen treibt ist derjenige in den Virenscannern und sonstigen Securityprodukten die mittlerweile zur Scareware degeneriert sind und auch weitgehend unkritische Funde über irgendwelche Heuristiken wie Volltreffer behandeln ohne den Nutzer darüber aufzuklären.
Mittlerweile wird auch schon mal der alink.exe oder pskill.exe als "Hackertool" gebrandmarkt, komisch daß das nicht mit den Produkten großer Hersteller passiert obwohl die nicht minder als "Hackertool" verwendet werden können und wohl auch werden... von daher gehe ich durchaus davon aus daß dieses Problem den Herstellern bekannt ist, dieses aber bewußt kein großes Interesse an Verbesserungen diesbezüglich haben und den Benutzer lieber weiterhin werbewirksam in die Irre führen.
Allerdings kann man zumindest bei den meisten Meldungen erkennen daß es keine Volltreffer sind: "Gen(eric)" deutet in der Regel darauf hin daß die Datei irgendwelche Eigenschaften hat die gehäuft bei verdächtigen Dateien vorkommen.
"Crypt" und "Pack" deutet auf Code hin der zur Laufzeit entpackt bzw entschlüsselt wird (wobei man sieht daß schon hier die entsprechenden Scanner kräftig ins Klo gegriffen haben da offensichtlich ist daß hier nix entschlüsselt bzw. entpackt wird).Das sind allerdings alles Merkmale die durchaus in legitimen Programmen verbreitet sind: Packer wie UPX halten die Dateigröße kleiner, und eine Verschlüsselung kann durchaus genutzt werden um die Integrität einer Datei sicherzustellen - hier wird also eine Technik gebrandmarkt die durchaus auch verwendet wird um Programme durch Schutz vor Veränderung sicher zu machen.
Weshalb die Heuristiken bei den EXE-Dateien aus dem Tutorial angeschlagen haben liegt wohl vor allem an folgendem:
-die *_n.exe-Dateien wurden mit alink.exe (was frei verfügbar ist kann wohl nur ein böses Hackertool sein
) erzeugt anstatt mit dem MS-Linker.
-bei den Dateien im /pe-Ordner wird keine API-Funktion eingebunden. Ein Programm das tatsächlich was sinnvolles machen möchte müßte deshalb mit Tricks versuchen dennoch an diese heranzukommen, was in der Tat unüblich ist
-kleine Dateigröße (was in Zeiten von Flatrate, Breitband und Youtube allerdings reichlich überholt ist - zumal größere Dateien auch mehr Möglichkeiten bietet um tatsächlichen Schadcode besser zu verstecken)
Die Dateien im /pe-Ordner sind übrigens so einfach daß man schon mit nem Hexeditor schnell sieht daß da nix groß drin sein kann was gefährlich ist...
PS: Ja, mir ist bekannt daß es mittlerweile Möglichkeiten gibt um noch kleinere EXE-Dateien zu erzeugen. Diese sind dann allerdings nicht mehr mit allen Windows-Versionen kompatibel...
Bei Interesse einfach mal nach "crinkler" suchen, oder "1kpack"