3. Kommentare deassemblieren ? Geht doch gar nicht...

Kommentare deassemblieren ? Geht doch gar nicht...

  • ?

    Hi !

    In einem anderen Forum wird gerade darüber geredet, dass sich zwei Gruppen von Virenautoren bekriegen.

    Hier ein Zitat von HeiseSec

    Sowohl Kaspersky Labs als auch Sophos weisen darauf hin, dass die Autoren der MyDoom-, Bagle- und Netsky-Schädlinge in den Quelltexten feindliche Botschaften an die jeweils anderen Wurm-Autoren einbauen. Hintergrund ist möglicherweise, dass die Netsky-Schädlinge die von MyDoom hinterlassenen Hintertüren wieder schließen. So heißt es im Quelltext von NetSky.C: "we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz-->] MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware". Im Quelltext von Bagle.I findet "Hey, NetSky, **** off you bitch, don't ruine our business, wanna start a war?" Und auch in der F-Variante des MyDoom-Wurms findet sich ein abfälliger Kommentar über NetSky ("your shitty app"). Kasperky Labs geht davon aus, dass es sich um einen Kleinkrieg zwischen den Virenautoren handelt -- auf der einen Seite NetSky und auf der anderen MyDoom und Bagle.

    Da steht ausdrücklich was von Quelltexten. Erstmal woher bekommen die denn die Quelltexte.?
    Dann hat jemand behauptet, die Kommetare würde man durch deassemblieren erhatlen (Afaik ist das unmöglich). Ein ander behauptet, man erhält diese Kommentare mit einem GNU Programm namens strings.

    Ich hab den Eindruck, dass die alle Blödsinn reden. Kann mir jemand weiterhelfen. Mich würde nämlich wirklich interesseieren wie Sophos an die Quellcodes kommt.

    mfg
    tom

    0
  • W

    Die Quelltexte gibt es auf einschlägigen Seiten zum Download.

    0
  • D

    Und diese ganzen Mail-Script-Viren werden ja ohnehin nicht compiliert. Da wird der Quelltext mitgeschickt, der dann von Outlook interpretiert wird.

    Kommentare sind in compilierten Dateien natürlich nicht mehr drin.

    0
  • C

    Hi,

    lol DrGreenthumb 😃

    VBS-Viren sind heutzutage doch (verglichen mit richtigen "EXE-Würmern") kaum eine Gefahr mehr.

    ChrisM

    0
  • ?

    MaSTaH schrieb:

    Die Quelltexte gibt es auf einschlägigen Seiten zum Download.

    Vielen Dank das erklärt einiges. Aber warum tun das die Autoren. Eigentlich ist das doch ein Sicherheitsrisiko. Ausserdem wer garantiert mir, dass das auch die Originalquellcodes sind ? Kannst Du eine Bsp.-Site nennen ?

    mfg
    Tom

    0
  • R

    ich denke nicht, dass es sich um Kommentare im Sprachenstil handelt, weil die (wie bereits angemerkt) vom Compiler entfernt werden. Es handelt sich wahrscheinlich einfach um String Konstanten.

    Die kannst du ganz einfach mit jedem Hex-Editor dir angucken. Disassemblieren dafür ist nicht nötig und mit dem string-Tool kannst du das auch machen, weil string einfach alle druckbaren strings in einer datei ausgibt (also filtert den binär kram raus). Also hatten alle recht. Ist das nicht toll? 😉

    siehe auch man: strings(1)

    0
Anmelden zum Antworten