Subclassen per nProc

[Andreas Miethe]

Zitat:

Zitat von AHT

Wie gesagt, hier ist die EXE entpackt worden,
das hier ist also beweiskräftig widerlegt:

Zitat:

Der Include-Generator ist aber nicht mit UPX gepackt worden.
Da würde mich ja mal interessieren wie Du den entpackt hast

[Frabbing]

Die Version, die meinen XPIA-Tools beiliegt, ist mit UPX gepackt. Kann sein, dass ich sie selber gepackt habe, weiss nicht mehr genau.

[Andreas Miethe]

Ja das mag so sein. Ich hatte Dir, glaube ich, mal eine spezielle Version gemacht.
Der, der auf meiner Seite zu finden ist, ist mit Aspack gepackt. Hier bei mir wird bei meiner gepackten Version auch kein Virusalarm ausgelöst. Von Avast nicht und auch nicht von Avira,

[Frabbing]

Meine Version wird seit einiger Zeit angemeckert von Avast. Worin unterscheiden sich die Versionen sonst, wenn man den Packer ausser acht lässt?

[Andreas Miethe]

Wenn ich mich recht entsinne, werden bei meiner Version Meldungen ausgegeben und Notepad gestartet, bei Deiner geht es ohne Meldungen und ohne Notepad, still sozusagen.
Bei den internen Funktionen hat sich nichts geändert.

[Bangkok]

Ich habe gerade die Tools von Xpia getestet, jetzt wird mit Avira auch PRF2FMT.EXE als TR/Midgare.ajmw erkannt, bei Avira ist jedoch keine Beschreibung zu erhalten. Der Inc-Generator wird nur in gepacktem Zustand als Virus erkannt, entpackt ist alles ok. ich habe auch noch einen älteren Inc-Generator, der wird nicht als Virus erkannt, ist scheinbar auch nicht gepackt.

[Andreas Miethe]

Zitat:

Zitat von Bangkok

ich habe auch noch einen älteren Inc-Generator, der wird nicht als Virus erkannt, ist scheinbar auch nicht gepackt.

Wenn Du den von meiner Seite hast, dann ist der gepackt.
Kannst Du leicht mit einem HEX-Editor auslesen. Irgendwo am Anfang findest Du ASPACK im Klartext.

[AHT]

Zitat:

Zitat von Andreas Miethe

Der, der auf meiner Seite zu finden ist, ist mit Aspack gepackt. Hier bei mir wird bei meiner gepackten Version auch kein Virusalarm ausgelöst. Von Avast nicht und auch nicht von Avira,

Siehe hier - einige Scanner schlagen doch Alarm.

Zitat:

Worin unterscheiden sich die Versionen sonst, wenn man den Packer ausser acht lässt?

Die EXE von Andreas hat unter anderem zusätzliche Sections (eine Resource), auch das kann schon sehr viel ausmachen.
Der Code hat sich etwas geändert (.text Section ist größer und .data Section ebenfalls).
Die einzelnen Scanner finden bei der Version aus deinem Paket an mindestens zwei Stellen in der .text Section Code, die sie einem Virus zuordnen. Teilweise wird hier ein gegenvergleich mit dem kurzen Codestück in der .flat Section vorgenomen - wenn eines der Codestücke nicht passt, schlägt dann der jeweilige Scanner nicht an.
Ich nehme zur Zeit an, das mindestens ein Virenschreiber Teile des Codes, die als Grundlage für das Tool gedient haben, in seinem Trojaner verwendet hat. Diesen Zusammenhang muss man erst einmal aufbrechen, ansonsten gibt es das selbe Problem nach einiger Zeit wieder.

[Andreas Miethe]

Zitat:

Zitat von AHT

Die EXE von Andreas hat unter anderem zusätzliche Sections (eine Resource), auch das kann schon sehr viel ausmachen.

Stimmt, die hat ein Icon.
Kann mich ehrlich gesagt nicht mehr so genau erinnern. Das Teil ist vor 5 Jahren entstanden.

[Frabbing]

Leistet aber immer noch gute Dienste!

[AHT]

Das sind auf jeden Fall gute Tools, trotzdem sollte man an den Vrenmldungen arbeiten. Hier ist die Seite zum Teten:
VirusTotal - Kostenloser online Viren- und Malwarescanner

Ich möchte jetzt ah gerne mal die EXE unter de Lupe nehmen, die mir Frank zugeschickt hat:

Bewegungsmelder_1.exe mit XProfan 10a compiliert.
Hier die Ausgangslage...
Folgende Scanner melden keinen Virus:

• a-squared
• AhnLab-V3
• AntiVir
• Antiy-AVL
• Authentium
• Avast5
• AVG
• BitDefender
• CAT-QuickHeal
• Comodo
• DrWeb
• eSafe
• eTrust-Vet
• F-Prot
• F-Secure
• Fortinet
• Ikarus
• Jiangmin
• K7AntiVirus
• Kaspersky
• McAfee
• McAfee-GW-Edition
• Microsoft
• NOD32
• Norman
• nProtect
• PCTools
• Prevx
• Rising
• Sophos
• Sunbelt
• TrendMicro
• VBA32
• ViRobot
• VirusBuster

Folgende Scanner melden einen Virus:

• Avast -> Win32:Trojan-gen
• ClamAV -> Trojan.Agent-31361
• GData -> Win32:Trojan-gen
• McAfee+Artemis -> Artemis!8908BD633124
• Panda -> Suspicious file
• Symantec -> Suspicious.Insight
• TheHacker -> Trojan/Agent.rqt

Die Datei scheint nicht mit einem EXE-Packer gepackt zu sein.

[AHT]

Als erstes habe ich den an die EXE angehängten XProfan-PRC-Quellcode "untersucht". Das, was man als Code geschrieben hat, wird scheinbar beim Linken als PRC an die Runtime hinter die Resource angehängt. An dem Codewort RGH-PROFANF DATEI kann man erkennen, wo der angehängte "Quelltext" anfängt (bitte korrigieren, wo irgendwas nicht stimmt).
Als erstes habe ich den Bereich mit einem Hexeditor überschrieben, in em sich vermutlich der Quelltext befindet, der die intgrierte DLL erzeugt. Verwendet habe ich hierzu NOPs (Opcode)

Auf das Ändern dieser Sequenz reagierten

• McAfee+Artemis
• Panda

Die zeigten dann keine Virenmeldung mehr.

Auf das Überschreben des gesammten Codes reagierten keine weiteren Scanner.

Der Grund für diese Meldungen scheint darin zu liegen, das Profan bei der Erzeugung der EXE den Quelltext codiert und damit eine größere Wahrscheinlichkeit schafft, das daraus sinnvolle Opcode-Sequenzen entstehen. Das einfügen der DLL ist (scheinbar) nicht direkt der Grund, erhöht aber leicht die Wahrscheinlichkeit, das es zu solchen Meldungen kommt.
Es ist damit zu rechnen, das auch EXE Dateien, die mit reinem Profan erzeugt wurde, früher oder später vereinzelt solche Virenmeldungen hervorrufen.

[AHT]

Dann habe ich wieder die Originale EXE genommen und die Resource mit einem Hexeditor etwas bearbeitet. Ich habe die Resource dabei nicht vergrößert, nur ein Byte geändert - und zwar aus der String-Versinsinfo
"10.0.0.161"
folgendes gemacht:
"10.0.0.166"





Darauf reagierten, indem sie keine Virenmeldungen mehr brachten

• McAfee+Artemis
• Panda
• TheHacker

Manche Scanner scheinen also für ihren Scan ene Kombination aus gefundenen Codesequenzen und Daten aus der Resource zu verwenden. Ich kann jedem nur raten, die Versionsinfos und die Beschreibug der Dateien anzupassen, auch diese hier in der Resource 24 (Manifest):
name="CompanyName.ProductName.YourApplication"

Wegen einer bestimmten Kleinigkeit, die mir aufgefallen ist, scheint es so zu sein, dass wir wohl mindestens einen Virenschreiber unter uns haben.
Das was Panda dort scannt deute ich zumindestens so - der scheint eine bestimmte XProfan Version anzumeckern.

Wer noch XProfan in Version 10a hat, bitte mal hier melden. Ich brauche ein damit erzeugtes Programm.

[Frabbing]

Deine Bemühungen sind für mich so sehr gut nachvollziehbar, hat Hand und Fuß.
Ich glaube auch, dass die Virenscanner heute recht anfällig sind gegenüber zufälligen Bytesequenzen, und vielleicht zu früh losmeckern. Darum sollte man einen Scanner verwenden, der eine Funktion besitzt um zu sagen: "Diese Datei ist garantiert nicht infiziert, also bitte in Zukunft ignorieren".

[AHT]

Noch mal zu Panda:
Kleine Korrektur - Panda meckert scheinbar XProfan10a an, wenn das zusammen mit XPIA verwendet wird. Das ist in diesem Fall kein Zufall!
Das kann zum einen bedeuten, das Viren mit XProfan in Verbindung mit XPIA unterwegs sind, zum anderen kann es auch heißen, dass hier die Calls auf unsichtbaren Code (den der integrierten DLL) aufgefallen sind und man das nicht einzuordnen wusste (wird ja auch als "Suspicious file" bezeichnet). Das muss weiter beobachtet werden.