Wer schmeißt denn da mit EXEn rum?

[AHT]

Bin ein sehr neugieriger Mensch und schaue mir öfters ganz gerne mal meine Rechner etwas genauer an. Dabei habe ich festgestellt, dass sehr oft Programme in Systemordnern (%TEMP%, ...) abgelegt werden, die man von der Dateiendung gar nicht als Programm erkennen kann, die aber in Wirklichkeit DLLs, Treiber oder EXE-Dateien sind. Bei mir sind das zur Zeit auf einem nicht mit Viren infizierten Rechner allein im %Temp% Ordner über 40 Dateien, die man von der Programmendung her nicht als ausführbare Dateien identifizieren kann, die aber Programmcode enthalten.
Wenn ich schon weiß, dass "unkenntlich gemachte" Programme sich auf meiner Festplatte aufhalten, möchte ich natürlich auch ganz gerne wissen, von wem die da abgelegt worden sind - zu welchem Programm die also gehören und ob es nun Treiber, DLLs oder EXE dateien sind.

Frank hat hier ein nettes Tool geschrieben - Ist die Exe/Dll für 32 oder 64 Bit? - und wer sich mit der Programmierung solcher Geschichten auskennt wird wissen, dass es von so einem unscheinbaren Tool bis zu einem Programm, dass solche umbennanten Programme in einem Ordner aufspürt und alle möglichen Daten über das "getarnte" Programm (Signatur, EXE / Treiber oder DLL, Daten aus der Resource, ...) listet, nicht mehr weit ist.

So ein Programm möchte ich eigentlich unbedingt haben - ein "Aufspürtool" für solche Sachen also, was mir weitere Daten anzeigt. Zur Not würde ich mir das selber schreiben - das sieht dann aber nicht gut aus (hab keine Geduld zum Oberflächenproggen ).
Wenn ein Mensch Interesse an so einer Sache hat, ist es ja nicht gesagt, dass andere Leute genauso neugierig sind. Ich starte deshalb hier mal eine Umfrage bezüglich so eines Tools.
Beantwortet doch mal meine Umfrage...
Hat jemand (außer mir) Interesse an so einem "Aufspürtool"?
Gibt es so etwas vielleicht so irgendwo (bitte Downloadadresse angeben)?

[Volkmar]

Hallo

So ein Tool würde mir gefallen. Das müßte nicht mal eine ausgefallene Oberfläche haben. Um mal so viel wie möglich über solche Dateien zu erfahren würde es ja letztendlich reichen, das Ergebnis notfalls nur als Textdatei mit Notepad anzuzeigen. Besser präsentiert wäre zwar auch ganz nett aber in diesem Falle nicht unbedingt nötig, denke ich. Hier geht es nicht darum, täglich stundenlang mit dem Programm zu arbeiten sondern einfach an die Informationen zu kommen.
Mit ordentlicher GUI wären dann natürlich weitere Dinge denkbar, wie Änderungen seit dem letzten Durchlauf oder Filterung nach bestimmten Merkmalen.
Auf jeden Fall halte ich sowas für interessant.

Gruß Volkmar

[Frabbing]

Ich gehe davon aus, dass mein AV eine Meldung macht, wenn so eine "unbekannte" Exe gestartet werden soll und nicht ganz sauber ist. Ist aber natürlich mal interessant zu wissen, was sich so im Unbekannten tummelt.

[AHT]

Nein, der meldet nichts - im Gegenteil. Ist AntiVir zum Beispiel standardmäßig konfiguriert, wird die unter Umständen gar nicht erst geprüft - bzw. erst geprüft, wenn die geladen wurde....

[ts-soft]

Zitat:

Zitat von AHT

Nein, der meldet nichts - im Gegenteil. Ist AntiVir zum Beispiel standardmäßig konfiguriert, wird die unter Umständen gar nicht erst geprüft - bzw. erst geprüft, wenn die geladen wurde....

Dateien, die eine manifest enthalten werden grundsätzlich geprüft, unabhängig von der Dateiextension. Ausführbare Dateien, die irgendwelche Rechte anfordern werden auch gemeldet, andere können sowieso keinen Schaden anrichten, bei unveränderten Sicherheitseinstellungen unter Windows (Vista und höher). Unter XP sollte man diese Einstellung vielleicht doch ändern, aber ob man XP überhaupt sicher bekommen kann...

[AHT]

Hab das gerade überprüft - meine Aussage oben scheint zu stimmen. Mit etwas Trickserei (ich verrate hier nicht wie) prüft AntiVir da scheinbar gar nichts.

[ts-soft]

Wenn ich eine Datei in Tmp erstelle, egal welche extension, wurde die bisher immer überprüft und ggflls angemeckert. Das einzige Problem was ich damit habe, ist das ich diese Dateien, wenn sich auch der Name ändert, von der Überprüfung nicht ausschließen kann.
Im tmp-ordner werden nunmal alle möglichen Dateien erstellt, entpackt oder sonstwas, die haben ja anschließend nicht mehr Rechte als die Datei, welche diese erstellt hat, somit sehe ich da gar kein Problem.
Ich lösche den Mist im tmpordner lieber, als ihn zu überprüfen

Aber jedem das seine.

[AHT]

Es gibt mehrere Möglichkeiten, ausführbaren Code zu laden. Desweiteren gibt es mehrere Möglichkeiten, den Code dann zur Ausführung zu bringen. Es kommt dabei immer darauf an, wie man etwas tut und wo.
Weiß man wie und wo, kann man problemlos da auch Code einschleusen, den AntiVir normalerweise (zum Beispiel nach einer Heuristik) erkennen würde. SpyeEye macht sich sogar den Spaß, Teile seines Trojaner mit einer AntiVir-Signatur zu versehen (in einer Version).
Ich rede hier nur von AntiVir, weil ich den gerade hier laufen habe. Im Prinzip sind andere Scanner da nicht anders.

Ich rede hier ja auch nicht nur vom TEMP Ordner - in Programmdata hatte wir da neulich auch so was - hätte mich interessiert, ob das Code war oder nicht.

[ts-soft]

Solange der ausführbare Code ohne zu tun des Users keine Adminrechte
bekommen kann, ist die Welt doch in Ordnung.

Gefährlich ist es also nur für die üblichen XP Systeme, wo jeder Anwender
ein Admin sein will oder die neueren System wo UAC so genervt hat, das es
ausgeschaltet wurde.

Bei diesen Usern wohnen so oder so genug Viren und Trojaner, deren
Entdeckung noch aussteht. Kann ja auch recht Unterhaltend sein

[p. specht]

Sind im TEMP Verzeichnis nicht einfach überbleibsel von Installationsvorgängen duch Installer? Die sollten dort nachher aber gefälligst auch aufräumen/löschen!
Gruss

[AHT]

Ich persönlich benötige so ein Programm, um an speziellen Code von ganz bestimmten Viren zu kommen. Mir fehlt da im Augenblick was wichtiges, was flott läuft.

Im Temp Verzeichnis wird da sehr oft scheinbar nicht aufgeräumt - bei mir sind da viele Files unter anderem von Adobe (ich spreche von den ausführbaren, die mit anderer Dateiendung versehen sind).

Zitat:

Solange der ausführbare Code ohne zu tun des Users keine Adminrechte
bekommen kann, ist die Welt doch in Ordnung.

Vielleicht habe ich dich nicht richtig verstanden, aber:
Seit wann braucht man zum Stehlen von Daten und Geld zwingend Adminrechte?
Das geht auch sehr schön ohne volle Kontrolle über das Gerät unterhalb der UAC. Die Grundeinstellungen von z.B. Vista bieten da ausreichend Möglichkeiten.

[ts-soft]

Zitat:

Zitat von AHT

Vielleicht habe ich dich nicht richtig verstanden, aber:
Seit wann braucht man zum Stehlen von Daten und Geld zwingend Adminrechte?
Das geht auch sehr schön ohne volle Kontrolle über das Gerät unterhalb der UAC. Die Grundeinstellungen von z.B. Vista bieten da ausreichend Möglichkeiten.

Wichtige Daten schützt man ja wohl von Hause aus. Puks und Tans speichert man auch nicht auf dem PC. Mit reinen Bankverbindungen kann auch nicht viel passieren, die drucken die meisten sogar auf Ihre Vistitenkarten. Lediglich diejenigen, die Ihr Konto sehr, sehr selten überprüfen könnten da Probleme bekommen.
Schaden kann da nur den unbedachten passieren, kritisch sehe ich es nur, wenn mein System funktionsuntüchtig gemacht wird oder geschützte Daten vernichtet werden, aber das sollte ohne Adminrechte nicht möglich sein, dafür Sorge ich dann schon

[AHT]

Trojaner SpyEye plündert das Konto binnen 20 Sekunden

Noch ne Frage?
Kann gut sein, dass du da alles im Griff hast. Hast du aber einmal nicht alles im Griff, bekommst du dann unter Umständen gar nicht mehr mit, dass du jemals was nicht im Griff hattest.

Der Mann, der das schreibt, verdient sein Geld damit. Habe mir angesehen, was er da programmiertechnisch tut. Der ist, im Gegensatz zu vielen anderen, recht gut in dem was er macht. Und wer gut ist, macht das in der Regel nicht umsonst - der riskiert nicht einfach so langjährige Haftstrafen.

[ts-soft]

Alle diese Software ist auf irgendeine Form eines TANs angewiesen, und
sowas verwende ich nicht. Ich frage lediglich meinen Kontostand ab, bzw.
hole meine Kontoauszüge ab, dafür wird kein TAN benötigt. Wenn jemand
diese Daten ausspäht, ist er seinem Ziel immer noch nicht näher.
Ansonsten geht alles per Lastschrift/PayPal. 6 Wochen habe ich Zeit alle
diese Buchungen ohne Angabe von Gründen zu stornieren.

[AHT]

Ich habe hier mal eine DEMO zum Download gestellt: DEMO3.EXE
Die Einstellungen in den Edits bitte nicht verändern. Bei Suchordner einen Ordner auswählen, im dem sich möglichst viele eurer compilierten XProfan-Programme befinden. Da hier auch Signaturen validiert werden, kann es vorkommen, dass das Demo versucht, sich mit dem Internet zu verbinden. Die APIs von Microsoft zum validieren von Signaturen tun das automatisch, wenn bestimmte Voraussetzungen im untersuchten Programm bestehen. Das muss nicht zugelassen werden (Firewall). Hat das Programm die Arbeit beendet, erscheint eine EditBox. Der Inhalt kann kopiert und hier eingefügt werden. Wie lange das dauert, ist stark davon abhängig, wie viele Unterordner und Dateien der Ordner hat (wird komplett mit Unterordnern durchsucht).

Ich möchte ganz gerne eine Zusatzfunktion testen, die das Proggie haben soll, was ich hier entstehen soll und will hoffen, dass der ein oder andere mal Lust hat, das Ding auszuführen....