RR:Blog - Decrypter

Das AusweisApp wurde vor etwa einem Monat offiziell zum Download freigegeben und einige Tage später wieder vom Server entfernt wegen einer Sicherheitslücke. weiter lesen…

Sicherheit, Windows API, AusweisApp, CFF Explorer, Debugger, Decrypter, DLL Injection, Hook, Hooking, RCE

Ich konnte mir eine neuere Version des TDL Rootkits besorgen und diese hat schon Unterstützung für 64-Bit Windows Betriebssysteme. Von dieser besonderen Version konnte man auch einiges bei News Seiten lesen (z.B. bei Computerbase), denn es ist in der Tat das erste massenhaft in Umlauf gebrachte Rootkit, das in der Lage ist die Rootkit Funktionen in einem 64-Bit Windows zu nutzen. Trotzdem sollte man sich nicht beirren lassen: 64-Bit Windows ist immer noch viel sicherer als das 32-Bit Pendant. Wer also die Wahl hat (ab 2 GB RAM und halbwegs aktuelle Hardware) sollte sich unbedingt für die 64-Bit Variante entscheiden! weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, TDL, TDSS, Windows

Der Trick mit der DLL

Nun wird es erst richtig spannend. Um noch mal zusammenzufassen: Die EXE kopiert sich ins Temp Verzeichnis und veranlasst spoolsv.exe diese EXE als DLL zu laden. Spoolsv.exe verwendet eine LoadLibrary Funktion um die DLL zu laden. Damit wir wissen was unsere Malware nun macht, müssen wir das emulieren bzw. vorgaukeln. weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hack, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, Windows

Ein Raid-Rush Board User hat mich darum gebeten eine Datei zu analysieren, die bei RR angeboten wurde. Er schilderte mir, dass sich auf seinem PC ständig Webseiten im Webbrowser öffnen seit er diese Datei ausgeführt hatte. Nach einem ersten Blick dachte ich zunächst, dass es sich um 0815 Malware handelte, aber nach genauerer Analyse stellte sich heraus, dass es sich um die zurzeit beste und gefährlichste Malware handelt mit dem offiziellen Namen TDL, auch bekannt als TDSS, Alureon oder Olmarik. weiter lesen…

Sicherheit, Windows API, Debugger, Decrypter, Hacker, Hook, Malware, Ollydbg, RCE, Rootkit, Windows

Manually Unpacking XenoCode 2008 for .NET

Gestern wurde dieses kleine self-made Tool released: DLC.Container.Decrypter.v0.2-ContainerEx. Wie der Name schon sagt kann man mit dem Tool die DLC Container Dateien vom JDownloader entschlüsseln. In der NFO erwähnt der Entwickler neben anderen Beleidigungen, dass er Cryptload (in .NET programmiert) so mag und Java so “scheisse” findet, deshalb habe ich mir gedacht, zerlegen wir doch mal das Tool in seine Einzelteile ;-). weiter lesen…

Sicherheit .NET, Decrypter, DLC, Java, JDownloader, Ollydbg