SFT Loader Hook v1.0

Einige werden sich sicher schon gefragt haben, wo den der wöchentliche Blog Artikel von N0S bleibt. Ich bin in der Tat etwas spät dran, aber ich denke das Warten hat sich gelohnt, denn es gibt eine neue Version von meinem SFT Hook. SFT Loader Hook v1.0 weiterlesen

Malware Analyse: TDL Rootkit 64-Bit Infektion

Ich konnte mir eine neuere Version des TDL Rootkits besorgen und diese hat schon Unterstützung für 64-Bit Windows Betriebssysteme. Von dieser besonderen Version konnte man auch einiges bei News Seiten lesen (z.B. bei Computerbase), denn es ist in der Tat das erste massenhaft in Umlauf gebrachte Rootkit, das in der Lage ist die Rootkit Funktionen in einem 64-Bit Windows zu nutzen. Trotzdem sollte man sich nicht beirren lassen: 64-Bit Windows ist immer noch viel sicherer als das 32-Bit Pendant. Wer also die Wahl hat (ab 2 GB RAM und halbwegs aktuelle Hardware) sollte sich unbedingt für die 64-Bit Variante entscheiden! Malware Analyse: TDL Rootkit 64-Bit Infektion weiterlesen

Malware Analyse: Gefährliches Rootkit TDL – Teil 2

Der Trick mit der DLL

Nun wird es erst richtig spannend. Um noch mal zusammenzufassen: Die EXE kopiert sich ins Temp Verzeichnis und veranlasst spoolsv.exe diese EXE als DLL zu laden. Spoolsv.exe verwendet eine LoadLibrary Funktion um die DLL zu laden. Damit wir wissen was unsere Malware nun macht, müssen wir das emulieren bzw. vorgaukeln. Malware Analyse: Gefährliches Rootkit TDL – Teil 2 weiterlesen

Malware Analyse: Gefährliches Rootkit TDL – Teil 1

Ein Raid-Rush Board User hat mich darum gebeten eine Datei zu analysieren, die bei RR angeboten wurde. Er schilderte mir, dass sich auf seinem PC ständig Webseiten im Webbrowser öffnen seit er diese Datei ausgeführt hatte. Nach einem ersten Blick dachte ich zunächst, dass es sich um 0815 Malware handelte, aber nach genauerer Analyse stellte sich heraus, dass es sich um die zurzeit beste und gefährlichste Malware handelt mit dem offiziellen Namen TDL, auch bekannt als TDSS, Alureon oder Olmarik. Malware Analyse: Gefährliches Rootkit TDL – Teil 1 weiterlesen

DEFCON & 26C3 – Veranstaltungen für Hacker

Vom 27.12. bis 30.12.09 findet auch dieses Jahr wieder der Chaos Communication Congress in Berlin statt. Das Motto des 26. CCC lautet „Here be dragons“, die wörtliche Übersetzung bringt einen hier nicht weiter, im Klartext kann diese Redewendung 2 Sachen bedeuten: Entweder es bezieht sich auf Politiker, die keine Ahnung von dem Thema Internet & IT haben und deshalb zum Teil sinnlose/dumme Gesetze entwerfen oder der Congress will diesmal in unbekannte/gefährliche Gebiete vordringen. Ob ihm das gelingt?

DEFCON & 26C3 – Veranstaltungen für Hacker weiterlesen

25th Chaos Communication Congress (25C3)

25C3

Der 25. Hackerkongress mit dem Motto „Nothing to hide“  ist zuende und wie jedes Jahr gab es auch diesmal wieder sehr informative Vorträge, die man sich nicht entgehen lassen sollte. Die Tickets waren schon am ersten Tag komplett ausverkauft und insgesamt stürmten ca. 4230 Besucher (Neuer Besucherrekord!) das Berliner Congress Center. 25th Chaos Communication Congress (25C3) weiterlesen