GVU-Trojaner - Nachprogrammierung

Discussion in 'Tutorials' started by hoschi111, Sep 27, 2013.

Thread Status:
Not open for further replies.
  1. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Hallo liebe KE - Member!
    Vor einiger Zeit hörte man in den Nachrichten (besonders im Interwebz) vom "GVU-Trojaner", "BKA-Trojaner" und "GEMA-Trojaner".
    Das Ziel dieser Trojaner [*1] ist, den Computerbenutzer um Geld zu erpressen -> Die Taktik: Programm persistent halten und Gesetzesbruch vorwerfen.

    Ich fragte mich dann, ob es möglich sei, so eine fiese Software in .Net zu kopieren, oder ob man dafür ein "Programmierer-Ass" sein muss.
    Vorab sei gesagt: Es ist verdammt einfach!

    NUR FÜR STUDIENZWECKE!

    Was muss das Programm können?

    1. nicht schließbar / muss persistent sein
    2. beim reboot wiederkommen
    3. schwer zu finden sein / schwer zu löschen sein


    Was wurde einprogrammiert?

    NICHT SCHLIESSBAR / MUSS PERSISTENT SEIN:

    "normale" Funktionen:
    -> ShonInTaskbar = false
    -> ShowIcon = false
    -> MinimizeBox = false
    -> MaximizeBox = false
    -> TopMost = true
    -> Me.WindowState = FormWindowState.Maximized
    -> Me.BringToFront()

    "erweiterte" Funktionen:
    -> Keys (Tastertureinschläge) systemweit abfangen
    -> cmd.exe, taskmgr.exe, explorer.exe (mit Exitcode, da sonst neugestartet wird), procexp.exe, regedit.exe killen und starten verhindern
    -> Taskleiste verstecken


    BEIM REBOOT WIEDERKOMMEN:

    -> mindestens 2 / 3 Autostarts setzen [Mutex generieren, sonst ist die Anzahl der Antostarteinträge => Programmstarts]
    |-> Zur Tarnung zwei sichtbare (in msconfig.exe) und einen unsichtbaren im Winlogon


    SCHWER ZU FINDEN / SCHWER ZU LÖSCHEN:

    -> Programm kopiert sich selbst in "%ProgramData%" oder "%AppData%" mit falschen Ordnerstrukturen kopieren lassen (./Microsoft/Windows/Drivers/Driver.exe, ./Oracle/Java/Bin/Java_Updater.exe)
    -> Kopierte Dateien auf "Systemdatei" und / oder "versteckt" stellen


    Meine Testdatei: [ATTACHMENT NOT FOUND]
    Passwort: ichwerdehiermitniemandeninfizieren
    Ein Klick auf das Wort "Computername" beendet das Programm und löscht die Autostarteinträge. Trotzdem nur auf der VM testen!

    DEBUG-Ansicht:
    [​IMG]

    [*1] Meiner Meinung nach ist "Trojaner" ein falscher Begriff, da Trojaner Fremdcode einschleusen und den Computer "ausrauben" -> Passwörter, Dateien etc.


    Viel Spaß beim Reversen!
     
  2. Cre3per

    Cre3per Addicted Member Inventar

    Joined:
    Oct 22, 2012
    Messages:
    697
    Likes Received:
    2
    Ich traue mich nicht ihn runterzuladen also frage ich mal: Was ist, wenn man im Logonscreen die erleichterte bedienung mit einer cmd ausgetauscht hat? Dann müsste man doch nurnoch herausfinden, wo sich der virus startet oder?

    btw. AimBRoT wird sich freuen, dass du anstatt dem Login einen Virus programmiert hast :D
     
  3. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Das wäre eine Lösung über diese CMD.
    Allerdings ist der "Trojaner" redundant im Autostart -> Macht Spaß, das alles von Hand zu patchen.

    Eine Frage:
    Braucht man Admin-Rechte um das umzuleiten / hijacken?
     
  4. AimBRoT

    AimBRoT Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    531
    Likes Received:
    2
    Ich machs einfach ohne VM
    xD

    Falls es nicht funktioniert ihn zu schließen: Ich muss mein PC sowieso formatieren :bitchpls:
    Edit: ._. :love:
     
  5. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Was bedeutet dein Edit, Aimbrot?
     
  6. AimBRoT

    AimBRoT Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    531
    Likes Received:
    2
    Nix :D
    Konnte man wieder beenden, einträge sind aus dem AutoStart wieder raus

    Sieht seksy aus aber die GUI lädt langsam :p
     
  7. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Wie hast du es beendet?
     
  8. AimBRoT

    AimBRoT Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    531
    Likes Received:
    2
    Auf Computername drücken? XD
     
  9. Skyfail

    Skyfail Addicted Member Inventar

    Joined:
    Mar 21, 2013
    Messages:
    792
    Likes Received:
    2
    Versuch doch bei ausgeschalter UAC dir admin rechte zu besorgen. Dann kannst du auch die Debugger werte löschen.
     
  10. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Wer hat bitte seine UAC ausgeschaltet?
     
  11. Skyfail

    Skyfail Addicted Member Inventar

    Joined:
    Mar 21, 2013
    Messages:
    792
    Likes Received:
    2
    Leute, die VIP hacks verwenden. Und ich xD
     
  12. AimBRoT

    AimBRoT Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    531
    Likes Received:
    2
    Und ich xD
     
  13. Cre3per

    Cre3per Addicted Member Inventar

    Joined:
    Oct 22, 2012
    Messages:
    697
    Likes Received:
    2
    Ich auch. Das einzige was das kann ist nerven

    EDIT: Also UAC meine ich
     
  14. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Schön und gut, aber normale Menschen lassen das an. Mit Grund!
    Wenn ich in den LOCAL_MACHINE-Bereich schreibe ohne Rechte, gibt es eine Exception. -> CURRENT_USER eignet sich daher besser. Wir wollen ja Software entwickeln, die so wenig Rechte wie möglich braucht.
     
  15. Skyfail

    Skyfail Addicted Member Inventar

    Joined:
    Mar 21, 2013
    Messages:
    792
    Likes Received:
    2
    Falls man Services ohne Admin Rechte installieren kann, einfach einen Service coden der UAC abschaltet ;)
     
  16. lolipoplol

    lolipoplol Well-Known Member Inventar

    Joined:
    Jun 24, 2013
    Messages:
    60
    Likes Received:
    0
    Ich hat mal den BKA-Trojaner (einer der ersten Versionen) und der hat sich mit so einem komischen Namen in Autostart eingetragen ->abgesicherter Modus -> registry -> aus autostart gelöscht -> pfad geöffnte .exe gelöscht :D dachte das geht hier au aber das trägt sich ja immer Versteckt in einem anderen Autostartschlüssel ein...
     
  17. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    startet meiner im abgesicherten Modus?
    Bewertung von 1 - 10 (10 = am Besten)
     
  18. lolipoplol

    lolipoplol Well-Known Member Inventar

    Joined:
    Jun 24, 2013
    Messages:
    60
    Likes Received:
    0
    Im normalen abgesicherten modus startet der aber mit eingabeaufforderung nicht :D würd dem 9 pkt geben :D ich versuch die ganze zeit aus lw den iwi zu beenden :D
     
Thread Status:
Not open for further replies.
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.