Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Klatsch und Tratsch (https://www.delphipraxis.net/34-klatsch-und-tratsch/)
-   -   Just-in-Time Virus? (https://www.delphipraxis.net/183496-just-time-virus.html)

Popov 14. Jan 2015 17:49
Just-in-Time Virus?
 
Hat jemand schon von dieser Art Schädling was gehört? Ich weiß noch nicht ob es ein Schädling ist, aber ich geh davon aus.

Letztens habe ich einen Rechner untersucht und da ist mir etwas aufgefallen. Hätte sich der Schädling nicht etwas ungeschickt angestellt, hätte ich es evtl. nicht gemerkt, aber da ich den Rechner per Remote untersucht habe, ist mir kurz ein flackern aufgefallen. Dem bin ich gleich nachgegangen.

Der Antivirus-Scann war negativ, also untersuchte ich die Prozesse im Hintergrund und da ist mir die gestartete Datei CSC.exe aufgefallen. Also suchte ich nach CS Dateien und hab etliche im Temp Ordner gefunden. Nach und nach gab es auf dem Rechner um die 20 geöffnete CSC.exe Prozesse die im Hintergrund liefen.

Kann es sein, dass hier einer statt einen Exe-Schädling auf den Rechner zu laden, einfach harmlosen Quellcode aus dem Internet läd, den kein Antivirus-Scanner als Bedrohung ansieht (ist ja nur harmloser Text), und dann mit dem Compiler, den .NET enfach mitliefert, zum Schädling kompiliert? Bei der ganzen Aktion ist ja nichts verdächtiges. Ein Programm läd Texte auf dem Internet. Harmlos. Das Programm kompiliert die Texte Just-in-Time zum Programm. Harmlos. Ergebnis Schädling?

Oder sehe ich hier etwas falsch?

WM_CLOSE 15. Jan 2015 09:05
AW: Just-in-Time Virus?
 
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.

Bernhard Geyer 15. Jan 2015 09:11
AW: Just-in-Time Virus?
 
Zitat:
Zitat von WM_CLOSE (Beitrag 1286567)
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.
Von hinten durch die Brust ins Auge also.
Ich denke auch. Solange es noch offene Gartentüren und Fenster (Flash, IE und Co.) gibt wird ein Einbrechner nicht versuchen die verschossene und gesicherte Haustüre aufbrechen.

NicoDE 15. Jan 2015 09:25
AW: Just-in-Time Virus?
 
Zitat:
Zitat von Popov (Beitrag 1286535)
Kann es sein, dass hier einer statt einen Exe-Schädling auf den Rechner zu laden, einfach harmlosen Quellcode aus dem Internet läd, den kein Antivirus-Scanner als Bedrohung ansieht (ist ja nur harmloser Text), und dann mit dem Compiler, den .NET enfach mitliefert, zum Schädling kompiliert? Bei der ganzen Aktion ist ja nichts verdächtiges. Ein Programm läd Texte auf dem Internet. Harmlos. Das Programm kompiliert die Texte Just-in-Time zum Programm. Harmlos. Ergebnis Schädling?
Warum nicht. Viren-Scanner können üblicherweise nur erkennen, was bekannt ist (Signaturen, Heuristik, "Verhaltensmuster", ...).
Die Idee ist jedenfalls nicht schlecht und wenn der Quellcode polymorph ist, dann wird auch die Erkennung des kompilierten Schädlings schwerer.
Bei fast jedem größeren AV-Anbieter kann man verdächtige Dateien hochladen...

baumina 15. Jan 2015 09:43
AW: Just-in-Time Virus?
 
Wahrscheinlicher ist dass sich ein Virus als csc.exe tarnt.

WM_CLOSE 15. Jan 2015 14:15
AW: Just-in-Time Virus?
 
Also ein intelligenter Virus, der sich selbst programmiert? :shock::shock::shock:
Das wäre beeindruckend.
Ich glaube jedenfalls nicht, dass sich jemand die Mühe machen würde Quellcode auf dem Zielrechner zu kompillieren.
Um den Haus Vergleich beizubehalten:
Das wäre als ob ein Einbrecher, der schon im Haus ist ein Fenster öffnete, um in ein anderes wieder einzusteigen.

Popov 15. Jan 2015 14:33
AW: Just-in-Time Virus?
 
Zitat:
Zitat von WM_CLOSE (Beitrag 1286567)
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.
Ein Programm das Texte aus den Internet läd, ist doch nicht böse. Warum soll er böse sein, bzw. als böse erkannt werden. Bei der heutigen Unsitte eines fast jeden Programms den User über aktuelle Updates zu informieren, tummeln sich stets ein halbes bis ein duzend Programme im Hintergrund, die nur auf Updates warten und ständig etwas aus dem Internet laden. Das ist nicht böse.


@baumina

Nein, es ist die Originaldatei.


Ich hab mir das Ganze etwas genauer angeguckt. Ich weiß nicht woher der Schädling kommt, bzw. mit welchem Programm er installiert wurde, ich hab ihn aber bis zu einem Adobe Updater zurück verfolgen können. Dieses, eigentlich ein Adobe Acrobar Reader Programm, wird von dem Windows Scheduler etwa 10 Minuten nach dem Windowsstart selbst gestartet. Danach kompiliert es kräftig. Ich hab ein kleines Tool geschrieben das überwacht wie oft es macht, das macht es alle paar Sekunden. Da es sich aber selbst schützt, startet es mehrere Versionen von sich, die sich überlager, so das letztendlich alle zwei Sekunden etwas kompiliert wird.

Das es ein Schädling ist kann man evtl. daran erkennen, dass es legale, aber kostenpflichtige Programme/Tools aus dem Internet läd und gelegentlich auch startet. Welche es sind kann man im Temp Ordner sehen.

Ich kann mir nicht vorstellen, dass es Adobe macht, es ist aber eine Adobe Datei die das Programm startet. Zumindest sagen das einige Programme die erkennen können welches Programm der Starter ist.


Mir ist es zwar gelungen das Ganze abzustellen, in dem ich das Adobe Programm still gelegt habe, aber ich werde empfehlen das Windows neu aufzusetzen, da ich nicht weiß was evtl. noch im Hintergrund abläuft. Zumindest gibt es seit zwei Tagen keine Aktivitäten diesbezüglich.


EDIT:

@WM_CLOSE

Der Trick ist ja nicht auf den Rechner zu kommen, sondern unentdeckt zu kleiben.

Namenloser 15. Jan 2015 16:32
AW: Just-in-Time Virus?
 
Zitat:
Zitat von WM_CLOSE (Beitrag 1286603)
Also ein intelligenter Virus, der sich selbst programmiert? :shock::shock::shock:
Das wäre beeindruckend.
Ich glaube jedenfalls nicht, dass sich jemand die Mühe machen würde Quellcode auf dem Zielrechner zu kompillieren.
Polymorphe Viren sind nichts neues. Und dafür einen vorhandenen Compiler zu verwenden ist sicher die einfachste Lösung. Also denkbar wäre es schon.

Ralf Kaiser 16. Jan 2015 06:16
AW: Just-in-Time Virus?
 
Zitat:
Zitat von Popov (Beitrag 1286535)
Der Antivirus-Scann war negativ, also untersuchte ich die Prozesse im Hintergrund und da ist mir die gestartete Datei CSC.exe aufgefallen. Also suchte ich nach CS Dateien und hab etliche im Temp Ordner gefunden. Nach und nach gab es auf dem Rechner um die 20 geöffnete CSC.exe Prozesse die im Hintergrund liefen.
Was steht denn in den CS-Dateien drin? Hast du dir das mal angesehen?

himitsu 16. Jan 2015 07:46
AW: Just-in-Time Virus?
 
Zitat:
Zitat von Namenloser (Beitrag 1286617)
Und dafür einen vorhandenen Compiler zu verwenden ist sicher die einfachste Lösung.
Der Delphi7-"Virus".

Und dann kann man auch noch Den vom .Net benutzen,
oder einen der vielen Interpreter, ala Java, JavaScript, Batch, PowerShell usw.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz