Ich möchte hier nicht auf die Diskussion eingehe, ob das nun ein richtiger Virus ist, bzw. ob ein Virenscanner ihn erkennen soll. Das ganze soll nur eine Anleitung werden wie man aus einem normalen, “bösen” Virus in einen ungefährlichen Virus umgewandelt. So einen ungefährlichen Virus kann man nehmen, um seinen Virenscanner zu testen. Sinnvoll ist dies wenn man glaubt das ein Rootkit (oder ähnliches) den Virenscanner deaktiviert hat. Natürlich könnte man dann auch den Eicar Testfile nehmen, ich jedoch glaube das langsam auch die Virenschreiber wissen, dass es den Testfile gibt und falls der Scanner “unterwandert” worden ist, er den Testfile trotzdem erkennen kann. So etwas wäre mit einem “richtigen” Virus natürlich nicht möglich, da ihn die Malware nicht kennt und daher auch nicht durchschleusen kann.
Vor allem braucht man dafür eins, einen Virus dessen Quellcode man verändern kann, also einen “Open-Source-Virus”. Natürlich gibt es auch richtige Open-Source-Viren im Internet, nur diesen sind zu kompliziert für den schnellen Zusammenbau eines Testvirus. Was ich also mit Open-Source meine ist ein nicht kompilierter Virus, diese sind meist in Sprachen wie Batch, JavaScript, HTML oder auch PHP geschrieben.
Man bekommt diese Viren (natürlich nur als Lehrmaterial 
) bei “VX Heavens” (ich werde die Adresse hier nicht verlinken, als Demonstration des “dauschen Schutzes“)
Ich habe mich nun für einen HTML Trojaner entschieden, genauer für “Trojan.HTML.FormatAll” (auch “JS/IEstart.gen” genannt).
Eigentlich ist es ja kein HTML Trojaner, denn bei McAfee heißt es
This trojan exists as script code contained in an .ASP, .HTM, .HTML, .VBS, .VBE, or .HTA file.
Das soll heißen, es ist ein VbScript, dass auch in anderen Dateien eingebettet werden kann.
Bevor man nun den Trojaner unschädlich machen kann, muss man erst etwas über ihn wissen. Da man oft bei Google nichts unter dem bei VX Heavens angegebenen Namen findet (der scheint auf der Kaspersky-Namensgebung zu basieren), habe ich den Virus entpackt und an “Virus Total” geschickt.
Dort hat habe ich dann von McAfee den Alias “JS/IEstart.gen.c” gefunden, und das ist die Seite dazu von NAI.
Was man nun über den Trojaner erfährt:
- es ist in VbScript geschrieben
- stammt aus dem Jahre 2001 (23.03.2001)
- verändert die Startseite des Internet Explorers über den Schlüssel “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page”
- das er in verschiedenen Sprachen vorliegt, z.B. .ASP, .HTM, .HTML, .VBS, .VBE, .HTA, oder mit verschiedenen Arten (.HTA, .REG) versucht die Registry zu ändern.
Nun kommt das wichtigste, das verändern des Programmes, dazu “Trojan.HTML.FormatAll” in eine Textdatei umbennen und öffnen.
Vollgende Sachen habe ich erstetzt:
- “Microsoft” durch “Linux”
- “Windows” durch “Ubuntu”
- “Internet Explorer” durch “FireFox”
- “Software” durch “Hardware”
- “vbs” durch “Delphi”
- “XXX” durch “Google”
- “SCRIPT” durch “http”
- In Zeile 4 “JavaScript” durch “KutaScript”
Eigentlich sollte nun der Virus unschädlich sein.
Das Problem an der Veränderung des Codes ist der Verlust der Erkennung von einigen Virenscanner, jedoch erkennen die wichtigsten (für mich, hier fett gedruckt) noch die Datei. Wer eine bessere Erkennungsrate haben will, sollte oben weniger Schritte ausführen (z.B. die Ersetzung “Script”)
| Datei Trojan.HTML.FormatAll.txt empfangen 2008.04.27 14:08:23 (CET) | |||
| Antivirus | Version | letzte aktualisierung | Ergebnis |
| AhnLab-V3 | 2008.4.25.2 | 2008.04.25 | JS/Exception.Exploit |
| AntiVir | 7.8.0.10 | 2008.04.25 | TR/FormatAllHTML |
| Authentium | 4.93.8 | 2008.04.27 | VBS/Format.E |
| AVG | 7.5.0.516 | 2008.04.27 | Script/Exploit |
| BitDefender | 7.2 | 2008.04.27 | JS.Trojan.Seeker.C |
| ClamAV | 0.92.1 | 2008.04.27 | Trojan.JS.Seeker |
| F-Prot | 4.4.2.54 | 2008.04.26 | VBS/Format.E |
| Ikarus | T3.1.1.26 | 2008.04.27 | Virus.JS.Exception.Exploit |
| McAfee | 5282 | 2008.04.25 | JS/IEstart.gen.c |
| Microsoft | 1.3408 | 2008.04.22 | Trojan:JS/Sillyexpl |
| Symantec | 10 | 2008.04.27 | JS.Exception.Exploit |
| TheHacker | 6.2.92.294 | 2008.04.26 | JS/Exploit-ActXComp |
| VBA32 | 3.12.6.5 | 2008.04.26 | Exploit.JS.ActiveXComponent> |
| VirusBuster | 4.3.26:9 | 2008.04.26 | JS.Formatall.D |
| Webwasher-Gateway | 6.6.2 | 2008.04.27 | Trojan.FormatAllHTML |
Der original Virus möchte im Internet Explorer ein ActiveX ausführen, dies wird jedoch automatisch geblockt.
Selbst in der niedrigsten Sicherheitsstufe möchte der IE eine Bestätigung zum Ausführen habe.
Hier der veränderte Code beim Ausführen im Internet Explorer 6 (Windows XP – Stand SP2 / 9. August 2004):
Der Virus sollte jetzt also entschärft sein, trotzdem sollte man mit ihm vorsichtig umgehen.
Wer sich nicht die Mühe machen will, den Virus selbst zu modifizieren kann sich auch von hier ein .zip Archiv downloaden, natürlich übernehmen wir keine Verantwortung für irgendwelche Schäden etc..
Auch hier wurde der “dausche Schutz” verwirklicht:
Das Passwort ist “rslog”.
Update: 28.04.2008 – 8:51
Sophos hat nun auch (nach meiner Einsendung) den Testfile erkannt
Nach erfolgter Analyse des Samples durch unser Virenlabor handelt es sich bei der eingesendeten Datei um einen Trojaner namens Troj/Formall-C. Ein IDE Update wurde veröffentlicht.
Ricksen
(nach Diktat verschollen)
0 Kommentare zu “Eigenen Testvirus basteln”