AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Just-in-Time Virus?

Ein Thema von Popov · begonnen am 14. Jan 2015 · letzter Beitrag vom 16. Jan 2015
Antwort Antwort
Seite 1 von 2  1 2      
Popov
(Gast)

n/a Beiträge
 
#1

Just-in-Time Virus?

  Alt 14. Jan 2015, 18:49
Hat jemand schon von dieser Art Schädling was gehört? Ich weiß noch nicht ob es ein Schädling ist, aber ich geh davon aus.

Letztens habe ich einen Rechner untersucht und da ist mir etwas aufgefallen. Hätte sich der Schädling nicht etwas ungeschickt angestellt, hätte ich es evtl. nicht gemerkt, aber da ich den Rechner per Remote untersucht habe, ist mir kurz ein flackern aufgefallen. Dem bin ich gleich nachgegangen.

Der Antivirus-Scann war negativ, also untersuchte ich die Prozesse im Hintergrund und da ist mir die gestartete Datei CSC.exe aufgefallen. Also suchte ich nach CS Dateien und hab etliche im Temp Ordner gefunden. Nach und nach gab es auf dem Rechner um die 20 geöffnete CSC.exe Prozesse die im Hintergrund liefen.

Kann es sein, dass hier einer statt einen Exe-Schädling auf den Rechner zu laden, einfach harmlosen Quellcode aus dem Internet läd, den kein Antivirus-Scanner als Bedrohung ansieht (ist ja nur harmloser Text), und dann mit dem Compiler, den .NET enfach mitliefert, zum Schädling kompiliert? Bei der ganzen Aktion ist ja nichts verdächtiges. Ein Programm läd Texte auf dem Internet. Harmlos. Das Programm kompiliert die Texte Just-in-Time zum Programm. Harmlos. Ergebnis Schädling?

Oder sehe ich hier etwas falsch?
  Mit Zitat antworten Zitat
WM_CLOSE

Registriert seit: 12. Mai 2010
Ort: königsbronn
398 Beiträge
 
RAD-Studio 2009 Pro
 
#2

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 10:05
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.
Delphi programming
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#3

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 10:11
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.
Von hinten durch die Brust ins Auge also.
Ich denke auch. Solange es noch offene Gartentüren und Fenster (Flash, IE und Co.) gibt wird ein Einbrechner nicht versuchen die verschossene und gesicherte Haustüre aufbrechen.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von NicoDE
NicoDE

Registriert seit: 16. Jul 2012
Ort: Darmstadt
26 Beiträge
 
Delphi 10.3 Rio
 
#4

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 10:25
Kann es sein, dass hier einer statt einen Exe-Schädling auf den Rechner zu laden, einfach harmlosen Quellcode aus dem Internet läd, den kein Antivirus-Scanner als Bedrohung ansieht (ist ja nur harmloser Text), und dann mit dem Compiler, den .NET enfach mitliefert, zum Schädling kompiliert? Bei der ganzen Aktion ist ja nichts verdächtiges. Ein Programm läd Texte auf dem Internet. Harmlos. Das Programm kompiliert die Texte Just-in-Time zum Programm. Harmlos. Ergebnis Schädling?
Warum nicht. Viren-Scanner können üblicherweise nur erkennen, was bekannt ist (Signaturen, Heuristik, "Verhaltensmuster", ...).
Die Idee ist jedenfalls nicht schlecht und wenn der Quellcode polymorph ist, dann wird auch die Erkennung des kompilierten Schädlings schwerer.
Bei fast jedem größeren AV-Anbieter kann man verdächtige Dateien hochladen...
Nico Bendlin
  Mit Zitat antworten Zitat
Benutzerbild von baumina
baumina

Registriert seit: 5. Mai 2008
Ort: Oberschwaben
1.275 Beiträge
 
Delphi 11 Alexandria
 
#5

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 10:43
Wahrscheinlicher ist dass sich ein Virus als csc.exe tarnt.
Hinter dir gehts abwärts und vor dir steil bergauf ! (Wolfgang Ambros)
  Mit Zitat antworten Zitat
WM_CLOSE

Registriert seit: 12. Mai 2010
Ort: königsbronn
398 Beiträge
 
RAD-Studio 2009 Pro
 
#6

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 15:15
Also ein intelligenter Virus, der sich selbst programmiert?
Das wäre beeindruckend.
Ich glaube jedenfalls nicht, dass sich jemand die Mühe machen würde Quellcode auf dem Zielrechner zu kompillieren.
Um den Haus Vergleich beizubehalten:
Das wäre als ob ein Einbrecher, der schon im Haus ist ein Fenster öffnete, um in ein anderes wieder einzusteigen.
Delphi programming
  Mit Zitat antworten Zitat
Popov
(Gast)

n/a Beiträge
 
#7

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 15:33
Das ist denkbar unwahrscheinlich, da der Angreifer ja schon Code ausführen können muss, um den Compiler zu starten. Da könnte er gleich seine bösen Machenschaften tätigen ohne zuerst zu Kompillieren.
Ein Programm das Texte aus den Internet läd, ist doch nicht böse. Warum soll er böse sein, bzw. als böse erkannt werden. Bei der heutigen Unsitte eines fast jeden Programms den User über aktuelle Updates zu informieren, tummeln sich stets ein halbes bis ein duzend Programme im Hintergrund, die nur auf Updates warten und ständig etwas aus dem Internet laden. Das ist nicht böse.


@baumina

Nein, es ist die Originaldatei.


Ich hab mir das Ganze etwas genauer angeguckt. Ich weiß nicht woher der Schädling kommt, bzw. mit welchem Programm er installiert wurde, ich hab ihn aber bis zu einem Adobe Updater zurück verfolgen können. Dieses, eigentlich ein Adobe Acrobar Reader Programm, wird von dem Windows Scheduler etwa 10 Minuten nach dem Windowsstart selbst gestartet. Danach kompiliert es kräftig. Ich hab ein kleines Tool geschrieben das überwacht wie oft es macht, das macht es alle paar Sekunden. Da es sich aber selbst schützt, startet es mehrere Versionen von sich, die sich überlager, so das letztendlich alle zwei Sekunden etwas kompiliert wird.

Das es ein Schädling ist kann man evtl. daran erkennen, dass es legale, aber kostenpflichtige Programme/Tools aus dem Internet läd und gelegentlich auch startet. Welche es sind kann man im Temp Ordner sehen.

Ich kann mir nicht vorstellen, dass es Adobe macht, es ist aber eine Adobe Datei die das Programm startet. Zumindest sagen das einige Programme die erkennen können welches Programm der Starter ist.


Mir ist es zwar gelungen das Ganze abzustellen, in dem ich das Adobe Programm still gelegt habe, aber ich werde empfehlen das Windows neu aufzusetzen, da ich nicht weiß was evtl. noch im Hintergrund abläuft. Zumindest gibt es seit zwei Tagen keine Aktivitäten diesbezüglich.


EDIT:

@WM_CLOSE

Der Trick ist ja nicht auf den Rechner zu kommen, sondern unentdeckt zu kleiben.

Geändert von Popov (15. Jan 2015 um 15:44 Uhr)
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#8

AW: Just-in-Time Virus?

  Alt 15. Jan 2015, 17:32
Also ein intelligenter Virus, der sich selbst programmiert?
Das wäre beeindruckend.
Ich glaube jedenfalls nicht, dass sich jemand die Mühe machen würde Quellcode auf dem Zielrechner zu kompillieren.
Polymorphe Viren sind nichts neues. Und dafür einen vorhandenen Compiler zu verwenden ist sicher die einfachste Lösung. Also denkbar wäre es schon.
  Mit Zitat antworten Zitat
Benutzerbild von Ralf Kaiser
Ralf Kaiser

Registriert seit: 21. Mär 2005
Ort: Wuppertal
932 Beiträge
 
Delphi 10.3 Rio
 
#9

AW: Just-in-Time Virus?

  Alt 16. Jan 2015, 07:16
Der Antivirus-Scann war negativ, also untersuchte ich die Prozesse im Hintergrund und da ist mir die gestartete Datei CSC.exe aufgefallen. Also suchte ich nach CS Dateien und hab etliche im Temp Ordner gefunden. Nach und nach gab es auf dem Rechner um die 20 geöffnete CSC.exe Prozesse die im Hintergrund liefen.
Was steht denn in den CS-Dateien drin? Hast du dir das mal angesehen?
Ralf Kaiser
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.068 Beiträge
 
Delphi 12 Athens
 
#10

AW: Just-in-Time Virus?

  Alt 16. Jan 2015, 08:46
Und dafür einen vorhandenen Compiler zu verwenden ist sicher die einfachste Lösung.
Der Delphi7-"Virus".

Und dann kann man auch noch Den vom .Net benutzen,
oder einen der vielen Interpreter, ala Java, JavaScript, Batch, PowerShell usw.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:17 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz