Automatisierte Weiterverbreitung (Wurm)?
 

Hallo Leute,

wir haben mal wieder Projektwochen in der Schule und ich hab nun die Herausforderung einen Wurm in Delphi zu schreiben der sich automatisch in einem Netzwerk verbreiten kann/soll. Wie realisiere ich dies bestmöglich? Mit einer Indy-Verbindung ist da wohl recht wenig zu machen, da ich ja keine gegenverbindung bekommen werde. Ist dies überhaupt realisierbar, im reinen Delphi Code? Also mir ist klar, das Delphi sicherlich nicht die optimalste Sprache für so etwas ist, aber ich hoffe Hier wenigstens einen kleinen Denkanstoß bekommen zu können.

Gz ThY

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Mit deinem Lehrer würd ich mich mal gern unterhalten ... Malwareprogrammierung als Hausaufgabe. Aber ja, Würmer, Viren, Trojaner und all das ganze hübsche Zeugs lässt sich auch in Delphi realisieren. Helfen wird Dir (hoffentlich) aber niemand.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Naja letztlich geht es eh nur über unser Schulnetz. Ich selbst administriere es sogar noch halb. Es geht im Prinzip nicht darum Malware (bösartige Software) zu programmieren sondern dies als Lernprojekt zu sehen. Wie so etwas überhaupt im Netzwerk funktioniert. Ich sehe mich da auch deutlich auf der Seite der "Whitehats" und nicht als einer der mit so etwas böse Dinge verantstalten will. Es geht hier so wieso nur erstmal um die Theorie und der Denkansatz. Wir sollen uns mit dem Projekt 10 Wochen lang befassen und von der Planung bis hin zur Code-Realisierung ist es ein weiter Weg ;)


Gz ThY

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Du weißt schon, daß Malwareprogrammierung in bestimmten Gebieten der EU illegal ist, oder? Keine Ahnung wo Du genau wohnst, aber ich würd mir lieber ein Projekt aussuchen, bei dem ich nicht Gefahr laufe, daß da schwarze Autos vor meinem Haus vor fahren :P.

Ebola wäre übrigens auch ein tolles Testobjekt. Mal schauen ob ich da paar Kulturen bekomm. Is ja nur für n Schulprojekt *zwinker*. :angel:

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Den Ansatz mit der Frage nach dem Code kann ich hier nicht stehen lassen.

Aber: Wenn man mal aufdröselt, was eine Software an technischen Aspekten leisten muss, um sich selbst zu verbreiten und mit welchen Schwierigkeiten sie in gut bis mittelmäßig konfigurierten PCs zu kämpfen hat, kann dabei eine wertvolle Diskussion entstehen - ganz ohne Code.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Re: Automatisierte Weiterverbreitung (Wurm)?
 

So sehe ich das auch Daniel. Ich möchte einfach nur einen Gedankenanstoß haben.
Ich möchte hier aber eher weg von der Ethischen und Rechtlichen Diskussion. Ich publish es wenn dann so oder so als OpenSource und da kann jeder seinen eigenen Senf zu geben, ich möchte hier wirklich KEINERLEI Böse Absichten erzielen.

Im Prinzip muss ich ja erstmal davon ausgehen dass das Programm irgendwo seinen Ursprung findet (Ich bringe es auf einem USB-Stick mit und führe Ihn z.b. auf Schul-Rechner 10 aus). Dann müsste dieses Programm ("Wurm") erstmal die aktive Netzwerkkarten in dem laufenden System finden und dann die eigene IP-Adresse herausfinden (kling so weit noch recht einfach). Dann mit Hilfe der Ermittelten eigenen IP, eine gewisse IP-Range anpingen um zu testen wo potentielle Workstations stehen auf die das Programm überspringen kann. Wenn er dann als Beispiel 10 potentielle Workstations gefunden hat, macht er auf diese einen Portscan, um zu sehen durch welche "Tür" er kommen kann.

So nun bin ich mit meinem Latein erstmal am ende, da ich folgende Problematik bzw. Unwissen über folgende Dinge habe:
Über welches Protokoll könnte ich gehen, um eine solche Workstation Filepackages zu senden, ohne das es die Workstation "mitbekommt" bzw. ich auf dieser irgendetwas selbstständig machen muss? Sicherlich muss jeweils ein Port offen sein, durch das ich schlüpfen kann. Nur wie realisiere ich dies am besten?

Spontan-Idee: Wir benutzen an unseren Schulrechnern die PC-Wächter Soft/Hardware. Wodurch z.b. die Lehrer auch unsere Bildschirme sperren können. Wäre dies nicht eine gute Möglichkeit ähnliche Packages unerkannt an solche Workstations zu senden?

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Noch besser, am besten direkt mit hübscher Klickbunti GUI, mit dem Script Kiddies das Ganze dann noch hübsch anpassen können :P. So unter uns, bei manchen Dingen ist es besser, wenn man sie eher nicht öffentlich zugänglich macht.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Den allgemeinen Weg beschreibt Wikipedia doch ganz brauchbar.
Wie man konkret Euer Schulnetzwerk kompromittiert, werden wir hier aus naheliegenden Gründen nicht erörtern können. Und aus der Erörterung der Rechtsfragen kommt man auch bei aller Sachlichkeit nicht raus - sorry.

Da es sich um "Projektwochen" handelt, reicht es aus, eine künstliche Umgebung zu erzeugen, in der sich der Wurm austoben kann - zum Üben sollte dies zudem der geeignetste Ansatz sein. Der Aufbau des Schulnetzwerkes ist dabei irrelevant. Du kannst dann auch etwas leichter anfällige Wirte simulieren.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Außerdem wird es echt schwierig, solch ein Programm zu erstellen. Denn ginge es einfach, könnte jeder das machen und es gäbe Viren zu Hauf. Und wenn ein halbwegs gutes Virenprogramm auf dem Computer installiert ist, wird es deine Suche "nach einer Tür" ganz schnell erkennen.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Viele Würmer arbeiten mit Buffer overrun. D.h man sendet über das Netzwerk an einen bestimten Dienst Daten, die die vorgesehene Pufferlänge sprengen. Die Daten sind so ausbaldovert, dass am Ende jede Menge relative Jump-Befehle an den Anfang vorhanden sind.
Beim angegriffenen Dienst überschreiben die Jump-Befehle den normalen Programmcode, die CPU springt in den vorbereiteten Code.
Als Schulprojekt kannst du das völlig vergessen !!
1.) du brauchst sehr gute Assemblerkenntnisse
2.) viele Dienste wurden schon durch Updates von MS geschützt und du weisst nicht ob es überhaupt klappen kann
(wie willst du etwas programmieren, wenn du nicht weisst, ob du überhaupt eine Chance hast ??)
3.) sollte dir ein Wurm in dieser Technik gelingen, könnte sich dieser weltweit verbreiten (wie willst du verhindern, dass nicht ein Klassenkamerad den Virus nach Hause nimmt oder es über Internet entkommt ?)

Also ingesamt eine Mega Schnapsidee.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

1. Primitive Würmer, sind ziemlich trivial. Sowas hast Du in 1 - 2 Stunden implementiert.
2. Es gibt "Viren" zu Hauf. Wir haben bei uns in der Firma im letzten Jahr alleine ca. 600.000 neue Malware Unikate gezählt. Da sind die diversen Varianten noch nicht mal dabei ;). Die Prognosen für dieses Jahr gehen von ca. 800.000 - 1.200.000 aus.
3. Ein Virenscanner würde dabei keinen Pieps machen. Maximal der evtl. integrierte Behaviour Blocker würde aktiv werden. Den haben aber längst nicht alle. Allerdings würde bereits eine simple Firewall in Form eines Packetfilters helfen, wie sie z.B. seit Windows XP SP2 standardmäßig aktiv ist.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Für ein Wurm brauchst du eine Sicherheitslücke, die noch nicht gepatcht ist. Und davon gibts nicht all zu viele.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Nö, brauchst Du nicht. Du brauchst nur Social Engineering und musst den User dazu bringen Dich auszuführen. Email Würmer sind noch lange nicht tot. Bestimmte Gesellen halten sich bereits seit Jahren sehr sehr hartnäckig. Hab jeden Monat immer noch dutzende Netsky Varianten im Postfach.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Okay, für einen richtigen Wurm brauchst du sowas. DAU-Würmer sind langweilig, weil da kaum technisches Know-How drinsteckt.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Nunja, offensichtlich hast Du noch nie Malware ernsthaft analysiert. Ansonsten wärst Du vorsichtig mit solchen Aussagen.

Hybris oder auch Magistr sind um so viel eleganter und anspruchsvoller, als es ein Sasser oder Blaster je sein könnten. Beides geklaute Exploits "mit bissi was dran". Teilweise sind die selbst hinzugefügten Sachen dann auch noch so dermaßen verbuggt, daß man die Hände übern Kopf zusammen schlägt sobald man sichs anschaut. Genau genommen sind Netzwerkwürmer die wirklich Zero Day Exploits nutzen eine absolute Seltenheit. Fast alle basieren auf irgendwelchen Exploit Code Releases und das ist nicht sonderlich anspruchsvoll.

Gibt allerdings auch ein paar schöne Expemplare. SQL Slammer z.B. ist durchaus faszinierend. Langweilig, aber faszinierend. Wie ein einfaches UDP Packet das halbe Internet lahmgelegt hat ...

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Das ganze Gerede über "illegal" und "nicht zu verantworten" ist doch lächerlich. Er hat doch schon ausführlich bestätigt, dass das Projektwochenenden sind. Also ich hab bei mir zuhause auch mal ein paar Sachen ausprobiert (wohlgemerkt nur auf den Heimrechnern). Die Prinzipien von solchen Programmen sind sehr simpel, außerdem ist das auch unterhaltend bis zu einem gewissen Grad. Ich hab z.b einen Trojaner programmiert, mit dem man auf dem anderen Heimrechner Daten auslesen kann und das Cd-Laufwerk auf und zu machen kann. Ein Wurm ist natürlich eine andere Sache, Würmer sind ja im Prinzip ja nicht schädlich, sie dienen ja nur dazu den Viren und Trojanern den Weg vorzubereiten, wobei ein Virus Daten sogar richtig Schaden anstellen kann. Was genau willst du programmieren und was meinst du mit Vererbung? Normal soll der Wurm ja von Computer zu Computer springen und sich dabei vermehren, und dabei sich dabei in verschiedene Anwendungen einschleichen (Email, Irc, Office, diverse andere Anwendungen) und sie dabei so infizieren, dass die massive Verbreitung des Wurms im Mittelpunkt steht. Bis jetzt war alles ein bisschen Theoretisch, auch von den bisherigen Beiträgen und hat eher weniger mit Programmieren zu tun gehabt. :roll:
Also ein Konkretes Beispiel zu Forschungszwecken: :stupid:
Der Wurm durchsucht das Verzeichnis nach Exe-Dateien. Sobald er eine gefunden hat, Kopiert er sich in das Verzeichnis, gibt sich selbst das Icon und den Namen der Datei, bennent die Datei um und oder versteckt sie, und verknüpft sie mit der neu rein kopierten Datei, damit, wenn draufgeklickt wird, gleichzeitig der Wurm und die alte Datei ausgeführt wird. Außerdem können noch diverse andere Dateien mit ausgeführt werden.
Nun warum das ganze? :cyclops:
Der Wurm manipuliert ja eine Exe, das kann ja z.b Eine Spielexe datei sein. Wenn das "Opfer" nun die Datei startet, merkt der Virenscanner dass da was nicht stimmt. Er fragt das "Opfer" ob das zu startende Programm wirklich gestartet werden soll und dass da was nicht stimmt. Das "Opfer" nimmt an, dass da was mit dem Virenscanner nicht stimmt und startet das Spiel trotzdem. Das Spiel startet wie gewohnt, also wird er keinen Grund zur Beunruhigung sehen. Was er aber nicht weiß, dass der Start des Spieles gleichzeitig andere Anwendungen, wie zum Beispiel ein Virus oder einen Trojaner zum Leben erweckt wurden.
Das ist normal der ganze Sinn und Zweck eines Wurms; nicht dass er selbst Schaden erzeugt, sondern dass er sich rasend schnell vermehrt, klein und deswegen schwer zu finden ist und Viren und Trojanern Türen und Tor öffnet.
Ich hoffe das hilft dir jetzt mal bei deinen Projekt ein bisschen weiter.
ps: wenn man nicht weiß, wie das Böse denkt, kann man es auch nicht vernichten. Die besten Virenscanner Programmierer sind ja bekannerweise ehemalige Internetverbrecher, die von den Firmen in den Gefängnissen rekrutiert wurden.
:mrgreen:

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Ich will ja jetzt nicht sagen, dass es nicht so ist, aber
ich meinerseits kann mir wirklich nicht vorstellen, dass ein
Lehrer und sei es auch nur zu lernzwecken, Schüler damit beauftragt
einen Wurm zu "basteln" bzw. ein solches Projekt nicht ablehnt.
Erstens gibt es genug Arten, sich andereseitig das gewünschte Wissen
anzueignen, als mit einem Wurm und andererseits würde sich (so weit ich weiß)
der Lehrer damit strafbar machen, wenn er dies zulassen würde soweit ein
Internetzugang besteht und sicher dieser ggf, weiter verbreiten kann.


Edit:
Ok, da ist natürlich etwas dran :cheers:

mfG, Nico

Re: Automatisierte Weiterverbreitung (Wurm)?
 

so wie ich meinen Informatiklehrer kenne würde der auch sowas machen! :spin: :spin: :spin:
der is voll verspielt :balloon:

Re: Automatisierte Weiterverbreitung (Wurm)?
 

[OT]
Meiner würde wahrscheinlich Viren programmieren und das ganze Web verseuchen ohne das zu merken :mrgreen:
[/OT]

Re: Automatisierte Weiterverbreitung (Wurm)?
 

[ot]
Meiner würde sagen, dass das wahrscheinlich auch mit Delphi gehen müsste :roll:
[/ot]

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Reine Zeitverschwendung.
Monate lang programmieren, um in nichtmal einer Woche ein Antitool dafür zu bekommen.
Ich kann mir auch viel vorstellen,aber nicht, das so ein Projekt von einem Admin genehmigt wird,
geschweige denn, das er Dir irgendwelche Benutzerrechte geben würde, E-Mails oder Exe's ins Nirvana zu verbiegen.
Es sei denn,ihm ist langweilig.

Ich habe vor ca. 10 Jahren Internet mit AOL angefangen,da gab es den Clawfinger,
der damals schon unter Win95 viele der hier angedachten Möglichkeiten verwendete.
Portscans,Mailbombs,IRC,Exploits usw. alles alte Hüte und es war immer schön die Dinger mit nem Antitool zu der
SenderIP zurückzuschicken.

Was Du selbst im Stande bist zu tun, das trau auch jedem anderen zu.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Ach herje ... ich weiß gar nicht wo ich anfangen soll ...

Malware ist immer schädlich. Nicht schädliche Malware existiert nicht. Malware verbraucht in allen Fällen Ressourcen in Form von CPU Leistung, Bandbreite und ähnlichem, welche allesamt Geld kosten. Von den Kosten die bei professioneller Entfernung, Support und ähnlichem auftreten, will ich gar nicht beginnen. Davon abgesehen kann Malware Fehler haben. Genau genommen, hat die meiste Malware sogar soviele Fehler, daß es mittlerweile diverse Exploits für Malware gibt. Sasser ist da ein recht populärer Kandidat.

Die Aussage infizieren ist falsch. Würmer infizieren nicht, sie kopieren.

Dein Beispiel ist sinnfrei. Wieso? Naja, offensichtlich willst Du Dateien austauschen, um den User dazu zu bringen Deinen Wurm auszuführen. Aber wozu der Aufwand, wenn der Wurm längst ausgeführt wurde? Anderenfalls könnte er ja nicht die von Dir vorgeschlagenen Änderungen durchführen.

Das von Dir dargestellte Szenario ist übrigens kein Wurm, sondern ein Virus. Diese Kategorie Viren nennt man übrigens "companion virus" und stammt bereits aus alter DOS Zeit. Sollst ja nicht unwissend sterben ;).

In dem Falle wäre Dein Wurm, der ja eigentlich gar kein Wurm ist sondern ein Virus, kein Wurm bzw. Virus mehr, sondern ein sogenannter Hybrid. Genau genommen ein Wurm/Virus-Trojaner-Hybrid. Das droppen und mitstarten von diversen Anwendungen erfüllt die Kategorie der Dropper, eine Unterart der Trojaner.

Integrity Checking wird von keinem der ernst zu nehmenden AVs noch ernsthaft verwendet. Das einzige was piepsen würde, wäre evtl. Deine Firewall.

Merke:

1. Viruses infect.
2. Worms copy.
3. Trojans act.

Viren infizieren, indem sie bestehende Daten ändern. Würmer kopieren sich schlicht und ergreifend. Trojaner agieren indem sie Dinge tun, die der User nicht erwartet und die vom User nicht beabsichtigt sind. In Reinkultur findest Du diese 3 Malwareformen nur noch im Labor. Das meiste was Du derzeit findest, sind defacto Hybride. In den meisten Fällen sogenannte Bots: Wurm-Trojaner-Hybride.

Darf ich Dir ein paar Knochen brechen? Weil ich mach grade nen Erste Hilfe Kurs und wenn ich nicht genau weiß, wie man Knochen bricht, kann ich sie ja auch nicht versorgen.
Ich denke Mal Dir wird klar wie sinnbefreit Dein Argument ist. Wenn Du wissen möchtest, wie Malware funktioniert, analysier sie. Alles andere ist Bullshit und mitunter illegal.

Übrigens:
Keine ernstzunehmende AV Firma wird Leute mit VX Background einstellen. Im Endeffekt führt die Anstellung eines VXers in den meisten Fällen dazu, daß andere Firmen die Zusammenarbeit mit Dir verweigern. Nicht mehr am aktiven "Sample Exchange" teilnehmen zu können, ist ein recht großes Problem, das man nicht ohne weiteres kompensieren kann. Insbesondere dann, wenn Du auf dem Internationalen Markt bestehen willst.

Re: Automatisierte Weiterverbreitung (Wurm)?
 

Was ihr für einen Lehrer habt ^^ mach lieber ein Ddos Tool und zwing den Server in die Knie :duck:
^^ Nein, Witz.

Für einen Wurm musst du schon was von BufferOverflow verstehen. du musst ja einen Dienst mit sicherheitslücken finden, aber gerade die Schule wird das vermeiden(wollen).

finde selber ein Exploit oder lass es ^^ oder du verarscht dein Lehrer mehr oder weniger und installierst auf jedem PC dein Selbst Gecodetes Programm mit Exploit. Dann gehts,aber wir in der Schule können nicht mal Windows+R drücken o.ä. ^^ und ne batch datei schon garnicht^^


[OT]
Mein lehrer würde das in Batch schreiben ^^ :hello: da kann man ja schließlich am besten proggen^^[/OT]

Re: Automatisierte Weiterverbreitung (Wurm)?
 

wido ich glaube zu wissen in welchem berufsfeld du dich angesiedelt hast :-) bist du zufällig in einer AV schmiede tätig?