Hallo liebe Steemains,
viele Internetbenutzer möchten gerne Programme haben, die sehr toll sind oder deren Wünsche entsprechen.
Wenn dann der Preis zu hoch ist, wird dann oft auf einen Crack zurückgegriffen.
Meistens sind Cracks dazu da eine Lizenzüberprüfung zu umgehen oder die Sicherheitsmechanismen eines Programms aufzuhebeln.
Wenn der Crack dann auch anständig ist, ist das auch ohne weiteres möglich, aber meistens will der Ersteller des Cracks auch etwas davon.
Mein Versuch: Ich habe mir das nicht mehr vorhandene Programm "DeepNude" von einer relativ primitiven Quelle geladen und die Datei mal analysiert.
Wie man auf diesem Bild sehr schön sehen kann, wird die Datei in die Sandbox geladen ("Das Icon mit den zwei Zahnrädern").
Das lustige an der Sache ist, dass die zwei Dateien, die durch die Datei im Hintergrund erstellt werden direkt ein "Telefon-Icon" bekommen, dies bedeutet, die Telefonieren raus.
Die Datei auf der rechten Seite der Zahnräder ist für uns nicht so interessant, da die nur dafür da ist, das System zu infizieren und wahrscheinlich der eigentlichen Malware Administrationsrechte oder gar Systemrechte einzuräumen.
Interessant wird die Datei, die leicht links über den Zahnrädern ist, dort drauf geklickt sehen wir, dass diese Datei schon von vielen Antiviren Programmen erkannt werden.
Allein der Name "RAT" und "Noancooe" deutet darauf hin, dass wir es hier ganz wahrscheinlich mit einem "Nanocore RAT" zutun haben.
Also muss auf dem Computer, der sich hinter einer Adresse versteckt so ein Programm laufen.
Was macht ein RAT?
Ein RAT ist ein Remote Administration Tool und kann alles, was ein normaler Administrator oder Systembenutzer auch kann.
Schauen wir mal weiter:
Die Datei verbindet sich mit einer Domain:
Jackpot!!! Wir haben eine ddns.net Adresse. Da dies ein DynDns-Dienst ist, muss sich die dynamische IP des Täters immer wieder synchronisieren, damit die Verbindung mit der Domain verbunden bleibt.
Eigentlich ein gefundenes Fressen für die Behörden. Hier liefert der Täter in regelmäßigen Abständen seine neue IP Adresse den Behörden zu.
Nachdem wir die Domain bei "dnslytics.com" gesucht haben, erhalten wir die IP Adressen des Täters.
Da die RAT Nanocore den Port 1604 für Verbindungen benutzt könnte man jetzt in den Hardcore-Modus umschalten und ihm den Port 1604 auf der IP verstopfen, damit ihm dort keine Verbindungen mehr möglich sind.
Alternativ den Port mit gefakten Anmeldungen zukleistern, damit jede Sekunde vielleicht 100 neue Clients sich in der RAT-Software anmelden und wieder abmelden.
Leider ist das angreifen solcher Ports in Deutschland nicht legal, also lass es das mal sein!
Ich hoffe, ich konnte ich etwas über die ganzen Malware-Thematik zeigen.
Ich selbe habe auch früher schon Malware entwickelt und mich sehr lange damit beschäftigt.
Ich kann nur sagen, man muss echt aufpassen, welche Dateien man sich runterladen soll.
Selbst wenn die Quelle vertrauenswürdig ist kann es auch sein, dass die Quelle gehackt und die Daten infiziert wurden.
Ich wünsche euch noch einen schönen Tag.
Sponsored ( Powered by dclick )
Introducing DCLICK: An Incentivized Ad platform by Proof of Click. - Steem based AdSense.
Hello, Steemians. Let us introduce you a new Steem B...