February 19th, 2007 by Stargazer
Malware and me
I was asked to explain why I am interested in malware. Well – why not? Other people are collecting strange things too – coins, stamps,…
The first worm I tried to understand was the well known Loveletter. As it is just a VB Script, it is very easy to understand. Why did I read it? Well… there were enough in my mailbox and obviously it wanted to be read.
I started my analysis. Every line of code I discovered more of the ways the programmer was thinking but it was way to simple to understand. So I put it away into the ‘I will have a look at it if I am bored and got nothing better to do’-folder. and forgot about analyzing it any further just until bad things started to happen on my irc network.
Tags: debug, honeypot, Malware
Posted in: Malware | No Comments »
Which GCC version did I use?
January 5th, 2007 by Stargazer
Compiling can be magic somehow. Especially if you try to reconstruct strange behaviour of a special binary. The interesting question in that case is, which gcc version was used for a particiular binary.
As GCC writes its version information, we can find it out with a simple command chain:
strings -a /path/to/binary-file | grep “GCC:” | sort -u
Posted in: IT Related stuff | No Comments »
Anti-Sandbox code with norman
November 7th, 2006 by Stargazer
Norman is not a person. Norman is our good old friend at norman.no – the sandbox, doing binary analysis.
In other words, since the Nepenthes module submit_norman it became one of the botnet kiddies greatest enemies as many nets were detected that way.
Posted in: Malware | No Comments »
Wie Malware-Schreiber ihre Software schützen
August 10th, 2006 by Stargazer
Es ist lange kein Geheimnis mehr, was man mit verschiedensten Tools im Netz erreichen kann. Denken wir nur an den Fall des Blaster-B Authors Jeffrey Lee Parson zurück: Er hat sich eine Kopie des Blaster-Wurms eingefangen und ihn mit seinem Backdoor-Programm kombiniert und schliesslich freigesetzt. Das Ergebnis war ein neuer Wurm, welcher sich schnell verbreitete und nicht sofort entdeckt wurde.
Was ich damit sagen will: Die Vielzahl meiner Virus-Samples welche ich selbst fange oder über die mwcollect Alliance beziehe sind duplikate welche verschleiert wurden. Nur… wie?
Tags: debug, protection
Posted in: Malware | No Comments »
Debugging mit gdb
May 15th, 2006 by Stargazer
Wie im Beitrag mit den Debugging-Symbols erwähnt besteht die Möglichkeit, Binaries zu debuggen, sofern die entsprechenden Informationen dazu erhalten sind. Wie dies zu geschehen hat entnehmt bitte dem entsprechenden Beitrag.
Ist das System entsprechend vorbereitet, können wir uns das Paket sys-devel/gdb emergen, welches den GNU debugger enthält. Haben wir diesen, können wir damit beginnen, einen Trace zu erstellen.
Posted in: IT Related stuff | No Comments »
Was ging denn jetzt schon wieder schief?
May 9th, 2006 by Stargazer
Backtraces, Stack-Traces oder wie man diese Teile nun bezeichnet ist eigentlich egal – Um es auf den Punkt zu bringen, wir reden von Debugging und der Interprätation von Fehlern indem wir uns den Inhalt des Stacks eines Programmes ansehen.
Tags: debug
Posted in: IT Related stuff | No Comments »
Code Obfuscation – oder wie hindere ich meinen Gegner am debuggen
April 12th, 2006 by Stargazer
Nach meinem gestrigen Ausflug mit dem Debugger habe ich mir Gedanken zum Thema Anti-Debugging gemacht und wie man es mit möglichst einfachen Mitteln bewerkstelligt, wie es das Ziel in einem Virus oder ähnlichem Konstrukt sein könnte.
Die einfachste Methode um seinen Code unleserlich zu machen ist, ihn mit einem Runtime-Packer zu behandeln. Read the rest of this entry »
Posted in: Malware | No Comments »