Visual Basic Forum

Hamtaro_ · Verfasst am: 18.05.2007, 18:19

Hallo liebe Gemeinde,
nachdem ich diese tutorial gelesen hatte: http://enco.silent-thunder.de/board/viewtopic.php?t=134
dachte ich bei mir, da kannst du doch mal n source von machen
und hier ist er nun.

Was geht:
#Beliebig viele Dateien
#entpackpfad aus 4 vorgaben auswählen
#verstecktes ausführen (ziemlich verbuggt)

Was nicht geht(könnt ihr aber gerne hinzufügen)
#andere Dateien als exe Dateien ausführen(da setze ich mich aber nochmal ran)
#eigene entpackpfade
Über comments würde ich mich freuen
mfg HamTar0
Link: http://tcp2p.tc.ohost.de/upload/little_filebinder_source.rar
PW: vb-x.org
_________________

Wie findet ihr meine Sig?

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Hamtaro_ · Verfasst am: 23.05.2007, 09:13

am wochenende uppe ichs nochmal....
//Edit 14:57 32.Mai///
ging doch schneller
Changelog
+Alle Dateitypen sind ausführbar

Achtung:
Delete after Run geht nicht, nehme ich in der nächsten version wahrscheinlich raus

Sobald ich mich zwischen synchronem oder asynchronem Ausführen entschieden habe(vllt auch beides)

Link: http://www.bestsharing.com/f/ithZjr280494
pw : vb-x.org
_________________

Wie findet ihr meine Sig?

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Hamtaro_ · Verfasst am: 28.05.2007, 12:34

verdammt!

hasst mich hier irgendwer?
ich lade es mal auf meinen eigenen webspace hoch!!!
(sobald ich wieder an meinen Rechner komme)
//EDIT
so:

http://tcp2p.tc.ohost.de/upload/little_filebinder_source.rar
_________________

Wie findet ihr meine Sig?

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Sorry. Hatte ganz vergessen mir den source anzusehen.

Sieht jedenfalls ganz gut aus und die Kommentare sind auch sehr nützlich.

Ich hab den Link oben im Post mal aktualisiert, damit auch andere den source schnell runterladen können.

mfg, ZiG
_________________
Wer nicht auf seine Weise denkt, denkt überhaupt nicht. (Oscar Wilde)

RedShark_ · Newbie Anmeldedatum: 11.10.2007 Beiträge: 1

Find ich toll, dass Kaspersky gleich 2 Dropper findt!!

Stub.exe - Trojan-Dropper.Win32.VB.rt
binded.exe - Trojan-Dropper.Win32.VB.rt
_________________

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Und was denkst du ist ein Binder?
Ein Binder ist ein Dropper. Und dieser source wurde schon öfter für Binder benutzt, also ist er auch von Antivir Programmen detected.
_________________
Wer nicht auf seine Weise denkt, denkt überhaupt nicht. (Oscar Wilde)

The-God-of-all_ · Verfasst am: 11.10.2007, 15:16

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Vielleicht hast du die Files einfach nur anders kompiliert oder es hat sich etwas anderes verändert.

Ist mir aber auch wayne was da jetzt ist.
Hamtaro vertrau ich da voll und ganz.
Und keiner muß die Files ausführen. Der source liegt ja sowieso bei.
_________________
Wer nicht auf seine Weise denkt, denkt überhaupt nicht. (Oscar Wilde)

Markus101_ · Newbie Anmeldedatum: 24.09.2007 Beiträge: 5

Hmm leute, ich hab ein Problem, und zwar hab bekomm ich nach dem Binden, immer wenn ich die .exe gebindete Datei starten möchte diese Meldung: Ein anderes Programm greift auf die Datei zu!

Was soll ich dagegen machen?

Wenn ich den Binder zumache, steht da irgendetwas mit Win32...

Was soll ich jetzt machen?

Ich hoffe auf schnelle antwort, danke im voraus.
_________________
mfg: Markus101

King of Chaos_ · Coder Anmeldedatum: 26.09.2007 Beiträge: 235

VBA32
Backdoor.Win32.Bifrose.aci gefunden
Ikarus
Backdoor.Win32.Bifrose.aci gefunden
Dr.Web
BackDoor.Cedrich gefunden
Norman Virus Control
W32/VBTroj.HJU gefunden

Wenn ich sachen die CLEAN sind mit dem Binder packe.

Warum kommen Bifrost meldungen ?!

glg
(nein das ist keine anspielung man sieht ja den source)

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Weil die Antiviren Hersteller genug infizierte files in die Hand bekommen haben, die mit diesem Binder oder Rip's davon gebindet wurden.

Und war wohl oft nen Bifrost.
Also werden nun auch Offsets aus den stubs als dieser oder ähnliches gewertet.
_________________
Wer nicht auf seine Weise denkt, denkt überhaupt nicht. (Oscar Wilde)

Master of Disaster_ · Newbie Anmeldedatum: 02.10.2007 Beiträge: 1

Also meiner Meinung nach ist das ganz schön infected

exe-cute_ · Poster Anmeldedatum: 21.10.2007 Beiträge: 154

das is eigentlich unnormal, das av's was finden.
hab nen eigenen filebinder geschrieben, und kein av schlägt an.
die meldung dropper kam bei mir erst auch, aber nur bei dem clienten, da dieser die stub aus ner ressourcedatei geladen hat.

MfG

ZiG_ · Überflieger Anmeldedatum: 07.03.2007 Beiträge: 1248

Habs mir mal jetzt genauer angesehen da mir dass jetzt schon auf die Nervn geht.

stub.exe
1. Nur 24kb groß. Typische Größe für kleine VB6 Projekte (native).
2. Nicht crypted. Per Hexeditor alles ersichtlich. Namen von Formen, Modulen etc.
3. Am Ende kein angefügter der Code, der darauf schließen läßt, dass die Datei mit einer anderen gebunden wurde. Keine Hinweise darauf, dass überhaupt ne zweite Datei damit gebunden wurde.
4. Wenn man den source der stub kompiliert, erhält man die selbe Dateigröße.

Binder.exe

1. Überprüft beim starten ob die stub.exe existiert und fügt diese in die Liste hinzu.
2. Es startet kein verdächtiger Process mit dieser Datei.
3. Datei ist nicht crypted. Per Hexeditor alles einsehbar.
4. Selbe Dateigröße wenn man den source kompiliert.
5. Keine Anzeichen auf angefügte Informationen oder das die Datei überhaupt mit einer anderen gebunden wurde.

binded.exe
1. Wer auf ne Datei klickt die binded.exe heißt, ist selber schuld.
2. Wurde nur mit einem rar Archiv gebunden. Es wird keine exe ausgeführt.
3. Hexcode voll einsehbar. Der Teil des Archives ist natürlich nicht sonderlich verständlich.
4. Angehängten Informationen per Hexeditor ersichtlich. Außer stub.exe nur die Datei RLPack.rar darin enthalten.
5. Kaspersky meldet keine verdächtigen Dateien in RLPack.
6. RLPack ist eine Software zum komprimieren und schützen von exe files. So dass diese natürlich weiterhin ausführbar sind.

Sourcecode
1. Kann diesen jeder einsehen
2. Ist er vollkommen harmlos und tut das was tun soll.

Und jetzt sag ich es nochmal. Der Source wurde für eine Binder benutzt/gerippt und dieser Binder selbst wurde auch schon oft verbreitet.
Denkt ihr denn, die AV Hersteller finden/bekommen eine infizierte Datei und machen sich dann die Mühe und suchen den Binder mit dem die Datei gebunden wurde?
Ne machen sie nicht. Sie untersuchen die infizierte Datei und ermitteln welcher Schadcode bzw. welcher Trojaner/Virus darin enthalten ist.
Und natürlich werden Offsets auch vom Anfangscode (der stub) gespeichert.
Der Schadcode ist ja meist crypted und kann ja auch variieren da es ja sehr viele Trojaner usw. gibt.
Und der Name hängt eben oft von der gefundenen Malware ab. Das kommt natürlich auch auf den AV Hersteller an.

Kaspersky meldet z.B. "Trojan Dropper Win32.VB.rt"

Also hört endlich auf so rumzumeckern.

Edit//
@execute

Schwachsinn, dass sowas unnormal sei.
Wenn dein Binder verteilt wird, dann wird er detected werden.

Ich hab für meinen Binder schon 3mal neue stubs verteilt und die sind alle in relativ kurzer Zeit detected gewesen.
_________________
Wer nicht auf seine Weise denkt, denkt überhaupt nicht. (Oscar Wilde)

kackb00n_ · Tutorial Leser Anmeldedatum: 07.12.2007 Beiträge: 42

ihr müsst einfach bissl an dem project ändern z.B. Declarationen nach oben tun dann isser nicht mehr detected!!
_________________

christopher.g_ · Tutorial Leser Anmeldedatum: 10.12.2007 Beiträge: 72

ist es gestattet den binder zu ändern?
_________________
remember:
ein wahrer freund ersticht dich von vorne