Inkasso Trojaner unpacking ASPack

Weiter geht es mit Teil 2 dieses Blogeintrages. Wer die Vorgeschichte nicht kennt: http://nbusch.de/?x= … y:entry130619-171120
Um dieses Tutorial nachvollziehen zu können braucht ihr Grundkenntnisse über Portable Executable (PE) Dateien (also .exe ;) ) und Grundlegende Kenntnisse über Reversing.

Nun wollte ich mir die sehr seriös wirkende Rechnung von „Nico Gross Inkasso“ angucken. [Ironie]Da meine gesamten Office Tools das, anscheinend brandneue, Dateiformat .com nicht kannten und ich die Rechnung nicht sehen konnte, dachte ich, dass ich sie genau analysiere.[/Ironie]
Also dachte ich mir, schaue ich mir mal den Dateikopf an.
Für die Leute mit Linux System (Die Leerzeichen müssen mit Backshlashes escaped werden):

hd Kostenrechnung\ Niklas\ Busch\ Inkasso\ Reichelt\ GmbH\ Online.com | more 

hex.png
Huuuuuuuuuuch, was ist denn das? Ein PE Header. Wer hätte denn damit gerechnet? Spätestens jetzt war mir das klar, was mir von Anfang an klar war, die Datei ist ein Trojaner. Also startete ich meine Windows VM und schaute, was ich noch über die Datei herausfinden kann.[Read More…]

Inkasso Abmahnung mit Trojaner

Da ich vor kurzem mal wieder auf meiner Spam Email die Emails gecheckt habe fiel mir eine Mail von 12.6 besonders auf. Diese war von „Nico Gross Inkasso“ und forderte mich auf meine Rechnung über 240€ an Reichelt zu begleichen. Ich überlegte kurz und stellte sehr erstaunt fest, dass ich nichts bei Reichelt bestellt hatte. o.O Wie kam es also zu dieser Email?!
email.png
Ein Blick in die Rechnung sollte diese extrem schwierige Frage klären. Also lud ich den angehängten .zip File runter und schaute ihn mir mal an. Nach dem öffnen erschien eine weitere .zip Datei in der .zip Datei. Ich dachte schon, ich hätte es mit einer Inception .zip Datei zutun ;) In dieser zweiten .zip Datei befand sich dann jedoch endlich die entscheidende Rechnung. Also öffnete ich diese schnell um zu erfahren was los war… oder besser doch nicht? :D[Read More…]

[Tool] Adminpage Finder

Nach langer Zeit schreibe ich auch mal wieder etwas in meinen Blog ;)
Ich habe in letzter Zeit viel Java für die Uni gelernt, da ich das ab nächsten Semester brauche. Ich mag Java zwar überhaupt nicht, aber ich muss mich leider damit auseinandersetzen :(
Da in inzwischen bei dem Thema Netzwerkprogrammierung angekommen bin, dachte ich mir, dass ich bestimmt schon etwas nützliches programmieren kann. Daher habe ich diesen kleinen Adminpage Finder programmiert. Er sucht auf einer angegebenen Seite nach Login Seiten.
adminpagefinder1.png
Der Finder lädt automatisch die pages.txt die mit in dem .zip File enthalten ist. Falls man nachträglich noch Seiten hinzufügen will kann man dies über das Textfeld neben dem Add Button tun.
[Read More…]

[Firefox] Privaten Modus automatisch starten.

An vielen Stellen ist es sehr praktisch, wenn man das private surfen aktiviert, wodurch keine Cookies und Verläufe gespeichert werden. Jedoch ist es ziemlich aufwendig für jedes mal ein neues privates Fenster in Firefox zu öffnen. Daher stellt sich die Frage, wieso man nicht standardmäßig einstellt, dass Firefox sich im privaten Modus startet?!
Diese Einstellung ist extrem einfach, wenn man sie einmal gefunden hat ;).
about-config.png
Zuerst müssen wir die Config von Firefox öffnen. Dies tun wir, indem wir in der Browserzeile about:config eingeben.
[Read More…]

[Java] Einfache Eingabe (Einlesen von Daten)

Für Einsteiger in die Programmiersprache Java ist es sehr schwer eine einfache Eingabe zu realisieren. Dort bieten andere Sprachen wie z.B C++ deutlich einfachere Methoden an.
Jeodch ist es seit Java 5 auch eine relativ einfache Möglichkeit geworden Daten über die Kommandozeile einzulesen.
Hierfür wird ledeglich das Package java.util.Scanner benötigt

	import java.util.Scanner

Mit diesem Import kann man nun eine Instanz eines Scanners erzeugen, mit dem man dann relativ einfach Daten von der Kommandozeile empfangen kann.
[Read More…]