Firewall Handbuch für LINUX 2.0 und 2.2: Trojanische Pferde der gemeinen Art: Analyse eines Programmes aus dem Internet

24.1 Analyse eines Programmes aus dem Internet

Um einfach mal zu zeigen, wie auch ein völlig unerfahrener Administrator ein trojanisches Pferd entdecken kann, sei hier in kleinen Schritten beschrieben, wie man z.B. NEOPLANET, einem Aufsatz auf den Internet-Explorer die kleinen Schweinereien seiner Programmierer entlocken kann. NEOPLANET ist ein trojanisches Pferd - um es vorwegzunehmen. Das Verfahren ist auch auf andere Betriebssysteme anwendbar.

Wir beginnen mit der Installation von Neoplanet auf einem Rechner mit Netzwerkkarte, jedoch ohne diesen an das Netzwerk anzuschließen

Nach der Installation kann man Neoplanet über das Startmenü erreichen. Mit Hilfe der rechten Maustaste lassen wir uns über "Eigenschaften" das Verzeichnis der Datei Neo20.exe anzeigen. Dies ist das Programm, welches wir auf "Schweinereien" untersuchen wollen.

Wir installieren uns einen LINUX Host, den wir mit dem Arbeitsplatz - PC verbinden. Es muß ein User angelegt werden, z.B. user1 mit dem Paßwort: 4R5.

Man öffnet eine DOS Shell und wechselt in das Verzeichnis des zu untersuchenden Programmes, hier ist es C:\\programme\neoplanet. Mit ftp IP-LINUX-HOST, dem Login von user01 und dem gültigen Paßwort kann man nun das Programmm mit put neo20.exe auf den LINUX Host herüber kopieren.

Nun kann man das Programm auf dem LINUX Host untersuchen:

Wir benutzen den Befehl "strings", um ASCII Zeichenketten aus dem .EXE File zu extrahieren. Der Befehl funktioniert mit ausführbaren Programmen von allen Intel Betriebssystemen. Wir leiten die Ausgabe in ein File, welches wir danach mit einem Editor noch ein wenig bearbeiten:

user01@tunix:~ > strings Neo20.exe >> neo20.strings
user01@tunix:~ >

Danach öffnen wir mit "joe" die Datei neo20.strings und kämpfen uns mit "strg-k v" bis zum Ende der Datei vor. Alle relevanten Strings befinden sich am Ende des .EXE Files. Die Stings werden zumeist vor der Angabe des Compiler Herstellers eingeleitet, hier ist es z.B. Microsoft, an anderen Fällen könnte es Borland sein. Die verwendete Programmiersprache (C, C++, Basic, Pascal...) ist völlig ohne Bedeutung, das die die fertigen .EXE Dateien kaum voneinander unterscheiden.

Mit "strg-k h" findet man eine Hilfe. Man kann nun alle Zeilen von Anfang des Files bis zum Beginn der relevanten Strings löschen.

Untersuchen wir nun also einmal den verbleibenden Rest von neo20.strings. Kommentare und Interpretationen sind eingefügt, Zeilen ohne Aussagekraft sind gelöscht und mit ...... gekennzeichnet. Es lohnt sich, diese Zeilen alle in Ruhe einmal genau durchzulesen, vielleicht entdecken Sie ja die E-Mail-Adresse, an die Ihre Dateien von der Festplatte versendet werden...:


...... NeoPlanet 2.0
FSOFTWARE\Microsoft\Internet Explorer\Main
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\ANIMAT
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\PICTS
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\SOUNDS
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\VIDEOS
/* Das Programm verwendet die DLL´s und Teile des IE4.0, es ist ein Aufsatz
auf den Explorer. Es ist für Windows 95/98 und NT geeignet*/
IE Version: 
Connect to the Internet via: 
Shell Version: 
%d.%d Build %d
Win32s on Windows
Build %u
Windows 95. Windows 98. Build %d
%d.%d
Windows NT. Special Build
%s %d.%d Build %d
\StringFileInfo\040904b0\CompanyName
\StringFileInfo\040904b0\ProductName
...... /* Das Programm ermittelt die Registrierung, also Firma und User*/
%s\chanuser.neo
%s%s\chanuser.neo
%s\config.ini
%s%s\config.ini
...... /* Es liest Konfigurationsdateien, die Informationen über
Netzwerk- Anbindungen enthalten */
/resolver.dll?realname=%s
RNServer
www.realnames.com
Search
/* Es wendet sich an den DNS-Server www.realnames.com, um Namen im Internet
in IP - Nummern aufzulösen, über die Firewall hinweg */
...
http://%s/%s
* ENHANCED BROWSING: RealName search for: %s
* ENHANCED BROWSING: looking for %s
www.%s.com
/* Das Programm verbindet sich über die Firewall hinweg mit seinem "HOME
Server" Es öffnet DLL´s die ebenfalls untersucht werden sollten */ 
rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl
...... /* Hier beginnt die Sequenz der Unterprogramme, die das Programm alle
aufruft, Aus welchem Grund das Programm RAS Verbindungen sucht und startet,
ist unbekannt. Fest steht nur, daß es dann arbeitet, wenn der
Arbeitsplatz-PC hinter der Firewall mit einem Modem oder einer ISDN-Karte
ausgestattet ist. Die Informationen werden dann direkt über den Arbeitsplatz
PC in das Internet versandt, also ist keine Kontrolle über die Firewall mehr
möglich */
Startup
CheckDefaultBrowser
rasapi32.dll
RasGetErrorStringA
RasEnumEntriesA
RasEnumConnectionsA
RasGetConnectStatusA
RasDialA
RasSetEntryDialParamsA
RasGetEntryDialParamsA
RasHangUpA
Disconnected
Connected to %s
Retry Authentication
Password Expired
Interactive
Dialup Networking not installed
Disconnecting
Not Connected
SubEntry Disconnected
SubEntry Connected
Logging On Network
Callback Complete
Authentication Started
Projected
Wait for Callback
Wait For Modem Reset
Prepare for Callback
.... Device Connected
Dialing %s
Port Opened
Opening Port
Unknown State Change
lastdialup
.... RasCreatePhonebookEntryA
RasEditPhonebookEntryA
rundll32.exe shell32.dll,Control_RunDLL modem.cpl
IsNeoPlanet
InsertImage
DoSearch
CNeo20DlgAutoProxy

/* Neoplanet hat also die PROXY-Mechanismen einprogrammiert, um über eine
Firewall hinweg zu arbeiten.....*/

telnet://
gopher://
ftp://
TestWnd
Personal Address Book
Windows Address Book
"%s" <%s>
Bad call to GetAddressBookFile.txt
NeoPlanet Beta Addressbook.txt
Previously Recieved Email Addresses.txt
Previously Sent Email Addresses.txt
Personal Addressbook.txt
"%s" %s
Failure loading Windows Address Book Import Manager
wabmig.exe
Import Addresses into Windows Address Book
Neoplanet now uses the Windows Address Book to store email addresses.\
 Do you want to import your addresses from the Neoplanet beta Address Book ?
email
/* Keine Ahnung mehr, was das Programm genau macht, etwas später wird sich
das Rätsel aber auflösen....Etwas beunruhigend, das Neoplanet mit dem
Address Book anfangen will.....*/
SOFTWARE\Clients\mail
SOFTWARE\Classes\mailto\shell\open\command
SOFTWARE\Classes\mailto\DefaultIcon
SOFTWARE\Clients\mail\%s\protocols\mailto\shell\open\command
SOFTWARE\Clients\mail\%s\protocols\mailto\DefaultIcon
SOFTWARE\Clients\mail\%s\shell\open\command
...... /* Das Programm öffnet über POP und SMTP seine Verbindung in das Internet. 
Die IP - Nummern hat des den Konfigurationsfiles des InternetExplorers entnommen, nett ! */
open
pop3-server
smtp-server
NeoLex.tlx
%lu words checked, %lu errors detected, %lu words changed. UserDic.tlx
NeoLex.tlx,NeoLex.clx,Correct.tlx
/* Ein gültiges Paßwort auf dem NeoMail Server ? */
UseNeomail
AsDfGhJk
pop3-pass
downloadlink
delete-messages
name
e-address
pop3-account
setuphelp
/* Die Online - Hilfe */
http://www.neoplanet.com/help/emailsettings.htm
..... Last Check:
One or more email accounts failed. Successful
/* Nun wird es interessant: NeoPlanet kümmert sich um andere installierte
Programme, wie Pegasus Mail, Eudora, Outlook..., öffnet alle
Konfigurationsdateien, und liest deren Inhalte. Es ist nur noch ein Frage,
wohin Neoplanet die Inhalte schickt.....Antwort kommt später !!!*/
Pegasus Mail for Windows - built-in TCP/IP Mail
Settings
Netscape Mail - 
Pegasus Mail - 
Eudora 4.0 - 
Outlook - 
Outlook Express - 
\Program Files\Netscape\Users\
\PMAIL\MAIL\Pmail.ini
\Program Files\Qualcomm\Eudora Mail\Eudora.ini
Software\Microsoft\Office\8.0\Outlook\OMI Account Manager\Accounts
Software\Microsoft\Internet Account Manager\Accounts
/* Neoplanet möchte mehr über die Netscape Bookmarks erfahren, und öffnet
die Liste, der gläserne Mensch....*/
FileLocation
SOFTWARE\Netscape\Netscape Navigator\Bookmark List
\bookmark.htm
DirRoot
CurrentUser
SOFTWARE\Netscape\Netscape Navigator\Users
USERNAME
\Imported from Netscape
/* Neoplanet möchte alle User dieses Arbeitsplatzes ermitteln...... */
Invalid Scheme Name
FileContents
...... /* Der Ort der Updates von Neoplanet .......damit der User auch stets die
aktuelle Version des trojanischen Pferdes installiert.....Damit der
Systemadministrator auch nicht genau weiss, woher Neoplanet die Updates
anfordert.....Neoplanet muß die Orte selber erfragen......*/
http://neoplanet.snap.com/LMOID/mysnap/mysnap/0,160,neoplanet-0,00.html?pt.neo.br.hom.my
Error Obtaining Update. Update this software from
...... /neosetup
ftp.neoplanet.com
www.neoplanet.com
http://www.neoplanet.com/_cmd/
mailto:
error
question
info
Caught ex
importnetscapebookmarks
Register
register?
/* Der User soll sich registrieren......und die Bookmarks von Netscape
übermitteln ? Etwas viel Informationen .....*/
ShowTour
tour
artdir
true
offline
wichita
autoupdate
/* Support für die neuen Internet-Channels - Der User wird informiert und
informiert den Channelserver über seine Bookmarks, damit Neoplanet stets
geneu im Bilde ist, wofür der User sich interessiert ????? */
updatefixedchannels
updatespelldict
updateexe
ibpush
Did %d channels
%ld - start, %ld - End
channeltest3
channeltest2
mousetest
colortest
...... /* Die Adresse test@sushiking.com scheint eine der Adressen zu sein, an die
Neoplanet Informationen sendet. Vielleicht sollte man diese Adresse in der
Firewall filtern und untersuchen...... */ 
Automatic Testing of Neoplanet Mail Client's Queuing Functionality
Queue Mail Test message #%d
Queue Mail Test
Create 50 messages to test@sushiking.com in the Outbox?
queuemailtest
Automatic Testing of Neoplanet Mail Client's Send Functionality
%A,%B %d,%Y - %H:%M:%S
Send Mail Test message #%d
test@sushiking.com
Send Mail Test
Send 50 messages to test@sushiking.com?
sendmailtest
http://www.doubleclick.com
navigatetest
about
c:\neotest.neoscheme
...... /* Dieses Informationen sind nur für Arbeitsplätze mit direktem Anschluß an
das Internet relavant */ 
%s\neochan1.neo
http://www.neoplanet.com/channels/chanfixed.neo
Error creating user directory
C7FC0A215DE111d2841400A024D4B66A
%s\neoplanet.ini
is missing
is out of date. InternetShortcut
_NONE_
/* Neoplanet verrät die Signatur des E-Mail anhanges. Damit läßt sich
ermitteln wer der User ist */
Email Signature.txt
%s.wav
newmail.htm
Support Issue
Support
SupportEmail
..... /* Neoplanet arbeitet mit dem in das Windows System eingebautem Wörterbuch.
 Dictionary attacks sind ausreichend bekannt, nun liefert Windows ein solches
direkt schon mit Windows aus.....*/
Neo20
dictver
dict
fixedchanver
NeoFixed
.zip
...... %s\shell\open\command
%s\shell\open\ddeexec
%s\shell\open\ddeexec\Application
%s\shell\open\ddeexec\Topic
[open("%1")]
%s\DefaultIcon
WWW_OpenURL
application/x-ftp-protocol
application/x-https-protocol
application/x-http-protocol
application/x-javaSkript
c:\neobox.htm
c:\netlog.txt
...... /* www.alexa.com ist als Hackersite bekannt......*/
http://neoplanet.alexa.com/data/...
/* Während des Surfens verrät Neoplanet über die Firewall hinweg alle
Informationen über den User, seinen Login und viele weitere Dinge (Security Indicator)....*/
%d.%d.%d.0
%d.%d.%d.%d
Security Indicator
...... /* Die Hacker haben sogar signiert......:)) */
COXSysInfo
Hacker
Johnny
BadDude
Bonesaw
Julito
Wifey
Nightshade
Friskel
Hoffman
...... System\CurrentControlSet\Services\Class\NetTrans
1500
2144
8192
...... /* Neoplanet will alles aus der Registry genau wissen.....*/
COXRegistry
HKEY_CURRENT_USER
HKEY_USERS
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
HELO 
SMTPPort
Quit
Timeout
......

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING