Firewall Handbuch f�r LINUX 2.0 und 2.2: Trojanische Pferde der gemeinen Art: Analyse eines Programmes aus dem Internet

24.1 Analyse eines Programmes aus dem Internet

Um einfach mal zu zeigen, wie auch ein v�llig unerfahrener Administrator ein trojanisches Pferd entdecken kann, sei hier in kleinen Schritten beschrieben, wie man z.B. NEOPLANET, einem Aufsatz auf den Internet-Explorer die kleinen Schweinereien seiner Programmierer entlocken kann. NEOPLANET ist ein trojanisches Pferd - um es vorwegzunehmen. Das Verfahren ist auch auf andere Betriebssysteme anwendbar.

Wir beginnen mit der Installation von Neoplanet auf einem Rechner mit Netzwerkkarte, jedoch ohne diesen an das Netzwerk anzuschlie�en

Nach der Installation kann man Neoplanet �ber das Startmen� erreichen. Mit Hilfe der rechten Maustaste lassen wir uns �ber "Eigenschaften" das Verzeichnis der Datei Neo20.exe anzeigen. Dies ist das Programm, welches wir auf "Schweinereien" untersuchen wollen.

Wir installieren uns einen LINUX Host, den wir mit dem Arbeitsplatz - PC verbinden. Es mu� ein User angelegt werden, z.B. user1 mit dem Pa�wort: 4R5.

Man �ffnet eine DOS Shell und wechselt in das Verzeichnis des zu untersuchenden Programmes, hier ist es C:\\programme\neoplanet. Mit ftp IP-LINUX-HOST, dem Login von user01 und dem g�ltigen Pa�wort kann man nun das Programmm mit put neo20.exe auf den LINUX Host her�ber kopieren.

Nun kann man das Programm auf dem LINUX Host untersuchen:

Wir benutzen den Befehl "strings", um ASCII Zeichenketten aus dem .EXE File zu extrahieren. Der Befehl funktioniert mit ausf�hrbaren Programmen von allen Intel Betriebssystemen. Wir leiten die Ausgabe in ein File, welches wir danach mit einem Editor noch ein wenig bearbeiten:

user01@tunix:~ > strings Neo20.exe >> neo20.strings
user01@tunix:~ >

Danach �ffnen wir mit "joe" die Datei neo20.strings und k�mpfen uns mit "strg-k v" bis zum Ende der Datei vor. Alle relevanten Strings befinden sich am Ende des .EXE Files. Die Stings werden zumeist vor der Angabe des Compiler Herstellers eingeleitet, hier ist es z.B. Microsoft, an anderen F�llen k�nnte es Borland sein. Die verwendete Programmiersprache (C, C++, Basic, Pascal...) ist v�llig ohne Bedeutung, das die die fertigen .EXE Dateien kaum voneinander unterscheiden.

Mit "strg-k h" findet man eine Hilfe. Man kann nun alle Zeilen von Anfang des Files bis zum Beginn der relevanten Strings l�schen.

Untersuchen wir nun also einmal den verbleibenden Rest von neo20.strings. Kommentare und Interpretationen sind eingef�gt, Zeilen ohne Aussagekraft sind gel�scht und mit ...... gekennzeichnet. Es lohnt sich, diese Zeilen alle in Ruhe einmal genau durchzulesen, vielleicht entdecken Sie ja die E-Mail-Adresse, an die Ihre Dateien von der Festplatte versendet werden...:


...... NeoPlanet 2.0
FSOFTWARE\Microsoft\Internet Explorer\Main
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\ANIMAT
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\PICTS
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\SOUNDS
SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\MULTIMEDIA\VIDEOS
/* Das Programm verwendet die DLL�s und Teile des IE4.0, es ist ein Aufsatz
auf den Explorer. Es ist f�r Windows 95/98 und NT geeignet*/
IE Version: 
Connect to the Internet via: 
Shell Version: 
%d.%d Build %d
Win32s on Windows
Build %u
Windows 95. Windows 98. Build %d
%d.%d
Windows NT. Special Build
%s %d.%d Build %d
\StringFileInfo\040904b0\CompanyName
\StringFileInfo\040904b0\ProductName
...... /* Das Programm ermittelt die Registrierung, also Firma und User*/
%s\chanuser.neo
%s%s\chanuser.neo
%s\config.ini
%s%s\config.ini
...... /* Es liest Konfigurationsdateien, die Informationen �ber
Netzwerk- Anbindungen enthalten */
/resolver.dll?realname=%s
RNServer
www.realnames.com
Search
/* Es wendet sich an den DNS-Server www.realnames.com, um Namen im Internet
in IP - Nummern aufzul�sen, �ber die Firewall hinweg */
...
http://%s/%s
* ENHANCED BROWSING: RealName search for: %s
* ENHANCED BROWSING: looking for %s
www.%s.com
/* Das Programm verbindet sich �ber die Firewall hinweg mit seinem "HOME
Server" Es �ffnet DLL�s die ebenfalls untersucht werden sollten */ 
rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl
...... /* Hier beginnt die Sequenz der Unterprogramme, die das Programm alle
aufruft, Aus welchem Grund das Programm RAS Verbindungen sucht und startet,
ist unbekannt. Fest steht nur, da� es dann arbeitet, wenn der
Arbeitsplatz-PC hinter der Firewall mit einem Modem oder einer ISDN-Karte
ausgestattet ist. Die Informationen werden dann direkt �ber den Arbeitsplatz
PC in das Internet versandt, also ist keine Kontrolle �ber die Firewall mehr
m�glich */
Startup
CheckDefaultBrowser
rasapi32.dll
RasGetErrorStringA
RasEnumEntriesA
RasEnumConnectionsA
RasGetConnectStatusA
RasDialA
RasSetEntryDialParamsA
RasGetEntryDialParamsA
RasHangUpA
Disconnected
Connected to %s
Retry Authentication
Password Expired
Interactive
Dialup Networking not installed
Disconnecting
Not Connected
SubEntry Disconnected
SubEntry Connected
Logging On Network
Callback Complete
Authentication Started
Projected
Wait for Callback
Wait For Modem Reset
Prepare for Callback
.... Device Connected
Dialing %s
Port Opened
Opening Port
Unknown State Change
lastdialup
.... RasCreatePhonebookEntryA
RasEditPhonebookEntryA
rundll32.exe shell32.dll,Control_RunDLL modem.cpl
IsNeoPlanet
InsertImage
DoSearch
CNeo20DlgAutoProxy

/* Neoplanet hat also die PROXY-Mechanismen einprogrammiert, um �ber eine
Firewall hinweg zu arbeiten.....*/

telnet://
gopher://
ftp://
TestWnd
Personal Address Book
Windows Address Book
"%s" <%s>
Bad call to GetAddressBookFile.txt
NeoPlanet Beta Addressbook.txt
Previously Recieved Email Addresses.txt
Previously Sent Email Addresses.txt
Personal Addressbook.txt
"%s" %s
Failure loading Windows Address Book Import Manager
wabmig.exe
Import Addresses into Windows Address Book
Neoplanet now uses the Windows Address Book to store email addresses.\
 Do you want to import your addresses from the Neoplanet beta Address Book ?
email
/* Keine Ahnung mehr, was das Programm genau macht, etwas sp�ter wird sich
das R�tsel aber aufl�sen....Etwas beunruhigend, das Neoplanet mit dem
Address Book anfangen will.....*/
SOFTWARE\Clients\mail
SOFTWARE\Classes\mailto\shell\open\command
SOFTWARE\Classes\mailto\DefaultIcon
SOFTWARE\Clients\mail\%s\protocols\mailto\shell\open\command
SOFTWARE\Clients\mail\%s\protocols\mailto\DefaultIcon
SOFTWARE\Clients\mail\%s\shell\open\command
...... /* Das Programm �ffnet �ber POP und SMTP seine Verbindung in das Internet. 
Die IP - Nummern hat des den Konfigurationsfiles des InternetExplorers entnommen, nett ! */
open
pop3-server
smtp-server
NeoLex.tlx
%lu words checked, %lu errors detected, %lu words changed. UserDic.tlx
NeoLex.tlx,NeoLex.clx,Correct.tlx
/* Ein g�ltiges Pa�wort auf dem NeoMail Server ? */
UseNeomail
AsDfGhJk
pop3-pass
downloadlink
delete-messages
name
e-address
pop3-account
setuphelp
/* Die Online - Hilfe */
http://www.neoplanet.com/help/emailsettings.htm
..... Last Check:
One or more email accounts failed. Successful
/* Nun wird es interessant: NeoPlanet k�mmert sich um andere installierte
Programme, wie Pegasus Mail, Eudora, Outlook..., �ffnet alle
Konfigurationsdateien, und liest deren Inhalte. Es ist nur noch ein Frage,
wohin Neoplanet die Inhalte schickt.....Antwort kommt sp�ter !!!*/
Pegasus Mail for Windows - built-in TCP/IP Mail
Settings
Netscape Mail - 
Pegasus Mail - 
Eudora 4.0 - 
Outlook - 
Outlook Express - 
\Program Files\Netscape\Users\
\PMAIL\MAIL\Pmail.ini
\Program Files\Qualcomm\Eudora Mail\Eudora.ini
Software\Microsoft\Office\8.0\Outlook\OMI Account Manager\Accounts
Software\Microsoft\Internet Account Manager\Accounts
/* Neoplanet m�chte mehr �ber die Netscape Bookmarks erfahren, und �ffnet
die Liste, der gl�serne Mensch....*/
FileLocation
SOFTWARE\Netscape\Netscape Navigator\Bookmark List
\bookmark.htm
DirRoot
CurrentUser
SOFTWARE\Netscape\Netscape Navigator\Users
USERNAME
\Imported from Netscape
/* Neoplanet m�chte alle User dieses Arbeitsplatzes ermitteln...... */
Invalid Scheme Name
FileContents
...... /* Der Ort der Updates von Neoplanet .......damit der User auch stets die
aktuelle Version des trojanischen Pferdes installiert.....Damit der
Systemadministrator auch nicht genau weiss, woher Neoplanet die Updates
anfordert.....Neoplanet mu� die Orte selber erfragen......*/
http://neoplanet.snap.com/LMOID/mysnap/mysnap/0,160,neoplanet-0,00.html?pt.neo.br.hom.my
Error Obtaining Update. Update this software from
...... /neosetup
ftp.neoplanet.com
www.neoplanet.com
http://www.neoplanet.com/_cmd/
mailto:
error
question
info
Caught ex
importnetscapebookmarks
Register
register?
/* Der User soll sich registrieren......und die Bookmarks von Netscape
�bermitteln ? Etwas viel Informationen .....*/
ShowTour
tour
artdir
true
offline
wichita
autoupdate
/* Support f�r die neuen Internet-Channels - Der User wird informiert und
informiert den Channelserver �ber seine Bookmarks, damit Neoplanet stets
geneu im Bilde ist, wof�r der User sich interessiert ????? */
updatefixedchannels
updatespelldict
updateexe
ibpush
Did %d channels
%ld - start, %ld - End
channeltest3
channeltest2
mousetest
colortest
...... /* Die Adresse test@sushiking.com scheint eine der Adressen zu sein, an die
Neoplanet Informationen sendet. Vielleicht sollte man diese Adresse in der
Firewall filtern und untersuchen...... */ 
Automatic Testing of Neoplanet Mail Client's Queuing Functionality
Queue Mail Test message #%d
Queue Mail Test
Create 50 messages to test@sushiking.com in the Outbox?
queuemailtest
Automatic Testing of Neoplanet Mail Client's Send Functionality
%A,%B %d,%Y - %H:%M:%S
Send Mail Test message #%d
test@sushiking.com
Send Mail Test
Send 50 messages to test@sushiking.com?
sendmailtest
http://www.doubleclick.com
navigatetest
about
c:\neotest.neoscheme
...... /* Dieses Informationen sind nur f�r Arbeitspl�tze mit direktem Anschlu� an
das Internet relavant */ 
%s\neochan1.neo
http://www.neoplanet.com/channels/chanfixed.neo
Error creating user directory
C7FC0A215DE111d2841400A024D4B66A
%s\neoplanet.ini
is missing
is out of date. InternetShortcut
_NONE_
/* Neoplanet verr�t die Signatur des E-Mail anhanges. Damit l��t sich
ermitteln wer der User ist */
Email Signature.txt
%s.wav
newmail.htm
Support Issue
Support
SupportEmail
..... /* Neoplanet arbeitet mit dem in das Windows System eingebautem W�rterbuch.
 Dictionary attacks sind ausreichend bekannt, nun liefert Windows ein solches
direkt schon mit Windows aus.....*/
Neo20
dictver
dict
fixedchanver
NeoFixed
.zip
...... %s\shell\open\command
%s\shell\open\ddeexec
%s\shell\open\ddeexec\Application
%s\shell\open\ddeexec\Topic
[open("%1")]
%s\DefaultIcon
WWW_OpenURL
application/x-ftp-protocol
application/x-https-protocol
application/x-http-protocol
application/x-javaSkript
c:\neobox.htm
c:\netlog.txt
...... /* www.alexa.com ist als Hackersite bekannt......*/
http://neoplanet.alexa.com/data/...
/* W�hrend des Surfens verr�t Neoplanet �ber die Firewall hinweg alle
Informationen �ber den User, seinen Login und viele weitere Dinge (Security Indicator)....*/
%d.%d.%d.0
%d.%d.%d.%d
Security Indicator
...... /* Die Hacker haben sogar signiert......:)) */
COXSysInfo
Hacker
Johnny
BadDude
Bonesaw
Julito
Wifey
Nightshade
Friskel
Hoffman
...... System\CurrentControlSet\Services\Class\NetTrans
1500
2144
8192
...... /* Neoplanet will alles aus der Registry genau wissen.....*/
COXRegistry
HKEY_CURRENT_USER
HKEY_USERS
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
HELO 
SMTPPort
Quit
Timeout
......

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING