EXE in Linux gefahrlos analysieren/öffnen?

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
travelhun
Newbie
Newbie
Beiträge: 48
Registriert: 30. Aug 2004, 16:56
Wohnort: Hamburg

EXE in Linux gefahrlos analysieren/öffnen?

Beitrag von travelhun » 27. Jun 2005, 11:20

Moin moin,

seit einiger Zeit bekomme ich sehr merkwürdige Emails mit Anhang, die im Gegensatz zu irgendwelchen Viren offenbar direkt auf mich zugeschnitten sind. Der Anhang ist ein *.zip-Archiv, und darin eine .exe-Datei. Ich würde jetzt gerne mal sehen, was darin ist und möglicherweise dann Rückschlüsse darauf ziehen, wer mir das schickt. Kann ich unter Linux so eine Exe-Datei untersuchen, ohne daß diese mit mit Hilfe von wine u.U. die Festplatte zerledert?
Kann ich die .exe einigermaßen gefahrlos laufen lassen, wenn ich mich vorher als User mit extrem eingeschränkten Rechten anmelde, und wie sollten diese Rechte aussehen?
Vielleicht bin ich naiv, aber hat Linux vielleicht ein Programm, das mir die .exe dekompiliert, so daß eine Vorhersage getroffen werden kann, was sie tut?

Gruß
Travelhun

Werbung:
rolle
Guru
Guru
Beiträge: 3721
Registriert: 4. Mai 2004, 21:50
Kontaktdaten:

Beitrag von rolle » 27. Jun 2005, 14:02

machs dir doch einfacher: kennst du den absender? wenn ja, dann frage ihn doch mal, ob er dir die dateien bewusst schickt. wenn nicht, dann ist es spam oder schlimmeres.
woran erkennst du eigentlich, dass die mails auf dich zugeschnitten sind?

horrido, roland

cero
Moderator
Moderator
Beiträge: 2292
Registriert: 5. Mai 2004, 20:33
Wohnort: nähe Buchholz i.d.N.

Beitrag von cero » 27. Jun 2005, 14:11

Eine andere Möglichkeit wäre Windows unter einer
VM (z.B. Qemu, Bochs, VMWare) aufzusetzen. Damit kannst Du
solche Sachen gefahrlos (bis auf für das installierte Windows) testen.

Am sichersten ist es immer solche Sachen direkt in den Müll zu schieben.
Wissen, was man weiß,
und wissen, was man nicht weiß,
das ist wahres Wissen.
(Konfuzius)


"Auf der dunklen Seite gibt es keine Kekse, Luke! Bleib lieber hier!" - Obi-Wan Kenobi

traffic
Guru
Guru
Beiträge: 2750
Registriert: 13. Feb 2005, 05:50

Beitrag von traffic » 27. Jun 2005, 14:19

Du kannst mit YaST ein zusätzliches Benutzerkonto einrichten und es in diesem Benutzerkonto laufen lassen. WINE verlässt das Homeverzeichnis des ausführenden Benutzers nicht, wenn überhaupt, dann nur in Richtung /tmp oder /var/tmp, aber diese Dateien sind nicht gefährlich, Du kannst sie auch einfach hinterher löschen, falls welche erzeugt wurden.

Ich vermute allerdings, dass diese Mails, auch wenn es anders aussieht, nicht auf Dich zugeschnitten sind. Wahrscheinlich sind es einfach stinknormale Viren. Dekompilieren geht grundsätzlich nicht, auch nicht mit Hilfe von Linux. Es gibt win32-Disassembler für Linux, die erzeugen aber keinen gut lesbaren Code, weil es ja nur Disassemler und keine Decompiler sind.

Ich würde diese Dateien ehrlich gesagt einfach ungesehen löschen. Auch den Absender brauchst Du nicht zu kontaktieren, der hat die Mails nämlich wahrscheinlich nicht selbst abgeschickt. Viren durchsuchen normalerweise das komplette System nach Adressen und verschicken sich dann unter einer der Adressen, die sie finden konnten, das ist in aller Regel nicht die richtige Adresse des Rechners, von dem sie kamen.
openSUSE Factory - GNOME 2.32.1

Benutzeravatar
travelhun
Newbie
Newbie
Beiträge: 48
Registriert: 30. Aug 2004, 16:56
Wohnort: Hamburg

Beitrag von travelhun » 27. Jun 2005, 19:24

Ich halte Sie dewegen für auf mich zugeschnitten, weil die Absenderadresse die meinige erstaunlich gut imitiert. Ferner schlägt kein Virenscanner an (weder der von meinem Email-Postfach, noch ein eigener) und die Betreffszeile (enthält lediglich ein unterkühltes 'Öffnen') ist auf deutsch verfasst. Und das zum wiederholten Male; soetwas hatte ich schon vor ein paar Wochen, habe damals aber alles sofort gelöscht.

Den Absendcer kenne ich natürlich nicht, den möchte ich ja, wenn es geht, herausfinden, wobei ich mir Aufschlüsse darauf aus der Natur der .exe erhoffe (vielleicht eine hämische Nachricht o.Ä.).
Ich habe einen Verdacht, kann den aber so nicht bestätigen.
Würde ich den Urheber kennen, hätte ich ihn natürlich mit einem nassen Handtuch so lange um den Block gejagt, bis er mir sagt, was der Quatsch soll, aber so muß ich leider dieses Forum bemühen. Ich werd' mal mit einem restriktiven Benutzerkonto versuchen.

Gruß
Travelhun

Dr. Glastonbury
Advanced Hacker
Advanced Hacker
Beiträge: 1149
Registriert: 20. Aug 2004, 12:27
Wohnort: München
Kontaktdaten:

Beitrag von Dr. Glastonbury » 29. Jun 2005, 15:25

Hi,
ich hätte noch ne Idee, wies recht einfach geht:
erstell in deinem /home nen Ordner mit nur lese-Rechten. In diesen steckst du (vielleicht besser vor der Rechtevergabe) die besagte EXE.
Jetzt richtest du in der Wineconfig ein Laufwerk ein (z.B. J), was dann auf diesen Ordner zeigt. (Evtl. erstellst du auch ne neue config (basierend auf der alten), die dann nur dieses EINE Laufwerk hernimmt.
Jetzt kannst du diese Datei gefahrlos mit Wine ausführen, ohne, dass sie irgendwas an deiner Festplatte manipulieren kann.

Sonst würde ich mir die Datei auch mal mit nem simplen Editor (z.B. Kate), oder nem Hex-Editor anschaun - denn die Sachen, die die Exe in z.B. Dialogen oder Buttons rausschreiben stehen meistens plain in den Dateien - unter anderem auch evtl. die Version des Compilers, etc. ;)
Das Leben: hasse oder ignoriere es, lieben kannst du es nicht.

Benutzeravatar
Zaba
Member
Member
Beiträge: 59
Registriert: 13. Apr 2005, 12:38
Wohnort: München

Beitrag von Zaba » 5. Jul 2005, 14:22

Hi,
Man kann sich mit Wine natürlich einen Virus einziehen; z.B. wenn man den IE zum Surfen benutzt. Oder wenn man infizierte *.exe Dateien mit Wine öffnet.
Der Virus liegt aber dann nur in Wine (im Emulierten Windowssystem). Er kann dieses System weder verlassen noch von dort aus operieren. Das heißt, er kann auch nicht die Platte formatieren oder an wichtige Daten ran.
Der Virus selber kann nicht unterscheiden, ob er sich jetzt auf einer wirklichen oder Emulierten MS Plattform befindet.

Gruß,
Zaba

litemaster
Member
Member
Beiträge: 127
Registriert: 10. Aug 2004, 11:51

Beitrag von litemaster » 5. Jul 2005, 15:22

travelhun hat geschrieben:Ich halte Sie dewegen für auf mich zugeschnitten, weil die Absenderadresse die meinige erstaunlich gut imitiert. Ferner schlägt kein Virenscanner an (weder der von meinem Email-Postfach, noch ein eigener) und die Betreffszeile (enthält lediglich ein unterkühltes 'Öffnen') ist auf deutsch verfasst.
"Personalisierte Texte" und EXE-im-ZIP? Sieht für mich wie die Handschrift von SOBER aus. :shock:

Es ist gut möglich, dass die Virenscanner den Virus nicht finden, weil er in der ZIP-Datei gepackt ist (darum verschickt sich SOBER in einem Archiv).

Hast du die EXE entpackt und von Hand nochmals den Virenscanner drüber laufen lassen?


Es könnte natürlich auch ein Trojanisches Pferd oder Spyware sein. :roll:

Gamic
Member
Member
Beiträge: 109
Registriert: 26. Jun 2004, 15:16

Beitrag von Gamic » 8. Jul 2005, 13:47

ich benutze wine nicht, aber andere Emulatoren haben doch auch Zugriff auf das lokale Netz (den man bei VMware abschalten kann). Ich hätte da zuviel Angst, daß die Datei dort irgendwelchen Unsinn anstellt (zum Beispiel mit NFS-Freigaben).

Benutzeravatar
travelhun
Newbie
Newbie
Beiträge: 48
Registriert: 30. Aug 2004, 16:56
Wohnort: Hamburg

Gefahr erkannt...

Beitrag von travelhun » 8. Jul 2005, 19:18

...Gefahr gebannt.

Ich habe mir nochmal den Email-Header angesehen und festgestellt, das es sich um eine gefälschte Adresse handelt (oh Überraschung). Tatsächlich kommt die Mail aus Rumänien. Offenbar ist das eine neue Masche, bei der die Versender von Viren/Würmern und sonstigem Getier eine falsche Absenderadresse wählen, die die ersten paar Buchstaben (die ersten vier in meinem Fall) der diversen Empfänger nachahmen, um Aufmerksamkeit zu erlangen und so einen Klick zu erreichen. Beispiel:
hmüller@nixda.de (und alle anderen, die mit hmül anfangen) bekommt eine Mail vom hmüldeke@irgendwas.com.

Ich habe die Mail, den Anhang und alles ratzekahl gelöscht und nichts geöffnet.

Trotzdem vielen Dank für die Hilfe. :D

P.S. Sorry für die späte Antwort; ich wurde über das Telefon shanghait und war bis heute auf einem Forschungsschiff.
Gruß
Travelhun

Respect bacteria. They are the only culture some people have.

SuSE 10.0, KDE 3.4.2
AMD Athlon 2300, 1024 MB RAM
LeadTek GeForce 5200 (NVidia)
ASRock K7VT2 Motherboard mit VT8233/A/8235/8237 AC97 Audio Controller

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast