EXE in Linux gefahrlos analysieren/öffnen?

Moin moin,

seit einiger Zeit bekomme ich sehr merkwürdige Emails mit Anhang, die im Gegensatz zu irgendwelchen Viren offenbar direkt auf mich zugeschnitten sind. Der Anhang ist ein *.zip-Archiv, und darin eine .exe-Datei. Ich würde jetzt gerne mal sehen, was darin ist und möglicherweise dann Rückschlüsse darauf ziehen, wer mir das schickt. Kann ich unter Linux so eine Exe-Datei untersuchen, ohne daß diese mit mit Hilfe von wine u.U. die Festplatte zerledert?
Kann ich die .exe einigermaßen gefahrlos laufen lassen, wenn ich mich vorher als User mit extrem eingeschränkten Rechten anmelde, und wie sollten diese Rechte aussehen?
Vielleicht bin ich naiv, aber hat Linux vielleicht ein Programm, das mir die .exe dekompiliert, so daß eine Vorhersage getroffen werden kann, was sie tut?

Gruß
Travelhun

machs dir doch einfacher: kennst du den absender? wenn ja, dann frage ihn doch mal, ob er dir die dateien bewusst schickt. wenn nicht, dann ist es spam oder schlimmeres.
woran erkennst du eigentlich, dass die mails auf dich zugeschnitten sind?

horrido, roland

Eine andere Möglichkeit wäre Windows unter einer
VM (z.B. Qemu, Bochs, VMWare) aufzusetzen. Damit kannst Du
solche Sachen gefahrlos (bis auf für das installierte Windows) testen.

Am sichersten ist es immer solche Sachen direkt in den Müll zu schieben.

Du kannst mit YaST ein zusätzliches Benutzerkonto einrichten und es in diesem Benutzerkonto laufen lassen. WINE verlässt das Homeverzeichnis des ausführenden Benutzers nicht, wenn überhaupt, dann nur in Richtung /tmp oder /var/tmp, aber diese Dateien sind nicht gefährlich, Du kannst sie auch einfach hinterher löschen, falls welche erzeugt wurden.

Ich vermute allerdings, dass diese Mails, auch wenn es anders aussieht, nicht auf Dich zugeschnitten sind. Wahrscheinlich sind es einfach stinknormale Viren. Dekompilieren geht grundsätzlich nicht, auch nicht mit Hilfe von Linux. Es gibt win32-Disassembler für Linux, die erzeugen aber keinen gut lesbaren Code, weil es ja nur Disassemler und keine Decompiler sind.

Ich würde diese Dateien ehrlich gesagt einfach ungesehen löschen. Auch den Absender brauchst Du nicht zu kontaktieren, der hat die Mails nämlich wahrscheinlich nicht selbst abgeschickt. Viren durchsuchen normalerweise das komplette System nach Adressen und verschicken sich dann unter einer der Adressen, die sie finden konnten, das ist in aller Regel nicht die richtige Adresse des Rechners, von dem sie kamen.

Ich halte Sie dewegen für auf mich zugeschnitten, weil die Absenderadresse die meinige erstaunlich gut imitiert. Ferner schlägt kein Virenscanner an (weder der von meinem Email-Postfach, noch ein eigener) und die Betreffszeile (enthält lediglich ein unterkühltes 'Öffnen') ist auf deutsch verfasst. Und das zum wiederholten Male; soetwas hatte ich schon vor ein paar Wochen, habe damals aber alles sofort gelöscht.

Den Absendcer kenne ich natürlich nicht, den möchte ich ja, wenn es geht, herausfinden, wobei ich mir Aufschlüsse darauf aus der Natur der .exe erhoffe (vielleicht eine hämische Nachricht o.Ä.).
Ich habe einen Verdacht, kann den aber so nicht bestätigen.
Würde ich den Urheber kennen, hätte ich ihn natürlich mit einem nassen Handtuch so lange um den Block gejagt, bis er mir sagt, was der Quatsch soll, aber so muß ich leider dieses Forum bemühen. Ich werd' mal mit einem restriktiven Benutzerkonto versuchen.

Gruß
Travelhun

Hi,
ich hätte noch ne Idee, wies recht einfach geht:
erstell in deinem /home nen Ordner mit nur lese-Rechten. In diesen steckst du (vielleicht besser vor der Rechtevergabe) die besagte EXE.
Jetzt richtest du in der Wineconfig ein Laufwerk ein (z.B. J), was dann auf diesen Ordner zeigt. (Evtl. erstellst du auch ne neue config (basierend auf der alten), die dann nur dieses EINE Laufwerk hernimmt.
Jetzt kannst du diese Datei gefahrlos mit Wine ausführen, ohne, dass sie irgendwas an deiner Festplatte manipulieren kann.

Sonst würde ich mir die Datei auch mal mit nem simplen Editor (z.B. Kate), oder nem Hex-Editor anschaun - denn die Sachen, die die Exe in z.B. Dialogen oder Buttons rausschreiben stehen meistens plain in den Dateien - unter anderem auch evtl. die Version des Compilers, etc.

Hi,
Man kann sich mit Wine natürlich einen Virus einziehen; z.B. wenn man den IE zum Surfen benutzt. Oder wenn man infizierte *.exe Dateien mit Wine öffnet.
Der Virus liegt aber dann nur in Wine (im Emulierten Windowssystem). Er kann dieses System weder verlassen noch von dort aus operieren. Das heißt, er kann auch nicht die Platte formatieren oder an wichtige Daten ran.
Der Virus selber kann nicht unterscheiden, ob er sich jetzt auf einer wirklichen oder Emulierten MS Plattform befindet.

Gruß,
Zaba

travelhun schrieb:

Ich halte Sie dewegen für auf mich zugeschnitten, weil die Absenderadresse die meinige erstaunlich gut imitiert. Ferner schlägt kein Virenscanner an (weder der von meinem Email-Postfach, noch ein eigener) und die Betreffszeile (enthält lediglich ein unterkühltes 'Öffnen') ist auf deutsch verfasst.

Zum Vergrößern anklicken....

"Personalisierte Texte" und EXE-im-ZIP? Sieht für mich wie die Handschrift von SOBER aus. :shock:

Es ist gut möglich, dass die Virenscanner den Virus nicht finden, weil er in der ZIP-Datei gepackt ist (darum verschickt sich SOBER in einem Archiv).

Hast du die EXE entpackt und von Hand nochmals den Virenscanner drüber laufen lassen?


Es könnte natürlich auch ein Trojanisches Pferd oder Spyware sein. :roll:

ich benutze wine nicht, aber andere Emulatoren haben doch auch Zugriff auf das lokale Netz (den man bei VMware abschalten kann). Ich hätte da zuviel Angst, daß die Datei dort irgendwelchen Unsinn anstellt (zum Beispiel mit NFS-Freigaben).

...Gefahr gebannt.

Ich habe mir nochmal den Email-Header angesehen und festgestellt, das es sich um eine gefälschte Adresse handelt (oh Überraschung). Tatsächlich kommt die Mail aus Rumänien. Offenbar ist das eine neue Masche, bei der die Versender von Viren/Würmern und sonstigem Getier eine falsche Absenderadresse wählen, die die ersten paar Buchstaben (die ersten vier in meinem Fall) der diversen Empfänger nachahmen, um Aufmerksamkeit zu erlangen und so einen Klick zu erreichen. Beispiel:
hmüller@nixda.de (und alle anderen, die mit hmül anfangen) bekommt eine Mail vom hmüldeke@irgendwas.com.

Ich habe die Mail, den Anhang und alles ratzekahl gelöscht und nichts geöffnet.

Trotzdem vielen Dank für die Hilfe.

P.S. Sorry für die späte Antwort; ich wurde über das Telefon shanghait und war bis heute auf einem Forschungsschiff.