So Liebe Progger,
hier mal mein Auto R.A.T.
(Remote Administration Tool) in der Version 0.12 Beta V4
Source und Binary ist mit dabei.
Bitte akzeptiert die EULA und gebt Credits an, wenn ihr den Source benutzt/verändert etc.
Sorry File zu groß,
deshalb Rapidshare Link
[Edit BugFix: Link entfernt, Verdacht auf Schadsoftware]
Und welche schönen Funktionen hat es ?
eigentlich nicht viele bis auf:
- Clipboard Manager
- MessageBox Manager
- Uninstall Server
- Update Server
- Reverse connection
- uvm. 
Es wäre schön wenn du diese Funktionen auch erklären würdest.
ACHTUNG! Ich kann aus persönlicher erfahrung nur von der verwendung dieses Programmes abraten!
Normalerweise kenne ich mich mit der materie aus und konnte das tool, was enfach gehalten ist auch leicht bedienen.
der server ist entweder absichtlich eine "bombe" oder tut einfach nur nicht richtig seinen dienst. (ich tippe auf ersteres!)
trotzdem ein programm beta-status hat, sollte man nich davon ausgehen, dass es einem willkürlich verzeichnisse löscht!
gottseidank-waren alle daten nur im papierkorb! - so weit wie ich bis jetzt feststellen konnte.
mal davon abgesehen, dass der server keine verbindung trotz richtiger konfiguration herstellen konnte und sich
perresistent verhielt ohne das einschalten der option! - fragt sich also wer die daten gelöscht hat!? - jemand anderes zu
dem eine verbindung hergestellt wurde !?
WhiteLion: Hast du die EXE verwendet oder die AU3?
Wenn man die EXE decompiled, kommt nur eine Obfusfractete Version. (warum den Code schützen wollen, wenn man doch die AU3 mitliefert???)
Schon komisch
MfG
ich habe die beiliegenden binarys verwendt.
WhiteLion
Wenn es wirklich Beweise gibt, das dieses Programm schädlich ist, sprich Malware, dann melde dies einem Admin.
PrideRage: Beweiße? Reicht das?
$Label12 = GUICtrlCreateLabel("Best Sites:", 448, 142, 83, 23)
[/autoit]
$Label13 = GUICtrlCreateLabel("www.tr0jan.net", 448, 174, 75, 17)
$Label14 = GUICtrlCreateLabel("www.opensc.ws", 448, 198, 82, 17)
$Label15 = GUICtrlCreateLabel("www.hackhound.org", 448, 222, 103, 17)
$Label16 = GUICtrlCreateLabel("www.scenecoderz.cc", 448, 246, 107, 17)
MfG tobi_girst
PrideRage: Beweiße? Reicht das?
MfG tobi_girst
finde nicht das dies als beweis dient..
solche vorwürfe sollten gut überprüft werden.
wenn er ein solches tool geschrieben hat, überrascht es mich gar nicht,
dass er es auch auf dubiosen seiten postet.
allerdings ist dies noch kein beweis auf malware.
also ich will hier nichts unterstellen und alleine diese verlinkung auf diese seiten ist noch kein beweis, dass das tool schädlich ist.
ich kann nur das sagen was mir passiert ist... ich bin wahrlich kein PC-neuling und treibe mich auch auf solchen seiten rum.
das programm zeigt, dass der ersteller doch ein gutes grundwissen aufzuweisen scheint. ich kann mir deshalb schlecht vorstellen, dass
das löschen eines ganzen verzeichnissinhalts mit sämtlchen ordnern und dateinen jemanden als bug "passiert".
Habe den Source mal überflogen -
bin zwar nicht ganz durchgestiegen,
mir ist nur aufgefallen:
Das Teil erstellt unter Umständen:
Autostarteinträge, andere Registry-Einträge,
Kopiert sich in einen anderen Ordner unter den Namen 'svchost.exe', startet sich dort neu und führt im alten Prozess "selfdelete" aus,
...
Also, für einen R.A.T. klingt das doch verdächtig.
Ich meine - Autostart, Registry, okay. Ist noch von irgendwelchen Array-Einträgen abhängig, und unter Umständen
garnicht verkehrt.
Aber wozu soll sich das als svchost tarnen -
Ich dachte es ist ein RAT und kein Trojaner .. ?
Ich bin dafür, dass das Programm entfernt werden sollte.
Grund: Ich möchte, dass die Computer der User nicht zerstört werden.
Denn wenn solche Labels schon da stehen, und wenn es wirklich sich kopiert, und un freiwillige einträge macht,
ist es Malware.
Ich habe den Link erstmal rausgenommen. Werde mir das ganze nochmal in der Sandbox anschauen. Solange ist das Skript 'unter Verdacht'.
Wenn ich ein Ergebnis habe, werde ich das hier bekanntgeben. (Sollte es tatsächlich Schadsoftware sein, ist klar, was folgt.)
edit: Vor BugFixs Thread angefangen zu schreiben, damit ist die Sache klar.
Die Frage ist: Was ist Malware?
Mit diesem Thema befasste sich auch die Bundesregierung (Mai '07), und es wurde das Hackerparagraph geschaffen. Danach wurde die Herstellung, Verbreitung, Besitz, etc. von Hackersoftware verboten.
Ich weiß nicht, was dieses Tool tut, aber eins glaube ich NICHT: Dass es willkürlich Ordner löscht und EUCH schadet. Es ist - nach Beschreibung - als Trojaner gedacht, aber für euch, also den Einsetzenden.
Nichtsdestotrotz kann das schwere rechtliche Konsequenzen für autoit.de haben (Stichwort: Verbreitung), deshalb plädiere ich für Löschung des Anhangs und sperren des Threads.
L3viathan2142 - fights for troja.
If $array[4] = 1 And $array[3] <> 1 Then
$array[3] = 1
$array[10] = "svchost.exe"
$array[11] = "autorat"
$array[12] = @AppDataDir
EndIf
If $array[4] = 1 And @ScriptFullPath <> $path & "\" & $array[11] & "\" & $array[10] Then
If $array[3] = 1 Then
FileCopy(@ScriptFullPath, $path & "\" & $array[11] & "\" & $array[10], 9)
ShellExecute($path & "\" & $array[11] & "\" & $array[10])
_SelfDelete()
Exit
EndIf
EndIf
Auch wenn es in Bedingungen steht:
$array[10] = "svchost.exe"
zusammen mit
FileCopy(@ScriptFullPath, $path & "\" & $array[11] & "\" & $array[10], 9)
ShellExecute($path & "\" & $array[11] & "\" & $array[10])
_SelfDelete()
ist in meinen Augen ein Trojaner.
limette
Edit:
@L3viathan2142:
"Es ist - nach Beschreibung - als Trojaner gedacht, aber für euch, also den Einsetzenden."
Hm ? Ich dachte, es wurde als RAT angeboten, -
also z.B. zur Fernwartung anderer PCs. Habe selbst auch einen geschrieben, mit Passwortverschlüsselung der Daten
etc..
Kann sich mit dem Prüfen etwas hinziehen, man bekommt ja keinen freien Zugang zu diesem Rapidshare Gedöns.
Mir völlig unklar, wie man freiwillig solch einen bescheidenen "Dienst" nutzen kann. Zum Hosten gibt es doch freie Anbieter, ohne aufdringliche Werbung und mit Zugang für jedermann. (Z.B. DataFileHost)
BugFix
Danke das du den Link entfernt hast
@L3viathan2124
Wieso konsequenzen für autoit.de
Der Uploader der Datei wird bestraft, autoit.de will den "Hacker" ja nicht unterstützen.
So, nachdem ich irgendwann von Rapidshare eine Freigabe zum Download bekam, habe ich mir das mal gesaugt und durchgesehen.
Was mir auch sauer aufgestoßen ist, ist die Tarnung als "svchost.exe". Sowas zu tun, erfüllt ganz klar die Bedingungen eines Trojaners und kann daher nicht gutgeheissen werden.
Zumal mir nicht klar geworden ist, warum diese Tarnung stattfindet. 
Wirklich boshafte Absichten kann ich dem Skript bisher nicht unterstellen. Ich konnte allerdings auch nicht korrekt testen, da ich eine Remote Umgebung in meiner Sandbox nicht simulieren kann.
Aufgrund des Trojanerverhaltens, lasse ich den Link aber gesperrt.
@snify:
Ich bin mir momentan etwas unschlüssig, was ich davon halten soll. Insofern tritt "In dubio pro reo" ein. Der Link bleibt gesperrt, aber es gibt vorerst keine weiteren Folgen für dich.
Mal noch als Tipp für dich: Wenn du hier ein solch komplexes Skript einstellst, dann bitte mit ausführlicher Dokumentation. Und ich denke, es ist nicht zuviel verlangt, wenn wir dich hiermit um eine Stellungnahme zu der Trojaner Geschichte auffordern. Solltest du allerdings nicht plausibel erklären können, was das zu bedeuten hat, werden wir um eine Verwarnung nicht umhin kommen.
Das Remote Administration Tool sollte in keiner Hinsicht einen Trojaner darstellen,
natürlich wäre es möglich noch weitere Funktionen einzufügen, damit es wirklich einen Trojaner darstellt. Allerdings ist dieser RAT für mich ziemlich harmlos gehalten.
Ich kenn andere RATs die als Trojaner funktionieren und mit Rootkits, Spreading usw.
Die Binary File ist keineswegs backdoored und ich kann mir nicht vorstellen, warum mein RAT plötzlich ein ganzes Verzeichnis gelöscht haben sollte.
Außerdem steht im Source nirgendwo der Befehl FILEDLETE or DIRREMOVE etc...
Der Rat sollte einfach nur zeigen, wozu AutoIT noch fähig sein kann und dass man damit wirklich tolle Sachen programmieren kann. Das Obfuscaten hab ich schon gemacht, bevor ich überhaupt wusste, dass ich es openSource machen wollte.
Die binäre Datei und der Source sind 1:1 identisch und somit NICHT modifiziert etc.
Dass ich mich auf "HackerSeiten" rumtreibe kann ja völlig (l)egal sein. Das sind meine Seiten, die ich einfach gern empfehle, für Programmierer.
Das mit svchost.exe war völlig gelpant. Die einzelnen Codesnippets, die hier gepostet wurden waren für die Installation notwendig. Die Datei kopiert sich selbst nochmal an den angegeben Pfad und wird ausgeführt, somit ist der Server installiert und die erste Datei kann man getrost löschen, ohne das Windows dies blockt mit der Meldung "Datei kann nicht gelöscht, weil sie benutzt wird" etc...
In meinem Script weißen keine derartigen illegalen Sachen auf.
Der RAT kann nur folgende Dinge:
- Clipboard Manager zum verwalten des Zwischenspeichers
- ProcessManager zum verwalten der Prozesse
- MessageBox Manager zum anzeigen von Nachrichten
- RemoteShell zum verwalten von Windows
- Shutdown/Hibernate/Restart etc.
- Update Server um neue Einstellungen am Server vorzunehmen
Ich würde eure Aufruhr verstehen wenn ein Rootkit dabei wäre oder Spreading oder das injecten eines anderen Prozesses mit RunPE.
All diese Dinge wären mit AutoIT möglich...
Jedoch hab ich nicht diese Features dabei. Das nächste was ich daran machen wollte, ist der FileManager, ScreenCapture und eine Liste mit offenen Fenstern.
Ich hab extra noch die EULA hinzugefügt, um derartige Sachen wie hier zu vermeiden. Wem das Script nicht gefällt, der muss es auch nicht benutzen oder kann es umschreiben. Wer mit meinem RAT illegale Sachen an andere PCs rumfummelt, macht SICH strafbar und nicht ich. Deswegen hab ich die EULA hinzugefügt, und wer auf I Agree klickt ist somit einverstanden und hat meinen Vertrag somit einbewilligt.
In meinem Source kann man viele Dinge rausholen und z.B. das Filetransfer näher verstehen. Da der Link aber schon weg ist, kann ich nicht mehr viel machen. Ich kann nur froh sein, dass ich hier noch im Forum bleiben darf. Wer übrigens meiner binären Datei nicht traut, der sollte mit Anubis, Wireshark, TCPview, etc. meine binäre Datei untersuchen. Am besten OHNE EINE VMWARE, denn ich könnte ja AntiVMWare in meiner binären Datei mit versteckt haben -.-
Wie dem auch sei, mein Source gibt es noch überall anders... Wer also unbedingt nochmal den Source haben möchte, darf mir ne PM schreiben. Ich schicke dann NUR den Source und ohne binäry. Das mit svchost.exe kann ich immer noch editieren...
Soviel zu meinem Statement
EDIT: Was wäre wenn ich bei meinem RAT eine Messagebox einfüge, die die ganze Zeit offen bleibt bis ich auf OK klicke? (visible Mode). Dann wäre es eurer Meinung nach KEIN Trojaner. Aber wie sieht es dann aus, wenn einer im Source dann die Zeile löscht und KEINE Messagebox kommt?! (nicht visible Mode ganz easy) Dann ist es ein Trojaner. Also wozu denn RAT dann noch "legaler" machen, wenn er OpenSource ist?
