Bildungsprojekt. Dieses Repository analysiert ein echtes Schadprogramm (einen JavaScript-Dropper/Loader unter Windows Script Host) zu Aus-/Weiterbildungs- und Verteidigungszwecken. Der im Repo sichtbare Code ist entschärft (defanged) und nicht lauffähig. Bitte zuerst DISCLAIMER.md und SECURITY.md lesen.
https://hibbes.github.io/Malware/
Eine allgemeinverständliche, interaktive Webseite, die den Ablauf der Malware in 8 Phasen erklärt:
- Zeitstrahl mit Gefährlichkeits-Ampel (grün, gelb, rot)
- Analogien für Nicht-Techniker ("Stell dir vor, ein Einbrecher...")
- Pseudocode in Deutsch pro Phase
- Aufklappbare technische Details für Fortgeschrittene
- Swim-Lane-Diagramm (Opfer-PC / Netzwerk / C2-Server)
- Tastatur-Navigation: Pfeiltasten + T für Technik-Details
Der Code wurde im Informatikunterricht von einem infizierten USB-Stick extrahiert. Er dient ausschließlich der Sicherheitsschulung und der Verteidigung. Es ist nicht beabsichtigt, Straftaten zu ermöglichen oder zu fördern; jede missbräuchliche Nutzung ist untersagt. Details in DISCLAIMER.md.
| Datei | Beschreibung |
|---|---|
Malware/Malware.js |
Kommentierte Analyse-Version, entschärft (nicht lauffähig) |
Malware/Original.js |
Originaler obfuskierter Code, entschärft (nicht lauffähig), als Anschauung realer Obfuskation |
samples/sample.zip |
Unverändertes Original-Sample, verschlüsselt (Passwort: infected), nur für bewusste Analyse in isolierter VM |
docs/index.html |
Interaktive Visualisierung (GitHub Pages) |
DISCLAIMER.md, SECURITY.md |
Zweck, Rechtliches, verantwortungsvoller Umgang |
Entschärfung: Beide .js-Dateien beginnen mit einem Block, der jede COM-/Skript-Fähigkeit deaktiviert und sofort abbricht. Sie sind reiner Lesestoff und führen nichts aus. Konkrete C2-Domains (kompromittierte fremde Webseiten) sind aus Verantwortung gegenüber deren Betreibern redigiert; die vollständigen Indikatoren stecken nur im verschlüsselten Sample.
Der Dropper durchläuft 8 Phasen:
- Tarnung: Extreme Obfuskation: Junk-Variablen, Base64 mit eingestreutem Rauschen ("ADVANCEDOUI"), Dummy-Funktionen
- Entschlüsselung: Eigene Base64-Dekodierung mit verschleierter Look-Up-Table
- Umgebungs-Check: Prüft, ob Windows Script Host vorhanden ist
- Werkzeuge: Erzeugt ActiveXObject: MSXML2.XMLHTTP, WScript.Shell, ADODB.Stream
- C2-Kontakt: Versucht HTTP GET an 6 kompromittierte Webseiten (Domains redigiert) mit gefälschtem User-Agent
- Payload laden: Lädt verschlüsselte Binärdatei in den Speicher (die Payload selbst ist nicht Teil dieses Repos)
- XOR-Entschlüsselung: Entschlüsselt mit festem Schlüssel, prüft MZ-Header und Mindestgröße
- Injektion: Speichert als
.dllin%TEMP%, startet viarundll32
- Niemals ausführen. Die sichtbaren Dateien sind entschärft; das verschlüsselte Sample nur in einer isolierten, netzgetrennten VM öffnen.
- Keine Verschärfung. Keine scharfen, lauffähigen Kopien oder funktionsfähigen Payloads hinzufügen.
- Zweckbindung. Inhalte nur für Bildung, Lehre und Verteidigung. Siehe DISCLAIMER.md und SECURITY.md.