Skip to content

hibbes/Malware

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

6 Commits
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

Malware-Analyse: JavaScript Dropper/Loader

Bildungsprojekt. Dieses Repository analysiert ein echtes Schadprogramm (einen JavaScript-Dropper/Loader unter Windows Script Host) zu Aus-/Weiterbildungs- und Verteidigungszwecken. Der im Repo sichtbare Code ist entschärft (defanged) und nicht lauffähig. Bitte zuerst DISCLAIMER.md und SECURITY.md lesen.

Interaktive Visualisierung

https://hibbes.github.io/Malware/

Eine allgemeinverständliche, interaktive Webseite, die den Ablauf der Malware in 8 Phasen erklärt:

  • Zeitstrahl mit Gefährlichkeits-Ampel (grün, gelb, rot)
  • Analogien für Nicht-Techniker ("Stell dir vor, ein Einbrecher...")
  • Pseudocode in Deutsch pro Phase
  • Aufklappbare technische Details für Fortgeschrittene
  • Swim-Lane-Diagramm (Opfer-PC / Netzwerk / C2-Server)
  • Tastatur-Navigation: Pfeiltasten + T für Technik-Details

Herkunft und Zweck

Der Code wurde im Informatikunterricht von einem infizierten USB-Stick extrahiert. Er dient ausschließlich der Sicherheitsschulung und der Verteidigung. Es ist nicht beabsichtigt, Straftaten zu ermöglichen oder zu fördern; jede missbräuchliche Nutzung ist untersagt. Details in DISCLAIMER.md.

Dateien

Datei Beschreibung
Malware/Malware.js Kommentierte Analyse-Version, entschärft (nicht lauffähig)
Malware/Original.js Originaler obfuskierter Code, entschärft (nicht lauffähig), als Anschauung realer Obfuskation
samples/sample.zip Unverändertes Original-Sample, verschlüsselt (Passwort: infected), nur für bewusste Analyse in isolierter VM
docs/index.html Interaktive Visualisierung (GitHub Pages)
DISCLAIMER.md, SECURITY.md Zweck, Rechtliches, verantwortungsvoller Umgang

Entschärfung: Beide .js-Dateien beginnen mit einem Block, der jede COM-/Skript-Fähigkeit deaktiviert und sofort abbricht. Sie sind reiner Lesestoff und führen nichts aus. Konkrete C2-Domains (kompromittierte fremde Webseiten) sind aus Verantwortung gegenüber deren Betreibern redigiert; die vollständigen Indikatoren stecken nur im verschlüsselten Sample.

Was der Code tut

Der Dropper durchläuft 8 Phasen:

  1. Tarnung: Extreme Obfuskation: Junk-Variablen, Base64 mit eingestreutem Rauschen ("ADVANCEDOUI"), Dummy-Funktionen
  2. Entschlüsselung: Eigene Base64-Dekodierung mit verschleierter Look-Up-Table
  3. Umgebungs-Check: Prüft, ob Windows Script Host vorhanden ist
  4. Werkzeuge: Erzeugt ActiveXObject: MSXML2.XMLHTTP, WScript.Shell, ADODB.Stream
  5. C2-Kontakt: Versucht HTTP GET an 6 kompromittierte Webseiten (Domains redigiert) mit gefälschtem User-Agent
  6. Payload laden: Lädt verschlüsselte Binärdatei in den Speicher (die Payload selbst ist nicht Teil dieses Repos)
  7. XOR-Entschlüsselung: Entschlüsselt mit festem Schlüssel, prüft MZ-Header und Mindestgröße
  8. Injektion: Speichert als .dll in %TEMP%, startet via rundll32

Verantwortungsvoller Umgang

  • Niemals ausführen. Die sichtbaren Dateien sind entschärft; das verschlüsselte Sample nur in einer isolierten, netzgetrennten VM öffnen.
  • Keine Verschärfung. Keine scharfen, lauffähigen Kopien oder funktionsfähigen Payloads hinzufügen.
  • Zweckbindung. Inhalte nur für Bildung, Lehre und Verteidigung. Siehe DISCLAIMER.md und SECURITY.md.

About

No description or website provided.

Topics

Resources

Security policy

Stars

0 stars

Watchers

1 watching

Forks

Releases

No releases published

Packages

 
 
 

Contributors