Warnung: Dieses Repository enthält echten, potenziell schädlichen JavaScript-Code, der als Dropper/Loader fungiert und unter Windows Script Host (WSH) operiert. Führe den Code NIEMALS auf einem produktiven System aus.
https://hibbes.github.io/Malware/
Eine allgemeinverständliche, interaktive Webseite, die den Ablauf der Malware in 8 Phasen erklärt:
- Zeitstrahl mit Gefährlichkeits-Ampel (grün → gelb → rot)
- Analogien für Nicht-Techniker ("Stell dir vor, ein Einbrecher...")
- Pseudocode in Deutsch pro Phase
- Aufklappbare technische Details für Fortgeschrittene
- Swim-Lane-Diagramm (Opfer-PC / Netzwerk / C2-Server)
- Tastatur-Navigation: Pfeiltasten + T für Technik-Details
Der Code wurde im Informatikunterricht von einem infizierten USB-Stick extrahiert. Er dient ausschließlich der Sicherheitsschulung.
| Datei | Beschreibung |
|---|---|
Malware/Original.js |
Originaler obfuskierter Schadcode (nicht ausführen!) |
Malware/Malware.js |
Kommentierte und bereinigte Version zur Analyse |
docs/index.html |
Interaktive Visualisierung (GitHub Pages) |
Der Dropper durchläuft 8 Phasen:
- Tarnung — Extreme Obfuskation: Junk-Variablen, Base64 mit eingestreutem Rauschen ("ADVANCEDOUI"), Dummy-Funktionen
- Entschlüsselung — Eigene Base64-Dekodierung mit verschleierter Look-Up-Table
- Umgebungs-Check — Prüft ob Windows Script Host vorhanden ist
- Werkzeuge — Erzeugt ActiveXObject: MSXML2.XMLHTTP, WScript.Shell, ADODB.Stream
- C2-Kontakt — Versucht HTTP GET an 6 kompromittierte Webseiten mit gefälschtem User-Agent
- Payload laden — Lädt verschlüsselte Binärdatei in den Speicher
- XOR-Entschlüsselung — Entschlüsselt mit festem Schlüssel, prüft MZ-Header und Mindestgröße
- Injektion — Speichert als
.dllin%TEMP%, startet viarundll32
- Gefahr der Ausführung: Das Ausführen von
Original.jskann zur Kompromittierung von Systemen führen - Isolation: Analysen ausschließlich in isolierten VMs mit abgeschnittenem Netzwerk durchführen
- Verantwortung: Inhalte nur für Bildungs- und Forschungszwecke verwenden