Hallo zusammen ,

Ich lese sehr gespannt das Board und bewundere die debugversuche eines Trojaners .
Ich habe mitlerweile den 2. Verseuchten Rechner mit der Variante "vXoUpjqDongtDEngOtpo" einen mit XP und einem mit Vista.
Beim überprüfen der Systeme habe ich festgestellt, zum Zeitpunkt des Schreiben der Datei auf den Destop "ACHTUNG-LESEN.TXT" wurden im jeweiligen TempOrdner Dateien angelegt die vielleicht was mit der verschlüsselung zu tun haben .

Trojaner 18.05.2012
File Name : Zahlschein-17.05.2012.pif
File Size : 34477 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 78ee9c318793adb145a5abdc07db8f1b
SHA1 : 15479bf89d26c2a619bb8b96363367920bd8727b
Online report : http://r.virscan.org/919f330073b829119035561df23766ca


1. Datei "Desk.$00" Inhalt "ACHTUNG-LESEN.txt"
2. Datei "1C32CBF5464548430000FC42" 1048 Byte
3. Datei "1C32CBF5464548430000.$02" Crypt oder Schlüssel für Decodierung ? ca. 5MB

Dies ist bei beiden System so nur mit einer zeitlichen Differez 17.36 Uhr u. 16.51 18.05.2012 wohl die Aktivirung des Schädlings.
Die 3. Datei hat eine Zeitdiff. von ca 5 Min zur 1. was so aussieht wie die Dauer für die verschlüsselung der Dateien.

So nun das Schlimmste Heute Morgen kommen schon wieder neue Mails mit geänderten Trojanern .
Gerneration 3 ??? Bitte nicht. Der von heute ist (NATÜRLICH NICHT) aktiviert worden und sieht laut Code nach Visual-Basic aus. Er kommt per Mail als Passwortgeschütztes Zip und in der Mail geben die dann dass PW zum entpacken mit.

Neue Version ? : 22.05.2012
File Name : Rechnung.doc .pif
File Size : 65536 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : d681dab3da9d90eed18e2e108865df38
SHA1 : a2573de8c59ed0087ad321048aa761cb1b05a89a
Online report : http://r.virscan.org/6e7595e14125014bcd50c96308c1e4be


Bei Interesse könnte ich diese Gepackt m. PW anhängen
Grüsse Rico