Ich habe jetzt alle Stückchen - bis auf eines - zusammen. Das war schwierig, weil der Virenprogrammierer für das Verschlüsseln der Benutzerdateien und für die Internetkommunikation und für die Verschlüsselung der Temp-Files jeweils verschiedene Kombinationen von MD5-Checksummen und RC4 Verschlüsselungen benutzt hat. Ich habe ständig den Faden dabei verloren was da wann für was benutzt wird, aber jetzt habe ich es sortiert.
Es fehlt ein Stück
... Ich schaue mir heute Nacht nochmal alles an um ganz sicher zu gehen. Aber ich hatte eben ein ganz klaren Blick darauf und es gibt da wenig Zweifel mehr. Am Wochenende schreibe ich auf wie es funktioniert - aber das kann ich auch ebenso sein lassen, weil es keine Daten zurückbringen wird.
Ich finde es echt super, wie Du Dich mit dem Trojaner auseinandergesetzt hast & ich weiß, dass das verdammt viel Arbeit ist und von einzelnen prinzipiell fast nicht zu leisten ist, jedenfalls nicht wenn man noch ein wenig RL nebenbei hat
. Deshalb hierfür ein großes Danke. Da wir ja an unterschiedlichen Stellen gearbeitet haben, wäre ich, wenn Du das wirklich tun möchtest an einem Bericht, "wie es funktioniert" durchaus interessiert, auch wenn es keine Daten zurückbringt.
Das ist echt traurig - ich weiß sogar wie die Katalogdatei aussieht: Alterdateiname <crlf><crlf>Neuerdateiname<crlf>FehlendesPasswor t (unter anderem genau das steckt in den TempFiles, Michael) ... und doch fehlt ein Stück um da ran zu kommen.
Mit Katalogdatei meinst Du die im %temp%-Verzeichnis mit unterschiedlicher Dateigröße (je nach zu verschlüsselndem Datenvolumen)? Hattest Du den Screenshot von meinem Memory-Dump gesehen? Das sieht doch so aus, wie das, was Du beschreibst oder? In diesem Memdump sind aber meiner Ansicht nach genau die Passwörter drin, mit denen die Dateien verschlüsselt werden. Was ich zeitlich noch nicht geschafft habe, ist rauszubekommen, wie diese Passwörter generiert werden. Es scheint zudem ja für jede Datei einen neuen Schlüssel zu geben.
Es ist schwer mich an meine Frustrationsgrenze zu bringen aber die haben es gerade geschafft.
Marcus
Was ich mich bei dem Teil ein wenig frage, warum es sich die Programmierer so verdammt schwer gemacht haben und nicht einfach asymmetrisch verschlüsselt wird und gut ist. Für jede Datei einen neuen Schlüssel ist so was von
lg