Wohl eher Command and Control (Server).

Wieder was dazugelernt

Hallo Marcu,
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!

Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.

Gruß Martin

Mit Wireshark an sich kein großes Problem in der VM den Link zu finden. Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...

2.000.11 ist die letzte, versucht sich nun hiermit zu verbinden:

http://www.robtex.com/dns/weusa-list.com.html#shared

Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt.

Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören):
- *BC9501FD4F4E454C4F567375
- *Desk.$00

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.

Hallo,habe vor längerer Zeit mal ein Progrämmelchen geschrieben, das versucht die Dateiversionen auszulesen.
Es ist ein Konsolenprogramm, das als Parameter den Namen der zur prüfenden Datei enthält.

Habe das Programm und einen Screenshot der Ausgabe hier angefügt, eventuell hilft es ja.

Sofern in einem Programm die FileVersion, wie für Windows typisch, enthalten ist, sollte sich in der Exe die Zeichenfolge VS_VERSION_INFO als UTF8 finden lassen, dahinter befinden sich dann die weiteren Informationen (ca. 1000 bis 2000 Byte vom Ende der Datei entfernt).

Dateien mit Namen in der Form von ~DF3348.tmp werden u. a. regelmäßig von MS-Office übriggelassen und nicht weggeräumt.

Stephan

hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.

Ich geh eh nicht davon aus, daß die sich dort kompletten Server gemietet haben.
Womöglich ist das auch noch ein gehäckter/gepaperter Server, welcher jemand ganz Anderes gehört.
Andere angreifen, denen das bestimmt nicht gefällt.

Ist doch genauso, wie man leider die eMail-Spammer nicht einfach zurück zusammen darf , so daß sie nix Weiteres mehr verschicken können.

Stimmt genau, HofMar. Version 2.000.11 injected in svchost (0x7FF955D4).

Eine ganze Reihe von Änderungen fallen im Vergleich zur Version 1.150.1 auf. Zunächst aber das Wichtigste: Der Trojaner verfährt noch immer so wie in Version 1.150.1. Die Verschlüsselung findet genau so statt, wie es im Bild "Verschlüsselungsphase" aufgemalt ist.

Die Statusdatei (ohne Dateiendung) im Temp-Verzeichnis wird mit einem anderen Passwort verschlüsselt. Um die Statusdatei entschlüsseln zu können muss ich das Programm DecryptNoExt geringfügig erweitern. Das ist nicht schwer. Die Virusdatei selbst bekommt jetzt einen Namen der von der Seriennummer der Festplatte abhängt.

Eine neue Temp-Datei mit der Endung $$0 wird erzeugt. In diese Datei werden jetzt die Bildschirmmaskenbilder direkt reingeschrieben. Der Umweg über die Cab-Datei entfällt.

In Version 2.000.11 gibt es 3 völlig neue Funktionen. (Für die Debugger: Am besten nach der Zeichenfolge "stage1#0stage2#0stage3#0" suchen. Die Funktion die direkt vor der Zeichenfolge steht und die zwei danach.). Diese Funktionen sehen erstmal furchtbar interessant aus ... dann stellt sich aber heraus, dass es sich nur um Funktionen handelt die nach dem LZW-Verfahren die heruntergeladenen Bilder dekomprimieren. Ich denke die Erpresser wollen den Virus so robuster machen, weil damit der Aufruf des externen Befehls "Extract" wegfällt der in Version 1.150.1 die CAB-Datei entpackte.

Der ganze Aufwand mit dem späten Laden der Bildschirmmaskenbilder, dient dem Zweck die Bildschirmmasken passend zur Sprache des Opfers auszuliefern. Vor dem Runterladen der Bilder wird die Sprache mit "GetSystemDefaultLangID" ermittelt. Es funktioniert jedoch momentan nicht. Egal was man eingestellt hat - es werden nur deutschsprachige Masken ausgeliefert. Vielleicht hat der Erpresser noch keine übersetzten Masken für andere Länder. Ist bestimmt nur eine Frage der Zeit bis es soweit ist. Dann kann er auch gleich den Trojaner mit Fortpflanzungsfunktion ausstatten, weil es ihm dann egal ist wenn der Trojaner sich über Landesgrenzen hinweg verbreitet.

In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:

Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi

Tja... ist wohl italienisch
Ich habe schonmal von diesem Google-Ding gehört und auch dass es übersetzen kann! Ganz ehrlich! Aber da kommt bei mir nichts Rechtes mit raus. Steht da irgendetwas wissenswertes?



VG Marcu

Hallo Ring
Klasse, dass du dich hier meldest. Im System32-Pfad findest du den Virus. Wenn nicht da, dann im Appdata-Pfad. markusg archiviert die Viren und verteilt die verschiedenen Versionen an Interessenten. Er freut sich darüber, wenn man ihm Viren schickt Besser aber gepackt und mit einem Passwort versehen.
Genau das ist der Grund dafür, dass nicht verschlüsselt wurde. Eine normale DFü-Netzwerkverbindung stellt der Trojaner zwar gegebenenfalls her - aber da in diesem Falle noch eine Software des Internetproviders notwendig ist, hatte der Trojaner keine Chance. Solange der Trojaner das Passwort nicht erfolgreich bei einem C&C-Server abliefern kann, wird nicht verschlüsselt. Glück gehabt.

Nur durch die Beschlagnahme der Passwörter wird es gelingen die Dateien zu entschlüsseln. Mir ist klar wie gering die Chance auf erfolgreiche Ermittlung ist, aber es bleibt meiner Meinung nach nichts besseres übrig.


VG
Marcu