AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 6 von 34   « Erste     456 7816     Letzte » 
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#51

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 24. Mai 2012, 15:43
wobei mir einfällt.
in der sd.7z in dem ordner bins müsstest du alle dateien drinn haben, auch die gedroppten, und da sind ja auch verschlüsselte bilder dabei.
  Mit Zitat antworten Zitat
Benutzerbild von OldGrumpy
OldGrumpy

Registriert seit: 28. Sep 2006
Ort: Sandhausen
941 Beiträge
 
Delphi 2006 Professional
 
#52

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 27. Mai 2012, 15:57
Vermutlich habt ihr das schon ausprobiert, aber ich hab nichts dazu gefunden und nicht genug Zeit, selber zu experimentieren.

Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? Ist wohl einen Versuch wert. Evtl. findet man auch die aus dem Dateinamen dekodierten Bytes in dem großen File wieder, was der Virus auf der Platte ablegt. Ich hab da weiter vorne im Thread was von 5MB gelesen
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet. " (Henning Richter)
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#53

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 03:17
@Marcu:

Falls es ein wenig hilft: Dieses Passwort scheint Maschinenunabhängig zu sein, ich habe es beim Debuggen auch gefunden:

passwort.png
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#54

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 03:20
ich lese hier mit Spannung mit (kenne einen betroffenen mit kleinunternehmen) und könnte seine recht aktuelle .pif datei zum experimentieren zurverfügung stellen.


wünsche weiterhin gutes debuggen.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#55

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 20:06
@cag83
Bitte schaue in deine Postfach

@pcnberlin
vielen Dank für die Bestätigung! Du hättest nicht vielleicht Zeit und Lust weiterzumachen ... Auf dem Trojaner Board sind alle herzlich willkommen - ganz besonders die Leute mit einem Debugger
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#56

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 20:24
Hi OldGrumpy

schade, dass du keine Zeit hast

Ich habe auch mein Glück versucht und verschiedene Möglichkeiten die mir einfielen einfach mal ausprobiert, aber leider kein Erfolg bisher. Mit Base64-Encoding habe ich keine Versuche unternommen, da ich bisher davon im Code nichts gesehen habe. Das "Raten" hab ich auch aufgegeben - da hatte ich kein Glück - jetzt mach ichs halt auf die harte Tour und übersetze Stück für Stück zurück. Irgendwann wird der Groschen dann schon fallen

Ist der fehlende Passwortteil vielleicht der "zufällige" Dateiname? Die Dateinamen die ich bisher erwähnt gesehen habe, schauen mir irgendwie nach Base64-Encoding aus. Wenn man jetzt den Dateinamen nimmt, dekodiert und mit dem restlichen Paswortteil kombiniert, kommt ja vielleicht was brauchbares dabei raus? ..
  Mit Zitat antworten Zitat
Horst0815

Registriert seit: 23. Mai 2011
Ort: Görlitz
150 Beiträge
 
Delphi XE Starter
 
#57

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 21:29
Warum das Sample nicht überall läuft könnte daran liegen das ihr eine Sandbox benutzt was vom Trojaner überprüft wird
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#58

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 22:26
Mittlerweile hat es dann doch geklappt. Ich war schlicht zu ungeduldig.

Der Virenprogrammierer verfolgt offenbar eine andere Strategie. Er denkt sich nicht lange und mühsam etwas Neues aus um die Analyse zu erschweren - etwas Geniales, was nicht jeder schon kennt und im Handumdrehen ausknipst, sondern er setzt sich einfach kurz mal hin und macht eine neue Version seines Trojaners.
  Mit Zitat antworten Zitat
brain_

Registriert seit: 3. Sep 2007
1 Beiträge
 
#59

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 22:53
Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe:

Trojaner
Name: Unterlagen.pif
Datum: Mittwoch, 23. Mai 2012, 21:51:40
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

"Sicherheitskopie" Trojaner
Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e
Datum: Mittwoch, 23. Mai 2012, 22:25:03
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

Temp-Dateien:

Name: EABDDA2E48542D584E490078
Datum: Mittwoch, 23. Mai 2012, 22:25:18
Grösse: 1.048 Bytes
MD5: 02c4734330ebfaf54e494642a0188a35

Name: EABDDA2E48542D584E49.$02
Datum: Mittwoch, 23. Mai 2012, 22:29:59
Grösse: 2,55 MB (2.676.578 Bytes)
MD5: 2e1dbf0e11c23ef8301ac5c8617cada4

Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert.

Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein.

Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung.

Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten.

Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen.
  Mit Zitat antworten Zitat
EWeiss
(Gast)

n/a Beiträge
 
#60

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 28. Mai 2012, 23:08
Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht?
Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

Auch wenn ich euren frust verstehen kann.
WARUM KANN MAN DAS NICHT PRIVAT MACHEN ?

Ich muss das wissen ... Denn dann bin ich weg hier.

gruss
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:41 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz