Warum das Sample nicht überall läuft könnte daran liegen das ihr eine Sandbox benutzt was vom Trojaner überprüft wird

Mittlerweile hat es dann doch geklappt. Ich war schlicht zu ungeduldig.

Der Virenprogrammierer verfolgt offenbar eine andere Strategie. Er denkt sich nicht lange und mühsam etwas Neues aus um die Analyse zu erschweren - etwas Geniales, was nicht jeder schon kennt und im Handumdrehen ausknipst, sondern er setzt sich einfach kurz mal hin und macht eine neue Version seines Trojaners.

Hallo,
anbei mal die Daten und Erkenntnisse, die ich auf einem betroffenen System so gesammelt habe:

Trojaner
Name: Unterlagen.pif
Datum: Mittwoch, 23. Mai 2012, 21:51:40
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

"Sicherheitskopie" Trojaner
Name: AppData\Roaming\Gutfvyrtff\6E3A053CEABDDA2E2FFE.ex e
Datum: Mittwoch, 23. Mai 2012, 22:25:03
Grösse 48.128 Bytes
MD5: e7c55ac32bd694ec72200c31d6f4793e

Temp-Dateien:

Name: EABDDA2E48542D584E490078
Datum: Mittwoch, 23. Mai 2012, 22:25:18
Grösse: 1.048 Bytes
MD5: 02c4734330ebfaf54e494642a0188a35

Name: EABDDA2E48542D584E49.$02
Datum: Mittwoch, 23. Mai 2012, 22:29:59
Grösse: 2,55 MB (2.676.578 Bytes)
MD5: 2e1dbf0e11c23ef8301ac5c8617cada4

Ich gehe ganz stark davon aus, dass sich in der 2,5 MB Temp-Datei in verschlüsselter Form die neuen Dateinamen inklusive der zugehörigen Original-Dateinamen befinden. Das würde die unterschiedliche Datei-Grösse im Vergleich zu anderen betroffenen Systemen erklären. Evtl. ist dort auch der (Teil-)Schlüssel zur Verschlüsselung gespeichert. Da berichtet wurde, dass redundante Dateien nach dem Verschlüsseln unterschiedlich verschlüsselt sind und verschiedene Dateinamen haben wird wohl wahrscheinlich der Dateiname Bestandteil des Schlüssel sein oder halt ein entsprechender gespeicherter Wert.

Ich vermute die kleine Datei wird irgendwie einen heruntergeladenen oder generierten Schlüssel enthalten. Erstellungsdatum ist 15 Sekunden nach Aktivierung, bzw. Replikation des Trojaners im System. Die Dateigrösse scheint bei allen betroffenen Systemen gleich zu sein.

Vielleicht bringen diese Daten ja einen passenden Denkanstoss in die richtige Richtung.

Habe leider von Kryptographie wenig bis garkeine Ahnung und zum Debuggen fehlen mir die Möglichkeiten.

Den Decrypter-Algo habe ich mir schon in ein kleines Testprogramm implementiert. Falls es was zu testen gibt, helfe ich gerne, mit Delphi kann ich umgehen und ich habe knapp 2gb verseuchte kleine Dateien mit den zugehörigen Originalen.

Mal ne frage..
Wird die DP jetzt mit Trojanern unterwandert/verseucht?
Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.

Auch wenn ich euren frust verstehen kann.
WARUM KANN MAN DAS NICHT PRIVAT MACHEN ?

Ich muss das wissen ... Denn dann bin ich weg hier.

gruss

Es tauschen sich lediglich einige Trojanerexperten über ein neues Exemplar aus und hoffen auf Verstärkung. Wenn du ein Problem postest, möchtest du auch, dass dir geholfen wird.

Capt'n Caps und seine Shift-Crew sind wieder da...
Wie sollen sie denn dann Verstärkung finden? Wo ist dein Problem? Und wieso schreist du uns mit Versalien und Rotschrift an?



just my 2 cents...
Im Debuggen bin ich schlecht, zudem habe ich grad kein Windows zur Hand, sonst würde ich mithelfen.
Viel Erfolg noch!

Weil es angebracht ist.
Man kann sich die Daten auch wie schon gefordert privat zuschicken.

Kann die Admins nicht verstehen das hier kein Riegel vorgeschoben wird.

gruss

Wieso soll man denn einen Riegel davorschieben, dass hier einige Freiwillige den Opfern eines Trojaners helfen wollen, ihre Daten wiederzubekommen?
Ist es dein Trojaner?

• Ja? Dann stell dich in die Ecke und schäm dich.
• Nein? Wo ist dann dein Problem? Inwiefern wirst du durch diesen Hilfeakt benachteiligt? Findest du, die Leute dürfen ihre Daten nicht wiederbekommen?

@alle

Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird:

Analyse des Windows-Verschluesselungstrojaner-neue-Version

Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren (Trojaner-board u.a.) und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.

Nö, weil:

• Es beschränkt sich auf diesen Thread.
• Zitat von EWeiss:

  Oder wie muss ich das sehen wenn hier soviele Infizierte Daten hochgeladen werden.
  Werden es nicht. Es sind von einem Trojaner verschlüsselte Dateien hochgeladen.

Also passend zu heutigen Tag: DON'T PANIC