AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#1

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:03
@Michael
Hallo Michael

bestimmt hast du schon etwas aus dem unendlich großen Giftschrank von markusg bekommen nicht wahr? Es gibt verschiedene Versionen des Trojaners. Es ist glaube ich eine gute Idee wenn wir sicherstellen, dass wir nicht an verschiedenen Versionen arbeiten. Der Trojaner an dem ich arbeite meldet an seine C&C Server die Version "1.150.1" in der http Kommunikation. Deiner auch?

So ein Mist. Ich sehe gerade, dass pcnberlin Version 1.170.1 untersucht. Das ist genau das was ich vorher geschrieben habe - der Virenprogrammierer versucht gar nicht erst etwas originelles abzuliefern. Dem liegt nichts daran als geschickter Malwareprogrammierer dazustehen und von ein paar pubertierenden Jungs verehrt zu werden. Der erreicht seine Ziele einfach indem er in schneller Folge eine Version nach der anderen in die Welt setzt und weiß dabei genau dass da kaum einer die Zeit und die Mittel hat gegen anzukommen. Der macht einfach alles mit Quantität platt.


@pcnberlin

Zitat:
Übrigens habe ich noch was zu diesem ominösen "Schlüssel" herausgefunden. Der scheint hart codiert zu sein, denn er findet sich im Memory-Dump eines infizierten Rechners, der seit Infektion kein Internet hatte.
Meinst du den Teilschlüssel
Code:
732jjdnbYYSUUW7kjksk***ndhhssh
oder
Code:
QQasd123zxc
Oder habe ich etwas übersehen und es gibt noch mehr? Neee kann doch nicht sein ... noch ein paar Nächte und ich kann den Code fast auswendig. Oder etwa doch?

Zitat:
Ah, ja und noch das: Der Trojaner schreibt, wenn ich das richtig beobachtet habe nach "C:\Documents and Settings\all users\Application Data\Microsoft\Crypto\RSA".
Das folgende ist eine 1:1 Übersetzung aus dem Trojanercode:
Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Ich habe die hexadezimalen Werte im Code von #41 ersetzt. Genau diese Funktionen mit genau dieser Parametrierung stehen so im Trojanercode. Dabei handelt es sich nicht um ein Public/Privatekey Verfahren. Es gibt nur ein einziges Passwort und das verschlüsselt und entschlüsselt die Daten.

Könntest du bitte nochmal nachprüfen, ob ich da recht habe? Oder findet sich ein Freiwilliger? Pcnberlin hat gerade Kundschaft und wenig Zeit.


Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.


@markusg
Zitat:
... das die zb das tb nach der veröffendlichung des ersten entschlüsselungs programms lahm gelegt haben ...
Zumindest kann keiner sagen, dass nicht ausreichend gewarnt wurde

Ich bin immer noch hauptsächlich hier, weil ich ein kurzfristiges Ziel verfolge - nämlich die Dateien zu entschlüsseln. Ich programmiere zwar nicht mehr in Delphi aber lese hier trotzdem seit Jahren immer wieder mit und kenne daher viele der Programmierer bei DP und ihre Fähigkeiten. Falls ich mein Ziel erreiche, dann wird es hier schneller gelingen als auf dem TB. Solange kein Moderator den Kopf schüttelt versuch ich es hier weiter. Ich hoffe du verstehst es nicht falsch, Markus. Das TB-Team ist so dermaßen cool - so was kenne ich sonst nicht. Wie dort mit Stil und Know-How den Leuten geholfen wird ist für mich einzigartig. Aber hier finde ich Leute die ein tiefes Verständnis von der Funktionsweise von Programmen haben und einige haben sogar einen Debugger. Und das bringt mich schneller ans Ziel.

vg @all

Geändert von Marcu (29. Mai 2012 um 23:49 Uhr)
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#2

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:16
Hallo Marcu.

Nur eine kurze Zwischenfrage, die Version 1.150.1 des Virus, an der du arbeitest,
diese Version nimmt auch eine Umbennenung der verschlüsselten Dateien vor, korrekt?

Geändert von CAG83 (29. Mai 2012 um 23:33 Uhr)
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#3

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:40
Ja genau. und zwar nach folgendem Muster:

z.B:
shsdfgjkLKJasdHsGP

also keine Dateierweiterung mehr. Nur Groß und Kleinbuchstaben.
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#4

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:46
Ok, dann sollten die Jungs im Trojaner-Board mal die Infos updaten:

http://www.trojaner-board.de/115183-...te-umlauf.html

ich werd mal dort bescheid geben, die Versionsinfos up zu daten.

Geändert von CAG83 (29. Mai 2012 um 23:53 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#5

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:55
Hallo Marcu.

Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. Hat aber nix mehr verschlüsselt.

Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer einen Schritt vorraus.
Und da seh ich schwarz, wenn dieses Ding erstmal als Drive-By-Download** kommen sollte.


Michael


** da durfte ich mal bei einem Kundenrechner Live-Zeuge bei sein, das geht ratz-fatz ohne das man was ausrichten kann

Geändert von Michael Habbe (29. Mai 2012 um 23:57 Uhr)
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#6

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 29. Mai 2012, 23:43
@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende . Den findet man im entsprechenden Dump, ist also statisch.

Delphi-Quellcode:
CryptAcquireContext(@hProv, nil, nil, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT);
CryptCreateHash(hProv, CALG_MD5, 0, 0, @hash);
CryptHashData(hash, @pw[1], Length(pw), 0);
CryptDeriveKey(hProv, CALG_RC4, hash, 1, @key);
CryptDestroyHash(hash);
.
.
CryptDecrypt(key, 0, True, 0, Buffer, @len);
.
.
Könntest du bitte nochmal nachprüfen, ob ich da recht habe?
Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.
War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte

Ich hoffe, morgen zu etwas mehr zu kommen,

lg
  Mit Zitat antworten Zitat
Antwort Antwort

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:12 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz