@Michael
Hallo Michael

bestimmt hast du schon etwas aus dem unendlich großen Giftschrank von markusg bekommen nicht wahr? Es gibt verschiedene Versionen des Trojaners. Es ist glaube ich eine gute Idee wenn wir sicherstellen, dass wir nicht an verschiedenen Versionen arbeiten. Der Trojaner an dem ich arbeite meldet an seine C&C Server die Version "1.150.1" in der http Kommunikation. Deiner auch?

So ein Mist. Ich sehe gerade, dass pcnberlin Version 1.170.1 untersucht. Das ist genau das was ich vorher geschrieben habe - der Virenprogrammierer versucht gar nicht erst etwas originelles abzuliefern. Dem liegt nichts daran als geschickter Malwareprogrammierer dazustehen und von ein paar pubertierenden Jungs verehrt zu werden. Der erreicht seine Ziele einfach indem er in schneller Folge eine Version nach der anderen in die Welt setzt und weiß dabei genau dass da kaum einer die Zeit und die Mittel hat gegen anzukommen. Der macht einfach alles mit Quantität platt.


@pcnberlin

Meinst du den Teilschlüssel oder Oder habe ich etwas übersehen und es gibt noch mehr? Neee kann doch nicht sein ... noch ein paar Nächte und ich kann den Code fast auswendig. Oder etwa doch?

Das folgende ist eine 1:1 Übersetzung aus dem Trojanercode:
Ich habe die hexadezimalen Werte im Code von #41 ersetzt. Genau diese Funktionen mit genau dieser Parametrierung stehen so im Trojanercode. Dabei handelt es sich nicht um ein Public/Privatekey Verfahren. Es gibt nur ein einziges Passwort und das verschlüsselt und entschlüsselt die Daten.

Könntest du bitte nochmal nachprüfen, ob ich da recht habe? Oder findet sich ein Freiwilliger? Pcnberlin hat gerade Kundschaft und wenig Zeit.


Vergiss nicht die Seriennummer der Festplatte deines Kunden aufzuschreiben und zum Image der Festplatte zu legen, pcnberlin. Für die Entschlüsselung der Daten wird diese Nummer sehr wahrscheinlich gebraucht.


@markusg
Zumindest kann keiner sagen, dass nicht ausreichend gewarnt wurde

Ich bin immer noch hauptsächlich hier, weil ich ein kurzfristiges Ziel verfolge - nämlich die Dateien zu entschlüsseln. Ich programmiere zwar nicht mehr in Delphi aber lese hier trotzdem seit Jahren immer wieder mit und kenne daher viele der Programmierer bei DP und ihre Fähigkeiten. Falls ich mein Ziel erreiche, dann wird es hier schneller gelingen als auf dem TB. Solange kein Moderator den Kopf schüttelt versuch ich es hier weiter. Ich hoffe du verstehst es nicht falsch, Markus. Das TB-Team ist so dermaßen cool - so was kenne ich sonst nicht. Wie dort mit Stil und Know-How den Leuten geholfen wird ist für mich einzigartig. Aber hier finde ich Leute die ein tiefes Verständnis von der Funktionsweise von Programmen haben und einige haben sogar einen Debugger. Und das bringt mich schneller ans Ziel.

vg @all

Hallo Marcu.

Nur eine kurze Zwischenfrage, die Version 1.150.1 des Virus, an der du arbeitest,
diese Version nimmt auch eine Umbennenung der verschlüsselten Dateien vor, korrekt?

Ja genau. und zwar nach folgendem Muster:

z.B:
shsdfgjkLKJasdHsGP

also keine Dateierweiterung mehr. Nur Groß und Kleinbuchstaben.

Ok, dann sollten die Jungs im Trojaner-Board mal die Infos updaten:

http://www.trojaner-board.de/115183-...te-umlauf.html

ich werd mal dort bescheid geben, die Versionsinfos up zu daten.

Hallo Marcu.

Ich habe eines der Teile aus dem Giftschrank mit der Größe von ca. 64 kB probiert. War zumindest nicht direkt tödlich für meine VM, dank SwitchBack. Hat aber nix mehr verschlüsselt.

Ich glaube, wir kommen dem Malwarefuzzie nur bei, indem der ganzen Welt (*mal ein bischen hochhinaus woll*) bewusst gemacht wird, nicht mehr diese Anhänge anzuklicken. Ansonsten ist er immer einen Schritt vorraus.
Und da seh ich schwarz, wenn dieses Ding erstmal als Drive-By-Download** kommen sollte.


Michael


** da durfte ich mal bei einem Kundenrechner Live-Zeuge bei sein, das geht ratz-fatz ohne das man was ausrichten kann

@Marcu
Ja, ich meinte den Teilschlüssel mit ssh am Ende . Den findet man im entsprechenden Dump, ist also statisch.

Ich werde heute Nacht nicht mehr dazu kommen, den Debugger anzuwerfen und Deine Aussagen nochmal zu prüfen, das kostet leider ja auch einiges an Zeit und die Malware-Domains sind auch gerade alle down. Aber ich glaube mich zu erinnern, dass die Reihenfolge der Funktionsaufrufe sowie die Funktionen selbst passen. Aber um das jetzt noch mal genauer anzuschauen fehlt mir gerade die Zeit.

War zum Glück Windows 7 & die wichtigen Daten alle auf C, so dass alles so weit gerettet werden konnte

Ich hoffe, morgen zu etwas mehr zu kommen,

lg