So - hoffe jetzt, daß wir uns nun wieder ernsthaft der 'Sache' annehmen können und durch deartige 'Belehrungen' nicht mehr gestört werden!

Mittlerweile habe ich in anderen Foren auf den ich ebenfalls jetzt angemeldet bin mitbekommen, daß sich die Sache extrem ernsthaft ausbreitet.

Ich habe mich mittlerweile mit der Kripo unserer Stadt unterhalten - innerhalb 3 Tagen wurden 15 Strafanzeigen gegen Unbekannt gestellt. Der Kripobeamte wußte am Telefon extrem gut Bescheid über den neuen Trojaner der noch nicht entschlüsselt werden kann und hatte seine Informationen von weiteren EDV-Kripokollegen aus anderen Städten Deutschlands bei den Strafanzeigen eingingen deswegen. Würde mich also nicht wundern, wenn das in Kürze in entsprechenden Medien publiziert wird.

Ich bin selbst am 'debuggen' was die Verschlüsselung angeht - bin allerdings mit meinem 'Latein' echt am Ende. Jedenfalls werde ich alles dran setzen in nächster Zeit Informationen über die neue Verschlüsselung zu sammeln und diese für alle posten, damit möglichst bald eine Entschlüsselung gefunden und verbreitet werden kann!
.....die Hoffnung stirbt zuletzt.....

RMC

@pcnberlin
kann ich dir gar nicht so genau sagen, muss ich mir mal angucken.

84.72.41.161
bei welchem sample hast du diese ip gefunden?

hab auch noch n paar whireshark protokolle falls nötig.

@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein Dialup, aber vielleicht läuft da auch mal keine Linux-Box, die so abgesichert ist oder man kann ggf. per Strafverfolger was erreichen. Das sollten wir im Auge behalten.

@RMC & Michael Habbe & alle

Ich weiß nicht genau, wie ich Eure letzten Posts verstehen soll: Ihr schreibt, dass Ihr den Netzwerkverkehr aufzeichnen wollt & am Debuggen seid. Seit dieser Thread gestartet wurde, wird hier doch nichts anderes getan, als diesen Trojaner zu analysieren.

Wir wissen zu ca. 90%, wie er funktioniert. Wir wissen sehr genau, wie der Netzwerkverkehr aussieht (drei Aufrufe, verschiedene Domains, unverschlüsselt), wie er verschlüsselt (RSA RC4, MD5, CAPI: Danke an Marcu), was er für Dateien anlegt (System32, Benutzerverzeichnis, .pre-Dateien, %temp%-Dateien), welche Registry-Einträge er macht. Ja, wir wissen auch wie eine Entschlüsselungsroutine (http://www.delphipraxis.net/1167848-post41.html) theoretisch aussehen könnte.

Ich habe das alles soweit hier zusammengefaßt: http://blog.save-privacy.de/index.ph...e-Version.html

Wenn Ihr also die Hoffnung* noch nicht aufgegeben habt, oder Ideen habt, wie man doch noch etwas erreichen könnte, dann postet bitte diese Ideen und ruft nicht nur nach verschlüsselten Dateien, weiteren Samples usw und laßt uns ZUSAMMEN daran arbeiten! Es macht einfach keinen Sinn, die Hoffnung der Betroffenen zu schüren ohne konkrete Hinweise zu haben, etwas erreichen zu können. Und es ist auch nicht sinnvoll, wenn jeder für sich bei Null beginnt, weshalb wir Transparenz brauchen.

Und wenn es nun doch so aussieht, dass es gegen diesen Trojaner keine Lösung geben sollte (auf die Verschlüsselungsproblematik bezogen), dann sollte das auch offen so kommuniziert werden!

* Ein möglicher Ansatzpunk wäre z.B. noch mal zu verifizieren, wie der Basekey gebildet wird. Wenn dieser statisch, z.B. maschinenabhängig wäre, ließe sich eventuell ein Keygen schreiben, wenn er mit Zufallswerten bestückt ist, haben wir verloren. Aber: Wenn dieser Schlüssel doch noch irgendwo abgelegt wird, dann ... Letzteres wollte sich Marcu noch anschaun & wer hier helfen kann - das wäre auf alle Fälle ein sinnvoller Ansatzpunkt.

@pcnberlin
hast du die ips der whois abfragen alle gespeichert? die hätte ich gern.

@markusg
Nein, habe keine komplette Aufzeichnung. Allerdings hat sich da auch immer nicht viel geändert. Nur die Domains, die genutzt werden ändern sich ab und an. Und die IPs, die jetzt aktiv sind, waren auch schon früher aktiv. Bei der schweizer fand ich es halt ganz interessant. Da läuft aber auch wieder ein aktuelles Linux drauf. Der Rest der IPs waren immer Russland, China, US, CA (Hardware-Switch o.ä.) und einmal war eine NL dabei.

Hat jemand Lust, ein kleines Script zu schreiben, dass die domains überwacht (und bei neuen EU-IPs eine Mail ans BKA abfeuert)?