 |
 |
 |
 |
 |
|
Programmierung allgemein
Algorithmen, Datenstrukturen und Klassendesign
Verschlüsselungs-Trojaner, Hilfe benötigt
Antwort
|
|
|
|
Registriert seit: 20. Mai 2012 50 Beiträge |
#1
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
11. Jun 2012, 21:42
Hallo Sonnenbogen
Zitat:
Wenn ihr den Code einfach ein wenig umschreibt und neu übersetzt und dann in einer sicheren Umgebung ausführt. Stück für Stück.
Das Problem ist, dass bei jedem Opfer mit einem individuelles Passwort die Dateien verschlüsselt wurde - das Passwort aber nicht auf dem Computer des Opfers abgespeichert wurde. Es genügt leider nicht das Programm in und auswendig zu kennen. Es gibt hier sogar mittlerweile eine ganze Reihe von Leuten die in Teilen den Virus besser und fehlerfreier schreiben könnten als der Programmierer des Trojaner es getan hat. Doch ohne das Passwort bringt das alles nichts. Man kann die Dateien nicht entschlüsseln. Selbst der Virenprogrammierer höchstpersönlich kann die Dateien nicht entschlüsseln, wenn er keinen Zugang zu den Passwörtern der Opfer hat. Die Information die jetzt gebraucht wird steckt nicht im Virusprogramm. Es ist ein Passwort, das sich die Erpresser von den Computern der Opfer haben schicken lassen. Vielleicht schafft es die Polizei die Passwörter zu finden. Ich hoffe es sehr. Wenn so ein krimineller Programmierer keinen Fehler begeht, dann hat man leider nicht die geringste Chance. Tut mir sehr leid.  VG Marcu |
Zitat
|
Registriert seit: 31. Mai 2009 1.198 Beiträge Turbo Delphi für Win32 |
#2
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
11. Jun 2012, 21:51
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG Geändert von Aphton (11. Jun 2012 um 22:10 Uhr) |
|
Zitat
|
|
Registriert seit: 4. Jun 2012 Ort: UK 15 Beiträge Turbo Delphi für Win32 |
#3
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
11. Jun 2012, 22:36
Ist eigentlich irgendwo die RechnerID gespeichert? Immerhin aendert die sich ja scheinbar beim Neustart.
Marcu, deine Praesentationen sind wirklich gut 
|
|
Zitat
|
|
Registriert seit: 20. Mai 2012 50 Beiträge |
#4
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
12. Jun 2012, 05:54
@Apthon
Ja. Es wäre gelungen, wenn es möglich gewesen wäre  Dieser Trojaner wird noch viel Schaden anrichten. Die Erpresser haben den Virus so geschrieben, dass die Sprache leicht geändert werden kann. @bombinho Danke Der Trojaner stellt die ComputerId folgendermaßen zusammen:
Delphi-Quellcode:
Die Computerid wird auch für die ersten 20 Zeichen des Katalogdateinamens benutzt.
type
TCBuffer = array[0..$199] of char; const MAXSIZECB = Sizeof(TCBUffer); var GLOB_BaseName: TCBUffer; //=ComputerId procedure BuildComputerID; var SystemDirectory, ComputerName, Name: TCBuffer; DriverSerialNumber, CName1, CName2: DWORD; n: Cardinal; begin GetSystemDirectory(SystemDirectory, MAXSIZECB); SystemDirectory[3] := char(0); DriverSerialNumber := 0; GetVolumeInformation( SystemDirectory, nil, 0, @DriverSerialNumber, DWORD(nil^), DWORD(nil^), nil, 0); n := MAXSIZECB; GetComputername(Computername, n); CName1 := DWORD(PDWORD(@ComputerName[0])^); CName2 := DWORD(PDWORD(@ComputerName[4])^) and $FFFF; strfmt(Name, '%0.8X%0.8X%0.4X', [DriverSerialNumber, CName1, CName2]); Strcopy(Glob_BaseName, Name); end; Vg Marcu Geändert von Marcu (12. Jun 2012 um 06:19 Uhr) |
|
Zitat
|
|
Registriert seit: 9. Jun 2012 5 Beiträge |
#5
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
12. Jun 2012, 14:57
Hallo Marcu,
Code:
Die Computerid wird auch für die ersten 20 Zeichen des Katalogdateinamens benutzt.
strfmt(Name, '%0.8X%0.8X%0.4X', [DriverSerialNumber, CName1, CName2]);
Woher kommen dann aber die weiteren vier Zeichen bei der Datei ohne Erweiterung? Oder sollte das oben '%0.8X%0.8X%0.8X' heißen und damit 24 Zeichen lang sein? Das würde das Abschneiden nach 20 Zeichen für die Katalogdatei erklären... Gruß Martin |
|
Zitat
|
|
Registriert seit: 11. Jun 2012 1 Beiträge |
#6
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
12. Jun 2012, 18:00
Geändert von RenéLandscheidt (12. Jun 2012 um 18:03 Uhr) |
|
Zitat
|
|
Registriert seit: 17. Jun 2012 2 Beiträge |
#7
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
17. Jun 2012, 11:53
Hallo
habe das jetzt schon einige zeit Verfolgt weil meine Cousine sich den Trojaner eingefangen hat. (Habe die Mail - mit dem Anhang von ihr auch bekommen; Eine weitere Mail habe ich von einem Kollegen - der hatte den aber auf grund meiner Warnung nicht geöffnet.) Je mehr ich aber lese - um so mehr fällt mir auf - das man eigentlich an die DB des C&C Servers kommen müsste. Allerdings ist mir was eingefallen. Bei einem frisch befallenen System, könnte man theoretisch mit einer Cold-Boot Attacke den Speicher Dumpen und im Dump des Speichers nach dem Passwort suchen - das würd aber nur bei eine Frisch infizierten Rechner der nicht ausgemacht wird - bis man alles für den Cold-Boot Angriff vorbereitet hat - funktionieren. Wenn mann dann in den Speicher nach dem "CatalogPassword" oder wie der Identfier für die Variable heißt sucht - müsste mann doch was finden. Viele Grüße R. Landscheidt |
|
Zitat
|
|
Registriert seit: 22. Mai 2012 28 Beiträge |
#8
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
12. Jun 2012, 14:30
|
|
Zitat
|
| Themen-Optionen | Thema durchsuchen |
| Ansicht | |
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
