Hallo Marcu,
Wenn ich das richtig sehe, ist die ComputerID immer nur 20 Zeichen (8+8+4) lang! Demnach ist der Katalogdateiname immer auch gleich die ComputerID.

Woher kommen dann aber die weiteren vier Zeichen bei der Datei ohne Erweiterung? Oder sollte das oben '%0.8X%0.8X%0.8X' heißen und damit 24 Zeichen lang sein? Das würde das Abschneiden nach 20 Zeichen für die Katalogdatei erklären...

Gruß Martin

Hallo

habe das jetzt schon einige zeit Verfolgt weil meine Cousine sich den Trojaner eingefangen hat.
(Habe die Mail - mit dem Anhang von ihr auch bekommen; Eine weitere Mail habe ich von einem Kollegen - der hatte den aber auf grund meiner Warnung nicht geöffnet.)

Je mehr ich aber lese - um so mehr fällt mir auf - das man eigentlich an die DB des C&C Servers kommen müste.

Allerdings ist mir was eingefallen. Bei einem frisch befallenen System , könnte man theoretisch mit einer Cold-Boot Atacke den Speicher Dumpen und im Dump des Speichers nach dem Passwort suchen - das würd aber nur bei eine Frisch infizierten Rechner der nicht ausgemacht wird - bis man alles für den Cold-Boot Angriff vorbereitet hat - funktionieren. Wenn mann dann in den Speicher nach dem "CatalogPassword" oder wie der Identfier für die Varaiable heißt sucht - müsste mann doch was finden.

Viele Grüße

R. Landscheidt

Klingt ganz gut, nur frage ich mich jetzt, was ihr einem Anwender antwortet, der Euch anruft, daß er jetzt vor der Zahlungsaufforderung sitzt und der PC nichts anderes mehr tut, als ihn den Code eingeben zu lassen oder den Taskmanager aufzurufen, der lediglich jede Menge laufender Prozesse, aber keine Anwendung anzeigt, die man beenden könnte? Die meisten Leute werden schon das Ding gar nicht kennen oder mit ihm etwas anfangen können. Ergo wird wohl in 99,9Periode von 100 Fällen die Kiste ausgeschaltet.

@Blup

Völlig richtig Das "xor eax,edx" muss da natürlich rein. Danke

Ich habe es in Delphi 5 getestet und gemerkt, dass es dann immer noch nicht so ganz klappt. Delphi 5 fügt vor der Rückkehr aus der Funktion ein "mov eax,edx" ein und überschriebt das Ergebnis der XOR- Operation. Ich geh jetzt lieber den Weg des geringsten Widerstands und habe den Funktionsaufruf ganz aufgelöst. So sollte es jetzt mit jeder Delphiversion klappen.
Das ist echt schade Ich hatte so ein bisschen das Gefühl, dass das sehr schwierig wird, aber trotzdem die Hoffnung nicht ganz aufgegeben. Klasse dass du es versucht hast

@ewhiz

eine Datei mit der Endung ".$$0" speichert die Version die ich untersucht habe (1.150.1) mit Gewissheit nie ab. Da liegt eine andere - neuere Version vor, die etwas anders macht als ich es kenne.
Ich bekomme bald eine aktuelle Version von Markus - dann werde ich danach suchen. Wird interessant werden die neue mit einer älteren Version zu vergleichen und zu sehen was der Virenprogrammierer als verbesserungswürdig ansieht.

@HofMar
Die Versionsnummer ist bestimmt eine wichtige Information, wenn man sich mit diesem Trojaner beschäftigt und wird in Zukunft sicher noch wichtiger, da der Erpresser den Virus weiterentwickelt. Man müsste den Code der in ctfmon injected wird nach der Versionsnummer durchsuchen die bei der Internetkommunikation gesendet wird. Dieser Code steht in verschlüsselter Form in der Trojanerdatei. Ist also ein ganz hübsches Stück Arbeit, aber die Mühe auf jeden Fall wert. Falls mir keiner zuvorkommt, werde ich mich nächste Woche damit beschäftigen.


@pcnberlin
Danke, Super, dass du noch dabei bist!

VG Marcu

@ Marcu: habe hier 3 neuere Versionen im "Giftschrank" vom 8.06 , 12.06 und von gestern. Wenn du sie haben möchtest, PN reicht.

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.

Die Erpresser schicken jede Woche eine neue Version.

Bitte schick mir alle drei Versionen. Vielen Dank Addi

@deraddi
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.

ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.

Hallo Marcu,
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!

Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.

Gruß Martin