-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
30. Aug 2012
habe ich mehrfach versucht, bekomme immer "550, relaying denied." euer server will meine mail nicht :(
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
25. Aug 2012
Sorry das ich mich so extrem spät zurückmelde, habe so viel auf der Arbeit zu tun ... :(
habe eine neue Version "eingefangen" die hoch interessant ist: sie macht nun einiges mehr und erstellt u.a. ein Memdump und lädt ihn hoch. Wer Interesse hat, dem kann ich sie zukommen lassen.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
19. Jul 2012
Spontane Idee: den Rechner (wenn voreingestellt per Taste) sofort in den Ruhezustand schicken? Die Auslagerung enthält doch dann den gesamten RAM Inhalt.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
19. Jul 2012
Habe leider viel zu wenig Zeit um mich noch auseinanderzusetzen, sorry @Marcu, das ich noch nichtmals die PM beantworten konnte. :(
Es gibt wieder eine neue Version, die 4000002 laut C&C Request, heute morgen in meinen Spam Ordner gelangt. Kann sie auf Anfrage zur Verfügung stellen.
Interessant ist das ich mit meinem persönlichen Vornamen in der Mail angesprochen wurde und der Dateianhang den...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
27. Jun 2012
Den selben Text findet ihr forenübergreifend überall wo der Matsnu Virus diskutiert wird. Getrost ignorieren ...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
19. Jun 2012
@ Marcu: danke für die Info. Datenrettung scheidet leider aus, im Trojaner Board bin ich schon, diverse JPEG Tools bringen gerade mal 5 der um 4200 Bilder in voller Größe wieder. Sie hat die Bilder einfach zu klein gemacht, 60k - 150k. Zu wenig Daten für Wiederherstellungen.
Daher meine Überlegungen die $02 zu bruteforcen.
Wenn sie in RC4 codiert ist, kann ich ja Ansätze suchen den Stream zu...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
18. Jun 2012
@Marcu: bei der 1.150 , weißt Du mit welchem Verfahren die $02 Datei verschlüsselt wird?
Ich will mich an der $02 versuchen mit CUDA, kann zwar noch kein CUDA aber habe Zeit ... lohnt es sich? Zur Verfügung stehen 2 stärkere Geforce, ich habe den Virus , die beiden abgelegten Dateien und die ca. 4200 verschlüsselten Bilder meiner Bekannten... meine C Kenntnisse sind etwas eingerostet, aber ich...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
17. Jun 2012
hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
17. Jun 2012
Mit Wireshark an sich kein großes Problem in der VM den Link zu finden. Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...
2.000.11 ist die letzte, versucht sich nun hiermit zu verbinden:
http://www.robtex.com/dns/weusa-list.com.html#shared
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
17. Jun 2012
ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
17. Jun 2012
@ Marcu: habe hier 3 neuere Versionen im "Giftschrank" vom 8.06 , 12.06 und von gestern. Wenn du sie haben möchtest, PN reicht.
Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
16. Jun 2012
Hab mir grad die neueste Version in einer VM mit Procmon angeschaut, interessant... nun connected sie nach China in einer Uni in Beijing:
http://www.robtex.com/ip/219.218.160.80.html#ip
Er nutzt nun auch laut Procmon sehr intensiv die Windows CryptoAPI...
Wer die Version haben will, kann mich gerne anschreiben. Avira hat sie bekommen, das Trojaner Board auch schon.
Edit: Er scheint nun...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
14. Jun 2012
Die neueste Version hab ich mit in einer VM mit Filemon angeschaut trägt sich jetzt schon in der WinDoof Firewall ein. hosts wäre eine Lösung, muss aber ständig aktuell gehalten werden - immer noch ein Restrisiko einen Virus zu erwischen dessen C&C nicht in der hosts steht.
Eine sicherere Variante ist den Mailer und den Browser in z.b. Sandboxie laufen zu lassen. Man muss das aber so...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
12. Jun 2012
Gebe ich dir Recht, denn der Virus ist ziemlich wasserdicht.
Habe den Schweizer C&C Server ein wenig näher angeschaut, es ist leider schon mal kein Apache (mit all dessen Macken) sondern nginx 1.0.4 . Das ganze läuft auf Debian lenny, PHP ist ein 5.2.6 - da besteht allerdings ein Memory Exhaust Problem. Um dieses zu nutzen reichen aber meine Kenntnisse nicht, ansonsten ist der ziemlich dicht....
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
7. Jun 2012
Moin,
sorry für den vorschnellen Upload, gestehe ich ein. Muss aber anmerken das die Viren unschädlich gemacht wurden, der Anhang wurde in EXE!!! umbenannt. Wer den starten will muss schon leichtsinnig und willentlich die Datei umbenennen, wäre also nicht unbedingt was passiert.
Wer das Archiv trotzdem möchte, eine kurze Nachricht genügt.
Der Virus lässt mir keine Ruhe, ich bin schon...
-
Forum: Algorithmen, Datenstrukturen und Klassendesign
by deraddi,
7. Jun 2012
Hallo, mein erster Beitrag hier und ich habe direkt 1-2 Fragen.
Danke erstmal @ Marcu für Deine Mühen, habe den Verlauf mitverfolgt.
Ich habe Teildaten einer Festplatte von einer 130 km entfernten Bekannten hier vorliegen, die den Matsnu.A.23 erwischt hat. Ca 4800 Fotos sind futsch, davon konnten wir von ihrer Sicherung gut 2300 wiederherstellen. Der Rechner ist aber nun eh wertlos weil sie...