Einzelnen Beitrag anzeigen

WernerM

Registriert seit: 21. Mai 2012
4 Beiträge
 
#16

Bisherige Erkenntnisse zum Trojaner

  Alt 21. Mai 2012, 13:06
Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner
  Mit Zitat antworten Zitat