Einzelnen Beitrag anzeigen

Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#21

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 21. Mai 2012, 16:00
Hi Werner

Der Virus um den ich mich kümmere wird in einer zipdatei per Mail zugestellt.
Dieser Virus verschlüsselt die Dateien genau so wie du beschrieben hast.

Der Virus macht den Taskmanager, regedit und msconfig kaputt. Und unterbindet mit Policy und Registryeinträge Rettungsversuche. Außerdem löscht er Einträge in der Registry die für den abgesicherten Startmodus notwendig sind. Deshalb die Bluescreens im abgesicherten Modus.

Dass sich die Zip-Datei im Temp Verzeichnis befindet könnte bedeuten, dass der Benutzer die ZipDatei angeklickt hat und der Mailer die zum Entpacken da reingeschrieben hat. Von einer Drive-By-Infektion mit diesem Virus habe ich bisher noch nicht gelesen.

Die Dateien sind verschlüsselt und nicht zerstört. Zuviel deutet im Code darauf hin und es wäre auch nicht der Stil des Virenprogrammierers.

Im Virencode gibt es nicht die geringsten Hinweise darauf, dass auf Debuggeranwesenheit getestet wird. Auch auf virtuelle Testumgebungen wird nichts geprüft. Zumindest sehe ich da nichts und ich bin sehr aufmerksam. Der Virus läßt sich leicht mit einem Remotedebugger anschauen und steuern. Naja ... nicht ganz so leicht, den ich kann die Verschlüsselung nicht anstoßen und beobachten. Diese Puzzlestück fehlt mir leider. Irgendwo muss da eine Callbackfunktion eingehängt sein, die bei mir nicht funktioniert. Wenn ich den Virus ausführe, dann macht der alles wie bei allen anderen auch, aber anstatt dann mit dem Verschlüsseln zu beginnen idle't er dann nur vor sich hin.

Die Frage dreht sich nur noch darum, wie man wieder an seinen Schlüssel kommt. Und ob der Schlüssel noch auf dem infizierten Rechner ist oder dieser außerhalb berechnet wird. ( @cookie22 - du hast es auf den Punkt gebracht ) Selbst wenn zweiteres der Fall wäre hätte man noch Chancen. Man müsste auf einem bereinigten Rechner (mit verschlüsselten Dateien) ein Programm starten welches eine Infektion simuliert, dann würde die Gegenstelle den Key erneut senden und man könnte dann den zum Entschlüsseln benutzen. Das wäre ganz und gar nicht so schwer, wenn ich endlich mal zuschauen könnte wie die Verschlüsselung stattfindet.

Jetzt probiere ich es mal mit Sandybox.

Geändert von Marcu (21. Mai 2012 um 17:05 Uhr)
  Mit Zitat antworten Zitat