Einzelnen Beitrag anzeigen

Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#33

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 22. Mai 2012, 22:25
Hi Markus,

ja. ich habe die falsche Version. Heute morgen habe ich mit der Rückübersetzung begonnen weil bei mir der Virus nicht richtig funktionierte und seit heute nachmittag denke ich darüber nach ob ich Kopfschlagen an der nächsten Bordsteinkante spielen soll.

Im falschen Virus habe ich die Funktion gefunden, welche rekursiv den Verzeichnissbaum durchwandert und verschlüsselt. Die Dateinamen werden jedoch ganz anders gebildet als ich es erwartet habe. Da wird eine Erweiterung angehängt die mit folgender Funktion berechnet wird.

Code:
unsigned int GetCpuTimeCode()
{
  unsigned __int64 tick;

  tick = RDTSC();  // Assembler für GetTickCount;
  return (16807 * (HIDWORD(tick) ^ tick) % 0x1F31D
     - 2836 * (HIDWORD(tick) ^ tick) / 0x1F31D) % 0x186A0;
}
Daran habe ich dann endlich gemerkt, dass ich am falschen Virus arbeite.

Ich ringe noch um meine Fassung. Wenn ich die wiederhabe, dann lade ich mir den Virus runter den du zur Verfügung stellst. Danke!

Viele Grüße an Dich und dein Team

Noch etwas nebenbei. Die rekursive Funktion für das Durchwandern eines Verzeichnisbaums hat der Virenprogrammierer per cut und paste nochmal in seinen Virus eingefügt. Dann hat er den Aufruf der Verschlüsselungsroutine mit dem Aufruf einer Dateilöschroutine ersetzt.

Eine solche Codeverdoppelung sollte man vermeiden und stattdessen eine generische Funktion schreiben, der man dann die gewünschte Aktionsfunktion per Pointer übergibt. Der Virenprogrammierer ist also ein sehr mittelmäßiger Programmierer und hat keinen guten Stil.

ich kommentiere eigentlich niemals den Programmierstil eines anderen auf negative Weise. Aber diesmal mach Ich eine einzige Ausnahme.

Geändert von Marcu (22. Mai 2012 um 23:57 Uhr)
  Mit Zitat antworten Zitat