Einzelnen Beitrag anzeigen

Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#138

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 21:27
Hallo

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

(Damit kein falscher Eindruck entsteht... ich spreche Delphi normalerweise nicht mit so ausgeprägtem C-Akzent. Das ist nur damit man schneller im Virencode die Parallele findet )

@CAG83
Ich glaube jeder einfühlsame Mensch hat ein Problem dir zu antworten und hofft lieber etwas übersehen zu haben was ein anderer hoffentlich findet.
Angehängte Dateien
Dateityp: zip DecryptTmpNoExt.zip (86,3 KB, 45x aufgerufen)

Geändert von Marcu ( 5. Jun 2012 um 09:39 Uhr)
  Mit Zitat antworten Zitat