Einzelnen Beitrag anzeigen

Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#192

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 12. Jun 2012, 06:54
@Apthon
Ja. Es wäre gelungen, wenn es möglich gewesen wäre

Dieser Trojaner wird noch viel Schaden anrichten. Die Erpresser haben den Virus so geschrieben, dass die Sprache leicht geändert werden kann.


@bombinho
Danke

Der Trojaner stellt die ComputerId folgendermaßen zusammen:
Delphi-Quellcode:
type
  TCBuffer = array[0..$199] of char;
const
  MAXSIZECB = Sizeof(TCBUffer);
var
  GLOB_BaseName: TCBUffer; //=ComputerId
 

procedure BuildComputerID;
var
  SystemDirectory, ComputerName, Name: TCBuffer;
  DriverSerialNumber, CName1, CName2: DWORD;
  n: Cardinal;
begin
  GetSystemDirectory(SystemDirectory, MAXSIZECB);
  SystemDirectory[3] := char(0);
  DriverSerialNumber := 0;
  GetVolumeInformation(
    SystemDirectory, nil, 0, @DriverSerialNumber,
    DWORD(nil^), DWORD(nil^), nil, 0);

  n := MAXSIZECB;
  GetComputername(Computername, n);

  CName1 := DWORD(PDWORD(@ComputerName[0])^);
  CName2 := DWORD(PDWORD(@ComputerName[4])^) and $FFFF;
  strfmt(Name, '%0.8X%0.8X%0.4X', [DriverSerialNumber, CName1, CName2]);
  Strcopy(Glob_BaseName, Name);
end;
Die Computerid wird auch für die ersten 20 Zeichen des Katalogdateinamens benutzt.

Vg
Marcu

Geändert von Marcu (12. Jun 2012 um 07:19 Uhr)
  Mit Zitat antworten Zitat