Zitat:
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!
Stimmt genau, HofMar. Version 2.000.11 injected in svchost (0x7FF955D4).
Eine ganze Reihe von Änderungen fallen im Vergleich zur Version 1.150.1 auf. Zunächst aber das Wichtigste: Der Trojaner verfährt noch immer so wie in Version 1.150.1. Die Verschlüsselung findet genau so statt, wie es im
Bild "Verschlüsselungsphase" aufgemalt ist.
Die Statusdatei (ohne Dateiendung) im Temp-Verzeichnis wird mit einem anderen Passwort verschlüsselt. Um die Statusdatei entschlüsseln zu können muss ich das Programm DecryptNoExt geringfügig erweitern. Das ist nicht schwer. Die Virusdatei selbst bekommt jetzt einen Namen der von der Seriennummer der Festplatte abhängt.
Eine neue Temp-Datei mit der Endung $$0 wird erzeugt. In diese Datei werden jetzt die Bildschirmmaskenbilder direkt reingeschrieben. Der Umweg über die Cab-Datei entfällt.
In Version 2.000.11 gibt es 3 völlig neue Funktionen. (Für die Debugger: Am besten nach der Zeichenfolge "stage1#0stage2#0stage3#0" suchen. Die Funktion die direkt vor der Zeichenfolge steht und die zwei danach.). Diese Funktionen sehen erstmal furchtbar interessant aus ... dann stellt sich aber heraus, dass es sich nur um Funktionen handelt die nach dem LZW-Verfahren die heruntergeladenen Bilder dekomprimieren. Ich denke die Erpresser wollen den Virus so robuster machen, weil damit der Aufruf des externen Befehls "Extract" wegfällt der in Version 1.150.1 die CAB-Datei entpackte.
Der ganze Aufwand mit dem späten Laden der Bildschirmmaskenbilder, dient dem Zweck die Bildschirmmasken passend zur Sprache des Opfers auszuliefern. Vor dem Runterladen der Bilder wird die Sprache mit "GetSystemDefaultLangID" ermittelt. Es funktioniert jedoch momentan nicht. Egal was man eingestellt hat - es werden nur deutschsprachige Masken ausgeliefert. Vielleicht hat der Erpresser noch keine übersetzten Masken für andere Länder. Ist bestimmt nur eine Frage der Zeit bis es soweit ist. Dann kann er auch gleich den Trojaner mit Fortpflanzungsfunktion ausstatten, weil es ihm dann egal ist wenn der Trojaner sich über Landesgrenzen hinweg verbreitet.
In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:
Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi
Tja... ist wohl italienisch
Ich habe schonmal von diesem Google-Ding gehört und auch dass es übersetzen kann! Ganz ehrlich! Aber da kommt bei mir nichts Rechtes mit raus. Steht da irgendetwas wissenswertes?
VG Marcu