AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 13 von 34   « Erste     3111213 141523     Letzte »    
RMC

Registriert seit: 2. Jun 2012
5 Beiträge
 
#121

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 19:14
Zitat:
Was mir pers. in deinem Statement nicht gefällt, ist der Umstand, dass du die Täter in Schutz zu nehmen scheinst (Anzeige).
Keines falls.
Aber jeder ist doch für sein tun selbst verantwortlich das kann einem niemand abnehmen.
Wie schon gesagt sollte der Virus jedoch ohne eigenes verschulden beim öffnen einer Webseite installiert werden
dann ist das tragisch und es tut mir leid für die Leute die dann davon betroffen sind.

Aber wie Daniel schon sagt!
Zitat:
Bedenke bitte, dass Dich niemand zur Beteiligung an diesem Thema zwingt.
Ziehe ich mich besser zurück.
Harte Meinungen die nicht allen gefallen, gefallen können scheinen nicht erwünscht zu sein.
So kann sich das alles wieder etwas beruhigen.

gruss
So - hoffe jetzt, daß wir uns nun wieder ernsthaft der 'Sache' annehmen können und durch deartige 'Belehrungen' nicht mehr gestört werden!

Mittlerweile habe ich in anderen Foren auf den ich ebenfalls jetzt angemeldet bin mitbekommen, daß sich die Sache extrem ernsthaft ausbreitet.

Ich habe mich mittlerweile mit der Kripo unserer Stadt unterhalten - innerhalb 3 Tagen wurden 15 Strafanzeigen gegen Unbekannt gestellt. Der Kripobeamte wußte am Telefon extrem gut Bescheid über den neuen Trojaner der noch nicht entschlüsselt werden kann und hatte seine Informationen von weiteren EDV-Kripokollegen aus anderen Städten Deutschlands bei den Strafanzeigen eingingen deswegen. Würde mich also nicht wundern, wenn das in Kürze in entsprechenden Medien publiziert wird.

Ich bin selbst am 'debuggen' was die Verschlüsselung angeht - bin allerdings mit meinem 'Latein' echt am Ende. Jedenfalls werde ich alles dran setzen in nächster Zeit Informationen über die neue Verschlüsselung zu sammeln und diese für alle posten, damit möglichst bald eine Entschlüsselung gefunden und verbreitet werden kann!
.....die Hoffnung stirbt zuletzt.....

RMC
  Mit Zitat antworten Zitat
Alt 3. Jun 2012, 19:21     Erstellt von Aphton
Dieser Beitrag wurde von Daniel gelöscht. - Grund: Ich hatte darum gebeten, dies per PN zu klären. Im Interesse einer sachlichen Fortführung dieser Diskussion...
Klaus01

Registriert seit: 30. Nov 2005
Ort: München
5.768 Beiträge
 
Delphi 10.4 Sydney
 
#122

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 19:26
Ich habe heute nachmittag vom Kunden eine Mail mit Anhang weitergeleitet bekommen, den er diesmal nicht geöffnet hat. Dort drin wieder eine Rechnung.pif, die ich sofort in meiner VM aktiviert habe.

Ich hatte einen Ordner mit über 5100 Textdateien erstellt, die denselben Inhalt haben, siehe Anhang.
Nun ist es eingetreten, was ich versucht hatte zu erreichen: Es sind zwei verschlüsselte Dateien aufgetaucht, die den gleichen Namen erhalten haben: "NXaQlAULnxDNXaulAU". Allerdings sind die ersten 12 kB nicht gleich.
aber
Der Dateiname kann Zufall sein, ich überlege, ob ich Dateien erstelle, in deren Inhalt eine fortlaufende Nummer abgespeichert ist, zwecks Wiederfinden.

.. ich lese hier interessiert mit.

Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

Grüße
Klaus
Klaus

Geändert von Klaus01 ( 3. Jun 2012 um 19:35 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#123

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 19:27
@pcnberlin
kann ich dir gar nicht so genau sagen, muss ich mir mal angucken.

84.72.41.161
bei welchem sample hast du diese ip gefunden?
  Mit Zitat antworten Zitat
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#124

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 19:48
Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.
So, habe das mal nachgeholt. Hat lange gedauert, ich dachte erst, er würde nix mehr verschlüsseln.
Habe die Protokolldatei von Wireshark angehängt.
Zudem wurden wieder zwei Dateien gleichen Namens (srUEsxjrXJueNUEsGArpv) erzeugt. Auch anbei. Die Dateien aus dem Temp-Ordner kann ich bei Bedarf nachreichen.


Michael
Angehängte Dateien
Dateityp: zip crypter.pcap.zip (266,8 KB, 17x aufgerufen)
Dateityp: zip srUEsxjrXJueNUEsGArpv.zip (24,6 KB, 10x aufgerufen)

Geändert von Michael Habbe ( 3. Jun 2012 um 20:52 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#125

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 3. Jun 2012, 21:37
hab auch noch n paar whireshark protokolle falls nötig.
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#126

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 00:59
@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein Dialup, aber vielleicht läuft da auch mal keine Linux-Box, die so abgesichert ist oder man kann ggf. per Strafverfolger was erreichen. Das sollten wir im Auge behalten.

@RMC & Michael Habbe & alle

Ich weiß nicht genau, wie ich Eure letzten Posts verstehen soll: Ihr schreibt, dass Ihr den Netzwerkverkehr aufzeichnen wollt & am Debuggen seid. Seit dieser Thread gestartet wurde, wird hier doch nichts anderes getan, als diesen Trojaner zu analysieren.

Wir wissen zu ca. 90%, wie er funktioniert. Wir wissen sehr genau, wie der Netzwerkverkehr aussieht (drei Aufrufe, verschiedene Domains, unverschlüsselt), wie er verschlüsselt (RSA RC4, MD5, CAPI: Danke an Marcu), was er für Dateien anlegt (System32, Benutzerverzeichnis, .pre-Dateien, %temp%-Dateien), welche Registry-Einträge er macht. Ja, wir wissen auch wie eine Entschlüsselungsroutine (http://www.delphipraxis.net/1167848-post41.html) theoretisch aussehen könnte.

Ich habe das alles soweit hier zusammengefaßt: http://blog.save-privacy.de/index.ph...e-Version.html

Wenn Ihr also die Hoffnung* noch nicht aufgegeben habt, oder Ideen habt, wie man doch noch etwas erreichen könnte, dann postet bitte diese Ideen und ruft nicht nur nach verschlüsselten Dateien, weiteren Samples usw und laßt uns ZUSAMMEN daran arbeiten! Es macht einfach keinen Sinn, die Hoffnung der Betroffenen zu schüren ohne konkrete Hinweise zu haben, etwas erreichen zu können. Und es ist auch nicht sinnvoll, wenn jeder für sich bei Null beginnt, weshalb wir Transparenz brauchen.

Und wenn es nun doch so aussieht, dass es gegen diesen Trojaner keine Lösung geben sollte (auf die Verschlüsselungsproblematik bezogen), dann sollte das auch offen so kommuniziert werden!

* Ein möglicher Ansatzpunk wäre z.B. noch mal zu verifizieren, wie der Basekey gebildet wird. Wenn dieser statisch, z.B. maschinenabhängig wäre, ließe sich eventuell ein Keygen schreiben, wenn er mit Zufallswerten bestückt ist, haben wir verloren. Aber: Wenn dieser Schlüssel doch noch irgendwo abgelegt wird, dann ... Letzteres wollte sich Marcu noch anschaun & wer hier helfen kann - das wäre auf alle Fälle ein sinnvoller Ansatzpunkt.

Geändert von pcnberlin ( 4. Jun 2012 um 01:27 Uhr) Grund: Ergänzung
  Mit Zitat antworten Zitat
omata

Registriert seit: 26. Aug 2004
Ort: Nebel auf Amrum
3.154 Beiträge
 
Delphi 7 Enterprise
 
#127

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 01:47
... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"
Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen? Und wenn das so ist, dass hier als Administrator gearbeitet wird, dann kann ich da nur selbst schuld zu sagen. Man arbeitet (genau aus diesem Grund) nicht als Administrator!

Geändert von omata ( 4. Jun 2012 um 01:50 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#128

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 02:00
... Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\"
Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen?
Da hast du zwar prinzipiell recht (mal Exploits oder Lücken im System außen vor gelassen), aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann und die Dateien des Benutzers verschlüsselt. Dagegen hilft auch keine Beschränkung auf Gastrechte. Das einzige, was helfen würde, wäre ein Verhindern des Löschens von Dateien durch eine Art "Sticky" (das geht auch auf NTFS), allerdings hindert sowas natürlich auch beim normalen Arbeiten mit Dateien. Genau das ist ja der Grund, warum diese Kategorie von Schadsoftware so gefährlich ist. Klar, Backups kann und sollte man machen, aber auch damit kann man sich nicht gegen alles wappnen.

MfG Dalai
  Mit Zitat antworten Zitat
omata

Registriert seit: 26. Aug 2004
Ort: Nebel auf Amrum
3.154 Beiträge
 
Delphi 7 Enterprise
 
#129

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 02:12
... aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann ...
Das ist mir klar. Aber hier wurde von einem System-Verzeichnis gesprochen und das deutet nunmal daraufhin, dass hier mit Systemen (die sich im öffentlichen Netz befinden) scheinbar unverantwortlich gearbeitet wird. Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Aber ich will eure Diskussion hier nicht stören. Ich hatte nur aufmerksam gelesen und musste mein Kopfschütteln mal zum Ausdruck bringen.
  Mit Zitat antworten Zitat
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#130

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 09:23
Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.
Womit begründest du deine Annahme, dass der IE zum surfen unsicher sein sollte? Oder dass Outlook unsicherer ist als irgendein x-beliebiger anderer Mailclient? Klingt für mich eher nach subjektivem Fanboy-geflame...

Zitat von http://t3n.de/news/browser-sicherheit-chrome-firefox-ie9-351222/:
Google hat das unabhängige Sicherheitsunternehmen Accuvant beauftragt, aktuelle Browser einem Sicherheitscheck zu unterziehen. In diesem Test konnte der Google-Browser den ersten Platz belegen - der Open Source-Browser Firefox musste sich selbst Microsofts Internet Explorer 9 geschlagen geben. Chrome konnte sich besonders durch die zum Einsatz kommende Sandboxing-Technologie und Plug-in-Sicherheit gegen die Konkurrenz behaupten.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 13 von 34   « Erste     3111213 141523     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:16 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz