AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 4 von 34   « Erste     234 5614     Letzte »    
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#31

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 22. Mai 2012, 20:27
@Marcu
wie alt ist deine trojaner version?
du benötigst dringend eine, die zu einem funktionierendem server verbindet, sonst wird das nichts mit der verschlüsselung.
da ich nicht genau weis ob ich hier solche infos anhängen darf, sende ich dir mal ein joebox report mit whireshark report + dropper als private nachicht
  Mit Zitat antworten Zitat
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#32

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 22. Mai 2012, 21:44
Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#33

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 22. Mai 2012, 22:25
Hi Markus,

ja. ich habe die falsche Version. Heute morgen habe ich mit der Rückübersetzung begonnen weil bei mir der Virus nicht richtig funktionierte und seit heute nachmittag denke ich darüber nach ob ich Kopfschlagen an der nächsten Bordsteinkante spielen soll.

Im falschen Virus habe ich die Funktion gefunden, welche rekursiv den Verzeichnissbaum durchwandert und verschlüsselt. Die Dateinamen werden jedoch ganz anders gebildet als ich es erwartet habe. Da wird eine Erweiterung angehängt die mit folgender Funktion berechnet wird.

Code:
unsigned int GetCpuTimeCode()
{
  unsigned __int64 tick;

  tick = RDTSC();  // Assembler für GetTickCount;
  return (16807 * (HIDWORD(tick) ^ tick) % 0x1F31D
     - 2836 * (HIDWORD(tick) ^ tick) / 0x1F31D) % 0x186A0;
}
Daran habe ich dann endlich gemerkt, dass ich am falschen Virus arbeite.

Ich ringe noch um meine Fassung. Wenn ich die wiederhabe, dann lade ich mir den Virus runter den du zur Verfügung stellst. Danke!

Viele Grüße an Dich und dein Team

Noch etwas nebenbei. Die rekursive Funktion für das Durchwandern eines Verzeichnisbaums hat der Virenprogrammierer per cut und paste nochmal in seinen Virus eingefügt. Dann hat er den Aufruf der Verschlüsselungsroutine mit dem Aufruf einer Dateilöschroutine ersetzt.

Eine solche Codeverdoppelung sollte man vermeiden und stattdessen eine generische Funktion schreiben, der man dann die gewünschte Aktionsfunktion per Pointer übergibt. Der Virenprogrammierer ist also ein sehr mittelmäßiger Programmierer und hat keinen guten Stil.

ich kommentiere eigentlich niemals den Programmierstil eines anderen auf negative Weise. Aber diesmal mach Ich eine einzige Ausnahme.

Geändert von Marcu (22. Mai 2012 um 23:57 Uhr)
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#34

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 10:19
hi,

erst mal danke, dass ihr euch überhaupt daran macht, eine lösung zu finden.
es gibt verschiedene version der malware.

älteste version:
datei name wird geendert:
locked.dateiname.normale endung.zufällige vierer endung.
da wird dann eine rc4 verschlüsselung genutzt.
es gibt wohl auch eine version mit 6 zufalls zeichen am ende, die hab ich persönlich aber nie gesehen.
seit version 1.4
wird die datei dann zufällig benannt, wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die datei öffnen zu können.
version 1.5 verschlüsselt nur noch, ohne irgend eine endung hinzuzufügen.
bei beiden ist mir die genutzte verschlüsselung nicht bekannt.

wenn sie nicht grad wieder versuchen, das postfach, über das wir im trojaner board die malware mails einsammeln, mit 100000 spams zu fluten, kann ich euch immer die neuesten dropper zukommen lassen.
wichtig ist, wenn ihr testet und die verschlüsselung erreichen wollt, aktieve internet verbindung und ein funktionierender cc server sind nötig.

Geändert von markusg (23. Mai 2012 um 10:23 Uhr)
  Mit Zitat antworten Zitat
WernerM

Registriert seit: 21. Mai 2012
4 Beiträge
 
#35

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 10:43
Hallo,

@markusg:

> ... wobei interessant ist, dass bei einigen nutzern angeblich ein anhängen der normalen endung reicht, um die atei öffnen zu können.

Mögliche Erklärung: es handelt sich um mp3s, die kratzt es wenig wenn die ersten 12 KB fehlen, weil sich der decoder wieder auf den Datenstrom aufsynchronisiert.

Auch von mir Danke an alle, die hier debuggen und den Code versuchen zu knacken.

mfg
Werner

Geändert von WernerM (23. Mai 2012 um 10:44 Uhr) Grund: typos
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#36

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 10:49
danke für diese info.
  Mit Zitat antworten Zitat
BlackSeven

Registriert seit: 25. Sep 2004
79 Beiträge
 
Delphi XE7 Professional
 
#37

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 10:56
Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.
Ich würde mir das Ganze auch mal anschauen.
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#38

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 11:11
@BlackSeven
ein paar dropper sind raus an dich.
  Mit Zitat antworten Zitat
BlackSeven

Registriert seit: 25. Sep 2004
79 Beiträge
 
Delphi XE7 Professional
 
#39

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 11:15
Danke.
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#40

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 23. Mai 2012, 11:40
wenn mehr gebraucht wird, bescheid geben
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 34   « Erste     234 5614     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:11 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz