Und warum nicht gleich die entsprechende Option für alle Dateitypen in den Optionen des Explorers aktivieren?

Weil die Extension von PIFs - genau wie die von LNKs - trotzdem ausgeblendet bleiben, auch wenn sonst alle Extensions angezeigt werden.

MfG Dalai

Wenn NeverShowExt vorhanden, dann wird nie angezeigt, egal was in den Exploreroptionen steht.
Wenn AlwaysShowExt vorhanden, dann wird immer angezeigt, egal was in den Exploreroptionen steht.
Ansonsten das was in den Exploreroptionen steht.

Mein Thunderbird zeigt die Endungen aber immer an ... den interessiert die Explorereinstellungen nicht.
Und beim Speichern zeigt auch der Feuerfuchs alle endungen an.
Ansonsten laß ich PIF und Co. ausgeblendet, denn sonst sieht es auf dem Desktop ganz schlimm aus.

Hi Werner

Der Virus um den ich mich kümmere wird in einer zipdatei per Mail zugestellt.
Dieser Virus verschlüsselt die Dateien genau so wie du beschrieben hast.

Der Virus macht den Taskmanager, regedit und msconfig kaputt. Und unterbindet mit Policy und Registryeinträge Rettungsversuche. Außerdem löscht er Einträge in der Registry die für den abgesicherten Startmodus notwendig sind. Deshalb die Bluescreens im abgesicherten Modus.

Dass sich die Zip-Datei im Temp Verzeichnis befindet könnte bedeuten, dass der Benutzer die ZipDatei angeklickt hat und der Mailer die zum Entpacken da reingeschrieben hat. Von einer Drive-By-Infektion mit diesem Virus habe ich bisher noch nicht gelesen.

Die Dateien sind verschlüsselt und nicht zerstört. Zuviel deutet im Code darauf hin und es wäre auch nicht der Stil des Virenprogrammierers.

Im Virencode gibt es nicht die geringsten Hinweise darauf, dass auf Debuggeranwesenheit getestet wird. Auch auf virtuelle Testumgebungen wird nichts geprüft. Zumindest sehe ich da nichts und ich bin sehr aufmerksam. Der Virus läßt sich leicht mit einem Remotedebugger anschauen und steuern. Naja ... nicht ganz so leicht, den ich kann die Verschlüsselung nicht anstoßen und beobachten. Diese Puzzlestück fehlt mir leider. Irgendwo muss da eine Callbackfunktion eingehängt sein, die bei mir nicht funktioniert. Wenn ich den Virus ausführe, dann macht der alles wie bei allen anderen auch, aber anstatt dann mit dem Verschlüsseln zu beginnen idle't er dann nur vor sich hin.

Die Frage dreht sich nur noch darum, wie man wieder an seinen Schlüssel kommt. Und ob der Schlüssel noch auf dem infizierten Rechner ist oder dieser außerhalb berechnet wird. ( @cookie22 - du hast es auf den Punkt gebracht ) Selbst wenn zweiteres der Fall wäre hätte man noch Chancen. Man müsste auf einem bereinigten Rechner (mit verschlüsselten Dateien) ein Programm starten welches eine Infektion simuliert, dann würde die Gegenstelle den Key erneut senden und man könnte dann den zum Entschlüsseln benutzen. Das wäre ganz und gar nicht so schwer, wenn ich endlich mal zuschauen könnte wie die Verschlüsselung stattfindet.

Jetzt probiere ich es mal mit Sandybox.

@Marcu:
Auf was für einem System testest du die Verschlüsselung denn? Auf einem physischen Rechner oder in einem virtualisierten System? Fals es sich um dein Originalsystem handelt, könnte der Virus irgendwo einen Wert gespeichert haben, der die erneute Verschlüsselung verhindert. Hier wäre es wohl am sinnvollsten den Virus auf einer VM zu analysieren.

Bisher habe ich VMs von Vmware und Microsoft benutzt. Ein Versuch durch mehrmaliges Ausführung des Virencodes die Verschlüsselung anzustoßen habe ich zwar auch versucht, aber hat nichts gebracht. Sonst starte ich mit einer virenfreien XP+Sp3 Installation.
Jetzt fällt mir gerade auf, dass bei meiner für die Tests benutzen XP-Installation die Updates nach erscheinen von Sp3 nicht eingespielt sind. Da gab es mittlerweile eine sehr große Anzahl von Updates - eine Menge Code der sich geändert hat. Vielleicht liegt es ja daran! Das ist auf jedenfall noch ein Versuch wert.

Ansonsten werde ich auf dem Rechner meiner Tochter jetzt gleich Sandboxie und den Virus installieren (nachdem das Clonen der Festplatte fertig ist).

In meiner VirtualBox will der Bösewicht nun schon seit drei Tagen keine Dateien mehr verschlüsseln. Davor hat er allerdings auch nicht jedesmal, sondern nur alle 2-4 Versuche die Dateien bearbeitet. Aktiviert wird er trotzalledem.
Wenn man sich die Anzahl der Betroffenen im Trojaner-Board-Forum ansieht, könnte es aber auch vielleicht mit der Verbreitung zu tun haben, wenn man evtl. davon ausgeht, dass er einen Schlüssel online runterlädt.
Vielleicht kommen die Server in China nicht hinterher.

In der VirtualBox läuft XP Pro. SP3 mit allen Updates.

Kommt bei euch eigentlich auch diese Fehlermeldung?
snap02625.png

Michael

Hi Michael

Ich habe dein erstes Posting gelesen und jetzt bist du der Verursacher von weiteren 100 grauen Haaren auf meinem Kopf

Das ist endlich ein Lichtblick, dass du es wenigstens einmal geschafft hast die Verschlüsselung in einer VM auszuführen! Ich habe auch schon mit dem Gedanken gespielt, dass die irgendwie meine IP loggen und an mich keinen Key ausliefern. Aber wenigstens abundzu - wenigstens einmal sollte es doch auch mir gelingen einen Key zu ergattern. Ich habe seit gestern mittag vor jedem Versuch meinen Router neu einwählen lassen.
Vielleicht sind die echt überlastet oder denen ist der erreichte Schaden groß genug und die haben die Keyauslieferung gestoppt? Gibt es heute noch Neuinfektionen MIT verschlüsselten Daten? Ich geh nachher mal auf dem Trojaner-board und schau nach.

Wenn der Key serverseitig generiert wird und die jetzt keine Keys mehr ausliefern, dann können die bereits Betroffenen ihre Daten vergessen. Keine Chance mehr

vg Marcus


P.s.: Du gehörst zu den Trojaner-Board Helfern, nicht wahr? Echt coole Leute! Bei der Gelegenheit aber noch ein kleiner Hinweis: Die empfohlenen Reparaturanweisungen reichen noch nicht ganz aus um den Rechner wieder 100%ig herzustellen. Der Virus löscht Teile der Registry um den abgesicherten Startmodus funktionsunfähig zu machen. Da müßte man vielleicht noch die Betroffenen darauf hinweisen.

@Marcu
wie alt ist deine trojaner version?
du benötigst dringend eine, die zu einem funktionierendem server verbindet, sonst wird das nichts mit der verschlüsselung.
da ich nicht genau weis ob ich hier solche infos anhängen darf, sende ich dir mal ein joebox report mit whireshark report + dropper als private nachicht

Kannst mir bitte auch den aktuellen schicken, meine VM will gefüttert werden.