> .. idlet vor sich hin ....
War bei mir ja auch so, als ich versucht habe neue Dateien zu verschlüsseln.
Vielleicht läuft der nur 1 Mal und setzt dann ein Flag, zB in der Registry, oder er legt sich ein Lockfile an. Vielleicht muss man den Virus auf ein frisches System loslassen, aber deine Beschreibung klingt so als hättest du genau das getan.
Ja. Ich infiziere jedesmal einen virenfreien Snaphot aufs Neue.
Zitat:
Bist du sicher dass er die virtuelle Umgebung nicht bemerkt? Du könntest mal Virtualbox probieren. Das geht auch mit VMware-Diskimages ohne umwandeln.
Virtualbox habe ich auch versucht. Aber trotzdem hat keine Verschlüsselung gestartet,
Ich bin mir sehr sicher, dass der Code nicht auf VM-Umgebung testet. Wenn ich rausfinden wollte, ob mein Programm in einer Vm läuft, dann würde ich auf die Existenz irgendeines VM-typischen Treibers oder Hardware prüfen oder wenigstens schauen ob die "Vmware Tools" oder so etwas in dieser Art laufen. Von so einem Test gibt es keine Spur.
Zitat:
Kann es sein dass es nur einen Schlüssel für alle infizierten Rechner gibt?
DAS wäre wirklich schön. Es gibt da zwei Varianten denke ich.
1. Der Schlüssel befindet sich noch auf den infizierten Rechnern. Wenn es so ist und ich nur einmal sehe wo der Schlüssel ist und an die CryptApi gereicht wird, dann haben alle Ihre Daten wieder zurück.
2. Der Schlüssel wird außerhalb des Rechners berechnet und an den Virus zur Verschluesselung übertragen. So hätte ich es an Stelle des Virenprogrammieres gemacht. Der Programieraufwand ist nur wenig größer.
Wenn tatsächlich AES eingesetzt wird - also zum verschlüsseln und entschlüsseln der gleich key benutzt wird, dann würde ich versuchen dem Server eine Infektion vorzugaukeln um in den Besitz des Schlüssels zu kommen. Damit könnte man dann bereits verschlüsselte Dateien wieder entschlüsseln.
Ich habe auf alle benutzen Funktionen der CryptApi Breakpoints gesetzt (und auch auf Readfile/Writefile - damit konnte ich sehen welche Dateien bearbeitet werden). Sobald der Debugger anspringt kann ich leicht rausfinden wo der Key herkommt. Deswegen mühe ich mich auch so sehr ab die Verschlüsselungsroutine anzustoßen. Ansonsten bliebe nur ein komplette Analyse und ich habe nur noch morgen einen letzten Tag Urlaub
Zitat:
Wie soll der beim Entschlüsseln den Rechner wiedererkennen bei dynamischen IPs? Oder legt der eine art coockie an?
Da habe ich mich falsch ausgedrückt. Der Virus hat mit IPs und Cookies nichts am Hut. Ich habe mir gestern gedacht, dass meine vielen wiederholten Infizierungen und Debuggingversuche aufgefallen sind und man deswegen an Rechner unter meiner
IP keine Keys zustellt. Aber da war ich schon sehr müde und da neige ich dann zur ausgeprägten Sehnsucht nach Aluhüten. Jetzt bin ich wieder wacher und halte das für sehr unwahrscheinlich.
Zitat:
Lädt der Trojaner eigentlich code nach? Und mit welchem Programm würde der entschlüsseln, oder ist der unlock-code im Trojaner selbst enthalten?
Der Lock und Unlockcode bzw. die Apiaufrufe zur CryptApi sind bereits im Code. Weiterer Code wird bisher nicht nachgeladen - lediglich Bilder und eine Textdatei.
Zitat:
Bei dem Win7-System das ich dahatte hatte übrigens der abgesicherte Modus funktioniert. Und meistens konnte ich im Normalmode den taskmgr starten und der wurde sauber angezeigt.
Noch eine Idee, vielleicht muss die Systemzeit auf letzten Mittwoch oder Donnerstag zurückgedreht werden - falls er das nicht via Internet verifiziert.
Stimmt! Daran habe ich gar nicht gedacht. Der Server muß ja nur auf seine eigene Uhr schauen um eine Schlüsselauslieferung zu steuern. Ich konnte mit verstellen der Systemzeit jedenfalls nichts erreichen. Habe ich ausgiebig versucht.
Zitat:
Viel Erfolg beim weiteren Debuggen!
Vielen Dank