Hallo Markus,

die Betroffenen sollen auf gar keinen Fall die Virusdatei sofort löschen! Der Virus schreibt eine Kopie von sich selbst letztendlich in das Verzeichnis "c:\windows\system32\" Genau diese Datei unbedingt sichern, bervor man die löscht.
Es könnte sein, dass für jeden Rechner ein zufälliger Schlüssel erfunden wird und dieser Schlüssel fest in die Virusdatei unter System32 gepatcht wird. Wenn die Virusdatei gelöscht wird dann wird auch der Schlüssel eventuell gelöscht und die Daten sind verloren!

Ich habe den Viruscode nicht bei mir und kann es leider jetzt nicht überprüfen. Aber ich wundere mich seit gestern Nacht darüber, dass ich einen Teil eines Schlüssels in der Virendatei gefunden habe (PartOfPassword in der Procedure decrypt oben). Das ist für mich völlig unerwartet. Es macht aus Sicht des Virenprogrammieres jedoch Sinn: Löscht man den Virus, dann zerstört man den einzigen und unwiderbringlichen Schlüssel zu seinen Daten.

Bitte warne die Betroffenen.

Hallo Marcu.

Ich habe ein paar Postings vorher eine Zip-Datei hochgeladen, wo ein und diesselbe Textdateien mehrfach unter den Trojaner gekommen sind -> http://www.delphipraxis.net/attachme...tigt-ascii.zip

Kannst Du Deine Routinen nicht so abändern, dass man einen Schlüssel reintut, die Datei verändert wird und man anschließend schaut, obs der Schlüssel gewesen ist? Das ist doch die übliche Vorgehensweise bei Brute-Force, oder?

Könnte man Hagen auf dieses Thema ansprechen? Er ist doch der Guru, was diese Thematik anbetrifft, oder?


Michael

Hi Michael

Super. Habe ich tatsächlich übersehen. Die werde ich hoffentlich bald brauchen. Hast du noch genau die Virusdatei dazu die diese Dateien verschlüsselt hat?
Die Haarfarbe für Ü40iger habe ich aber nicht übersehen. Wenn das was wird mit Entschlüsseln, dann will ich die als Belohnung

Ein Teil des Schlüssels befindet sich im Executable des Virus. Als Konstante abgelegt. Wo der andere Teil herkommt weiß ich noch nicht. Vielleicht der Dateiname. Oder irgendwie daraus abgeleitet. Ändert man den Dateinamen würde es dann auch nicht mehr mit dem entschlüssen klappen. Das sind aber alles Spekulationen.
Die Schlüssel sind leider viel zu lang um mit Brute Force etwas erreichen zu können.

Aber natürlich. Gute Idee. Umso mehr Leute debuggen umso besser!

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen? Und wenn das so ist, dass hier als Administrator gearbeitet wird, dann kann ich da nur selbst schuld zu sagen. Man arbeitet (genau aus diesem Grund) nicht als Administrator!

Da hast du zwar prinzipiell recht (mal Exploits oder Lücken im System außen vor gelassen), aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann und die Dateien des Benutzers verschlüsselt. Dagegen hilft auch keine Beschränkung auf Gastrechte. Das einzige, was helfen würde, wäre ein Verhindern des Löschens von Dateien durch eine Art "Sticky" (das geht auch auf NTFS), allerdings hindert sowas natürlich auch beim normalen Arbeiten mit Dateien. Genau das ist ja der Grund, warum diese Kategorie von Schadsoftware so gefährlich ist. Klar, Backups kann und sollte man machen, aber auch damit kann man sich nicht gegen alles wappnen.

MfG Dalai

Das ist mir klar. Aber hier wurde von einem System-Verzeichnis gesprochen und das deutet nunmal daraufhin, dass hier mit Systemen (die sich im öffentlichen Netz befinden) scheinbar unverantwortlich gearbeitet wird. Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Aber ich will eure Diskussion hier nicht stören. Ich hatte nur aufmerksam gelesen und musste mein Kopfschütteln mal zum Ausdruck bringen.

Womit begründest du deine Annahme, dass der IE zum surfen unsicher sein sollte? Oder dass Outlook unsicherer ist als irgendein x-beliebiger anderer Mailclient? Klingt für mich eher nach subjektivem Fanboy-geflame...

Es wird langsam OT.


Michael

hi, sehe ich auch so.
dieser thread sollte nicht für sollte hätte könnte verwendet werden.
es ist nun mal so und wird wohl leider immer so bleiben, das leute auf soetwas reinfallen.
das hatt auch nichts mit dem ie zu tun, der aus meiner sicht zu unrecht verteufelt wird, denn wenn du deine software nun mal nicht aktuell hällst, kann dir das mit jedem browser passieren.
zumal hier ja keine sicherheitslücken genutzt werden, und der spam an sich auch nicht so schlecht gemacht ist.
wegen der ip:
ich kümmere mich darum das sie an die richtige stelle gelangt.
und die alten samples sende ich dir noch.

ich hab ja schon passende kontakte, nen tool währe da also nciht von nöten.
ob die ips in china oder ru liegen is auch egal, interessant sind sie trotzdem