So - hoffe jetzt, daß wir uns nun wieder ernsthaft der 'Sache' annehmen können und durch deartige 'Belehrungen' nicht mehr gestört werden!

Mittlerweile habe ich in anderen Foren auf den ich ebenfalls jetzt angemeldet bin mitbekommen, daß sich die Sache extrem ernsthaft ausbreitet.

Ich habe mich mittlerweile mit der Kripo unserer Stadt unterhalten - innerhalb 3 Tagen wurden 15 Strafanzeigen gegen Unbekannt gestellt. Der Kripobeamte wußte am Telefon extrem gut Bescheid über den neuen Trojaner der noch nicht entschlüsselt werden kann und hatte seine Informationen von weiteren EDV-Kripokollegen aus anderen Städten Deutschlands bei den Strafanzeigen eingingen deswegen. Würde mich also nicht wundern, wenn das in Kürze in entsprechenden Medien publiziert wird.

Ich bin selbst am 'debuggen' was die Verschlüsselung angeht - bin allerdings mit meinem 'Latein' echt am Ende. Jedenfalls werde ich alles dran setzen in nächster Zeit Informationen über die neue Verschlüsselung zu sammeln und diese für alle posten, damit möglichst bald eine Entschlüsselung gefunden und verbreitet werden kann!
.....die Hoffnung stirbt zuletzt.....

RMC

.. ich lese hier interessiert mit.

Hattest Du die Möglichkeit den Netzwerkverkehr aufzuzeichnen?
Falls er nicht verschlüsselt ist, sollten da doch einige nützliche Informationen enthalten sein.

Grüße
Klaus

@pcnberlin
kann ich dir gar nicht so genau sagen, muss ich mir mal angucken.

84.72.41.161
bei welchem sample hast du diese ip gefunden?

So, habe das mal nachgeholt. Hat lange gedauert, ich dachte erst, er würde nix mehr verschlüsseln.
Habe die Protokolldatei von Wireshark angehängt.
Zudem wurden wieder zwei Dateien gleichen Namens (srUEsxjrXJueNUEsGArpv) erzeugt. Auch anbei. Die Dateien aus dem Temp-Ordner kann ich bei Bedarf nachreichen.


Michael

hab auch noch n paar whireshark protokolle falls nötig.

@markusg
Funktioniert der alte Cryptovirus überhaupt noch, wenn ja, dann überträgt er vermutlich nichts wichtiges. Wäre aber schon interessant. Kannst mir auch gerne einige Samples zukommen lassen, dann kann ich das auch alleine anschaun
Zu der fraglichen IP: Ich beobachte regelmäßig, was ein whois auf die verschiedenen CC-Server ergibt. Und da war diese IP dabei. Ist zwar vermutlich ein Dialup, aber vielleicht läuft da auch mal keine Linux-Box, die so abgesichert ist oder man kann ggf. per Strafverfolger was erreichen. Das sollten wir im Auge behalten.

@RMC & Michael Habbe & alle

Ich weiß nicht genau, wie ich Eure letzten Posts verstehen soll: Ihr schreibt, dass Ihr den Netzwerkverkehr aufzeichnen wollt & am Debuggen seid. Seit dieser Thread gestartet wurde, wird hier doch nichts anderes getan, als diesen Trojaner zu analysieren.

Wir wissen zu ca. 90%, wie er funktioniert. Wir wissen sehr genau, wie der Netzwerkverkehr aussieht (drei Aufrufe, verschiedene Domains, unverschlüsselt), wie er verschlüsselt (RSA RC4, MD5, CAPI: Danke an Marcu), was er für Dateien anlegt (System32, Benutzerverzeichnis, .pre-Dateien, %temp%-Dateien), welche Registry-Einträge er macht. Ja, wir wissen auch wie eine Entschlüsselungsroutine (http://www.delphipraxis.net/1167848-post41.html) theoretisch aussehen könnte.

Ich habe das alles soweit hier zusammengefaßt: http://blog.save-privacy.de/index.ph...e-Version.html

Wenn Ihr also die Hoffnung* noch nicht aufgegeben habt, oder Ideen habt, wie man doch noch etwas erreichen könnte, dann postet bitte diese Ideen und ruft nicht nur nach verschlüsselten Dateien, weiteren Samples usw und laßt uns ZUSAMMEN daran arbeiten! Es macht einfach keinen Sinn, die Hoffnung der Betroffenen zu schüren ohne konkrete Hinweise zu haben, etwas erreichen zu können. Und es ist auch nicht sinnvoll, wenn jeder für sich bei Null beginnt, weshalb wir Transparenz brauchen.

Und wenn es nun doch so aussieht, dass es gegen diesen Trojaner keine Lösung geben sollte (auf die Verschlüsselungsproblematik bezogen), dann sollte das auch offen so kommuniziert werden!

* Ein möglicher Ansatzpunk wäre z.B. noch mal zu verifizieren, wie der Basekey gebildet wird. Wenn dieser statisch, z.B. maschinenabhängig wäre, ließe sich eventuell ein Keygen schreiben, wenn er mit Zufallswerten bestückt ist, haben wir verloren. Aber: Wenn dieser Schlüssel doch noch irgendwo abgelegt wird, dann ... Letzteres wollte sich Marcu noch anschaun & wer hier helfen kann - das wäre auf alle Fälle ein sinnvoller Ansatzpunkt.

Arbeitet ihr etwa alle als Administratoren? Oder wie soll ein Programm irgendetwas nach c:\windows\system32\ schreiben dürfen? Und wenn das so ist, dass hier als Administrator gearbeitet wird, dann kann ich da nur selbst schuld zu sagen. Man arbeitet (genau aus diesem Grund) nicht als Administrator!

Da hast du zwar prinzipiell recht (mal Exploits oder Lücken im System außen vor gelassen), aber es genügt völlig, wenn sich Schadsoftware ins Verzeichnis des Benutzers schreiben kann und die Dateien des Benutzers verschlüsselt. Dagegen hilft auch keine Beschränkung auf Gastrechte. Das einzige, was helfen würde, wäre ein Verhindern des Löschens von Dateien durch eine Art "Sticky" (das geht auch auf NTFS), allerdings hindert sowas natürlich auch beim normalen Arbeiten mit Dateien. Genau das ist ja der Grund, warum diese Kategorie von Schadsoftware so gefährlich ist. Klar, Backups kann und sollte man machen, aber auch damit kann man sich nicht gegen alles wappnen.

MfG Dalai

Das ist mir klar. Aber hier wurde von einem System-Verzeichnis gesprochen und das deutet nunmal daraufhin, dass hier mit Systemen (die sich im öffentlichen Netz befinden) scheinbar unverantwortlich gearbeitet wird. Vermutlich wird auf solchen Systemen dann auch noch der Internet-Explorer zum surfen verwendet oder Outlook für die Mails verwendet. Da braucht man sich nun wirklich nicht wundern, das die Kiste verseucht wird.

Aber ich will eure Diskussion hier nicht stören. Ich hatte nur aufmerksam gelesen und musste mein Kopfschütteln mal zum Ausdruck bringen.

Womit begründest du deine Annahme, dass der IE zum surfen unsicher sein sollte? Oder dass Outlook unsicherer ist als irgendein x-beliebiger anderer Mailclient? Klingt für mich eher nach subjektivem Fanboy-geflame...