AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 14 von 34   « Erste     4121314 151624     Letzte »    
Benutzerbild von Michael Habbe
Michael Habbe

Registriert seit: 10. Aug 2005
264 Beiträge
 
Turbo Delphi für Win32
 
#131

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 09:29
Es wird langsam OT.


Michael
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#132

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 10:30
hi, sehe ich auch so.
dieser thread sollte nicht für sollte hätte könnte verwendet werden.
es ist nun mal so und wird wohl leider immer so bleiben, das leute auf soetwas reinfallen.
das hatt auch nichts mit dem ie zu tun, der aus meiner sicht zu unrecht verteufelt wird, denn wenn du deine software nun mal nicht aktuell hällst, kann dir das mit jedem browser passieren.
zumal hier ja keine sicherheitslücken genutzt werden, und der spam an sich auch nicht so schlecht gemacht ist.
wegen der ip:
ich kümmere mich darum das sie an die richtige stelle gelangt.
und die alten samples sende ich dir noch.
  Mit Zitat antworten Zitat
johX

Registriert seit: 4. Jun 2012
11 Beiträge
 
#133

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 12:21
Hi zusammen,

ich habe gerade auch eine Festplatte mit verschlüsselten Dateien liegen.

Dateinamen: beliebig, z.B. OjLqEjLpeTDpesdGf
verschlüsselt: 3k hex Bytes, Rest wie Original
Temp-Dateien: hier sind bei den Temp-Dateien die ersten 19 Bytes unterschiedlich, der Rest scheint gleich zu sein.

blöderweise viele wichtige, nicht gesicherte Dateien.

wer Interesse an den/einigen Dateien hat, bitte melden.

Grüsse
Jochen
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#134

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 14:47
@pcnberlin
hast du die ips der whois abfragen alle gespeichert? die hätte ich gern.
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#135

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 15:18
@markusg
Nein, habe keine komplette Aufzeichnung. Allerdings hat sich da auch immer nicht viel geändert. Nur die Domains, die genutzt werden ändern sich ab und an. Und die IPs, die jetzt aktiv sind, waren auch schon früher aktiv. Bei der schweizer fand ich es halt ganz interessant. Da läuft aber auch wieder ein aktuelles Linux drauf. Der Rest der IPs waren immer Russland, China, US, CA (Hardware-Switch o.ä.) und einmal war eine NL dabei.

Hat jemand Lust, ein kleines Script zu schreiben, dass die domains überwacht (und bei neuen EU-IPs eine Mail ans BKA abfeuert)?

Geändert von pcnberlin ( 4. Jun 2012 um 15:20 Uhr) Grund: Korrektur
  Mit Zitat antworten Zitat
markusg

Registriert seit: 22. Mai 2012
28 Beiträge
 
#136

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 15:47
ich hab ja schon passende kontakte, nen tool währe da also nciht von nöten.
ob die ips in china oder ru liegen is auch egal, interessant sind sie trotzdem
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#137

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 15:52
Hi!

ist eien Chance auf Decrypt nun eigentlich gestorben? Oder arbeitet hier noch jemand daran?
Im Trojaner-Board melden sich täglich Kunden, die vor ihren verseuchten Files sitzen und nicht wissen obs sie neu aufsetzen sollen oder noch warten sollen unw.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#138

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 21:27
Hallo

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.

(Damit kein falscher Eindruck entsteht... ich spreche Delphi normalerweise nicht mit so ausgeprägtem C-Akzent. Das ist nur damit man schneller im Virencode die Parallele findet )

@CAG83
Ich glaube jeder einfühlsame Mensch hat ein Problem dir zu antworten und hofft lieber etwas übersehen zu haben was ein anderer hoffentlich findet.
Angehängte Dateien
Dateityp: zip DecryptTmpNoExt.zip (86,3 KB, 45x aufgerufen)

Geändert von Marcu ( 5. Jun 2012 um 09:39 Uhr)
  Mit Zitat antworten Zitat
CAG83

Registriert seit: 28. Mai 2012
15 Beiträge
 
#139

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 21:40
@Marcu:
Ich versuche, einfühlsamer zu werden
OT aus.
  Mit Zitat antworten Zitat
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#140

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 22:00
@CAG83

Auch hier bei mir kommen leider immer mehr Anfragen. Unsere Strategie bei verseuten Rechnern:
1) Komplettsicherung mit z.B. True Image, wenn die Daten sehr sehr wichtig sind, dann ein dd-image
2) Virus entfernen
3) Daten retten / shadow copy -> externe HDD
4) System neu installieren, Updates, Virenscanner
5) Daten zurück

@Marcu

Hey, schön wieder etwas von Dir zu lesen! Ich bin begeistert, dass Du immer noch an dem Trojaner arbeitest. Hier ist leider gerade Land unter und ich komme nicht zum Debuggen

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.
Schade, wenn es nicht mehr sein sollte, aber super Arbeit! Ich werde mir das dann auch mal genauer anschaun.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.
Zur Ersten Frage: Ich habe leider spontan keinen Einfall, wie das zu realisieren wäre. Gibt es hierfür nicht irgendein plugin für OllyDbg (Logfile o.ä.)? Zur Zweiten Frage: Von der Zeichenkettenlänge her könnte es sich um einen Platzhalter für einen Paysafe/Ucash-Code handeln, ansonsten ist es mir auch noch nicht über den Weg gelaufen.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 14 von 34   « Erste     4121314 151624     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:04 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz