AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
pcnberlin

Registriert seit: 28. Mai 2012
16 Beiträge
 
#1

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 4. Jun 2012, 21:00
@CAG83

Auch hier bei mir kommen leider immer mehr Anfragen. Unsere Strategie bei verseuten Rechnern:
1) Komplettsicherung mit z.B. True Image, wenn die Daten sehr sehr wichtig sind, dann ein dd-image
2) Virus entfernen
3) Daten retten / shadow copy -> externe HDD
4) System neu installieren, Updates, Virenscanner
5) Daten zurück

@Marcu

Hey, schön wieder etwas von Dir zu lesen! Ich bin begeistert, dass Du immer noch an dem Trojaner arbeitest. Hier ist leider gerade Land unter und ich komme nicht zum Debuggen

in der angehängten Datei befindet sich ein Programm (inkl Source) mit dem man das Temp-File ohne Erweiterung entschlüsseln kann. Der Virus muss sich verschiedene Informationen merken. (z.B: Wie viele Fehleingaben es bereits gab.) So etwas findet man in diesem ersten TmpFile.
Schade, wenn es nicht mehr sein sollte, aber super Arbeit! Ich werde mir das dann auch mal genauer anschaun.

@pcnBerlin und alle die einen Debugger haben
Hast du eine Idee wie wir übersetzten Assemblercode so tauschen können, dass der andere schnell die entsprechende Codestelle im Virus finden kann? Sollen wir eine hexadezimale Bytefolge als Kommentar in den Delphicode reinschreiben? Hast du eine Ahnung was für eine Bedeutung hinter der Zeichenfolge "12341234123412341234" im Tmp-File steckt? Ist mir bisher noch nicht über den Weg gelaufen.
Zur Ersten Frage: Ich habe leider spontan keinen Einfall, wie das zu realisieren wäre. Gibt es hierfür nicht irgendein plugin für OllyDbg (Logfile o.ä.)? Zur Zweiten Frage: Von der Zeichenkettenlänge her könnte es sich um einen Platzhalter für einen Paysafe/Ucash-Code handeln, ansonsten ist es mir auch noch nicht über den Weg gelaufen.
  Mit Zitat antworten Zitat
Antwort Antwort

« Vorheriges Thema | Nächstes Thema »
 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:22 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz