Ne Idee bzw. ein paar Fragen bzgl. des Löschens der "Katalog Datei" -> wie wird gelöscht? Wird die Katalogdatei geschreddert? Falls nicht, könnte man sie ja auf den Rechnern wiederherstellen, oder nicht?!

Bzgl des obrigen Posts - falls nicht geschreddert wird, könnte man ein "Gegenmittel" erzeugen, was jedoch solange wirkt, bis der Virenprogrammierer Wind davon bekommt. Sollte man also iwie geheim halten. Eig. ists schon zu spät... =/

@ Marcu

ich habe eine Laienfrage:

Ist es nicht möglich den Trojaner zu manipulieren und zwar so das er euch die wichtigenen Infos in eine Datai oder auf den Drucker schreibt.

Wenn ihr den Code einfach ein wenig umschreibt und neu übersetzt und dann in einer sicheren Umgebung ausführt. Stück für Stück.

Ich bin ein Laie, aber ich würde so vorgehen, wenn es ginge. Debuggen und Breakpoints wären mir nicht genug.

Sonnenbogen

Es geht, bringt aber nicht allzuviel. An diese Informationen kommt man so oder so.

@Apthon
Es gibt genau genommen 2 Katalogdateien. Eine mit der Endung ".$02", die andere mit der Endung ".$03". In der $02 Datei steht <Originalname, Neuername, Passwort> für jede verschlüsselte Datei. In der $03-Datei steht <Originalname, Neuername> - für jede Datei - also ohne Passwort.

- Der $02-Katalog befindet sich in _unverschlüsselter_ Form immer nur im Speicher des Computers - niemals in einer Datei. Nachdem der Katalog mit dem Katalogpasswort verschlüsselt wurde wird er in der $02-Datei gespeichert. Das Katalogpasswort selbst wird nie in eine Datei abgespeichert und nach Gebrauch sogar explizit aus dem Speicher gelöscht.

- Der $03-Katalog wird so verschlüsselt und abgespeichert, dass man es leicht entschlüsseln kann. Außerdem wird diese Datei nach der Verschlüsselungsphase nur gelöscht und nicht geschreddert. Man hat gute Chancen diese Datei wieder herzustellen. Damit kann man aber keine Dateien entschlüsseln. Nur den Originalnamen kann man damit wieder herstellen.

vg

Hallo Sonnenbogen

genau das haben wir hier gemacht, aber wie Aphton es bereits sagte, es hat leider nicht viel gebracht.

Das Problem ist, dass bei jedem Opfer mit einem individuelles Passwort die Dateien verschlüsselt wurde - das Passwort aber nicht auf dem Computer des Opfers abgespeichert wurde.

Es genügt leider nicht das Programm in und auswendig zu kennen. Es gibt hier sogar mittlerweile eine ganze Reihe von Leuten die in Teilen den Virus besser und fehlerfreier schreiben könnten als der Programmierer des Trojaner es getan hat. Doch ohne das Passwort bringt das alles nichts. Man kann die Dateien nicht entschlüsseln. Selbst der Virenprogrammierer höchstpersönlich kann die Dateien nicht entschlüsseln, wenn er keinen Zugang zu den Passwörtern der Opfer hat.

Die Information die jetzt gebraucht wird steckt nicht im Virusprogramm. Es ist ein Passwort, das sich die Erpresser von den Computern der Opfer haben schicken lassen. Vielleicht schafft es die Polizei die Passwörter zu finden. Ich hoffe es sehr. Wenn so ein krimineller Programmierer keinen Fehler begeht, dann hat man leider nicht die geringste Chance. Tut mir sehr leid.

VG Marcu

Schade

Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung. Inwiefern das den anderen passt, ist eig. irrelevant - es ist nur eine objektive Lösung.
Und schätzungsweise wird sich die Person - ganz im Gegenteil zu dir, Marcu, wie du deine Reversing Fortschritte hier mehr oder weniger "dokumentiert" hast - hier oder wo auch immer sicher nicht melden, da sie Angst vor evt. Konsequenzen haben wird xD
Das ganze wird dann so ablaufen, dass iwann im Internet ne Riesendatenbank (oder individuelle Tabellen) mit den Passwörtern auftaucht. Wobei fraglich ist wieder, ob die Passwörter auch richtig seitens Server gespeichert wurden. Ach.. Ich sehe echt keine Chance mehr...

Btw danke Marcu. Du hast dein bestes gegeben. Wäre es aus der Seite des Clienten machbar, hättest du es geschafft

Ist eigentlich irgendwo die RechnerID gespeichert? Immerhin aendert die sich ja scheinbar beim Neustart.
Marcu, deine Praesentationen sind wirklich gut

Gebe ich dir Recht, denn der Virus ist ziemlich wasserdicht.
Habe den Schweizer C&C Server ein wenig näher angeschaut, es ist leider schon mal kein Apache (mit all dessen Macken) sondern nginx 1.0.4 . Das ganze läuft auf Debian lenny, PHP ist ein 5.2.6 - da besteht allerdings ein Memory Exhaust Problem. Um dieses zu nutzen reichen aber meine Kenntnisse nicht, ansonsten ist der ziemlich dicht. SSH ist gut gesichert, brute ist da zwecklos.
Es gibt noch ein paar offene Ports, seltsamerweise für MAC Anwendungen z.B. AFP over TCP. Aber dazu finde ich nichts, wo man ansetzen kann.

Spielen mit den Parameter der a.php brachte auch nicht viel, magic quotes sind an - SQL Injection zwecklos. Man müsste jetzt mal alle SQL Vulnerabilities durchsuchen ob ein Fehler exsitiert den man durch die Magic Quotes durchschleusen kann.
Code Injection über Variablen wurde schon seit PHP 5.0 behoben - register_globals auf off ist schon damals einer der Sicherheits-Ansätze gewesen.

Alles in allem muss schon ein begabter sagen wir mal "Serverversteher" her um sich dort mal umzusehen.

Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität.

Leute, das geht nicht. Ich komme als Betreiber dieses Forums in Teufels Küche, wenn Ihr hier einen Plan ausheckt, um einen dieser Server anzugreifen. Aus menschlicher Sicht kann ich Euch verstehen - aber die Planung für einen "Gegenangriff" kann ich hier nicht tolerieren. Ich bitte dafür um Verständnis.