Hallo Zusammen,

habe mit dem Problem zum Glück akut nichts zu tuen, habe aber trotzdem mal ein paar Fragen?

Wäre es mögliche alle IP-Adressen, der vom Trojaner genutzen Server, zu veröffentlichen?

Hintergrund: Es wäre damit ja möglich die IP-Adressen per Firewall zu blockieren.
Wie verhält sich in diesem Fall der Trojaner?
Richtet er trotzdem Schaden an oder schlägt die Schadroutine nur zu, wenn er eine Verbindung hat herstellen können?

Greift er über IP-Adressen auf die Server zu oder über die Namen der Rechner, beim Zugriff über den Namen wäre es ja dann auch möglich, die Namensauflösung über die hosts-Datei auf eine andere IP (z. B. 0.0.0.0) umzuleiten, mit der Folge das der Trojaner sein Ziel nicht erreichen kann.

Entsprechende Regeln sollten aber sicherlich in jeder Firmenfirewall hinterlegt werden können, für den Privatanwernder wird es dann etwas schwieriger, da er sich ja selbst mit einer Firwall befassen muss.

Wäre es möglich, dass die Netzbetreiber die IP-Adressen oder die Namensauflösung blockieren?
Mir ist dabei durchaus klar, dass die gelungene Blockierung von Namen und/oder IP-Adressen auch missbraucht werden kann, um damit eine Zensur durchzuführen ala Name und IP von z. B. Google blockieren und wir haben eine "wunderbare" Zensur.

Wenn man in einem Netzwerk mehrere Rechner mit identischer IP-Adresse hat, bekommt man ja durchaus Probleme in Bezug auf die Erreichbarkeit der Rechner. Was passiert, wenn man ins Netz nun weitere Rechner stellt, die permanent verfügbar sind und "zufällig" die gleichen IP-Adressen und/oder Namen haben, wie die vom Trojaner genutzen Server. "Stört" man damit ggfls. nur den Trojaner oder hätte das weitere negative Auswirkungen auf den Datenverkehr im gesamten Netz (also letztlich weltweit)?

Klar ist, dass dies alles den Geschädigten nicht hilft, aber eventuell ließe sich bei Realisierbarkeit des Einen oder Anderen ja der weitere, leider zu erwartende, Schaden verringern.

Alle Texte von Mails, die ich bisher zu dem Trojaner habe lesen können, waren deutschsprachig, ist der Trojaner auf den deutschen Sprachraum beschränkt oder ist der multilingual?
Oder wer verschickt nach welchen Kriterien die Mails, die den Trojaner enthalten? Da scheint sich ja auch jemand zumindest ein paar Gedanken gemacht zu haben, wenn auch mir bisher keine der Mails inhaltlich plausibel erschien. Bei allen Mails waren Formulierungen zu finden (oder Rechnungsoptionen bzw. Preise), die klar auf ein Fake hindeuten, so dass für meine Begriffe bei keiner dieser Mails eine Veranlassung bestand, den Anhang zu öffnen. Aber hier muss man wohl die Leute einfach mal besser und ausführlicher Informieren, das wäre sicherlich was für Quarks & Co. und wie sie alle heißen...

Stephan

PS.: Ich erwarte jetzt keine vollumfängliche Antwort, aber vielleicht lassen sich ja doch Möglichkeiten zur Schadensbegrenzung finden.

Die nächste Version des Virus würde dann die Fähigkeit bekommen den Eintrag in der Firewall zu löschen oder die Firewall generell auszuschalten.
Was einen gewissen Effekt bringen würden, wäre ein DOS-Angriff auf die Command&Control-Server.
Man müsste die Server mit Fake-Daten regelrecht zuschiesen.
Problem ist nur, dass dann der Virus so geändert wird, dass er immer einen CC-Server findet.
Die Rechnernamen oder IP-Adressen sind dann nicht mehr hartcodiert, sondern werden von einem ausgeklügelten Algorithmus erzeugt, wie man ihn schon von Botnetzen kennt.
Wenn ein CC-Server gekillt wird stehen schon 5 andere bereit den Job zu übernehmen.

Schon richtig, wenn der Ransom keinen Serverkontakt bekommt, verschluesselt er nicht. Das war auch mein anfaengliches Problem.
Der Trojaner sass auf dem Rechner und tat nichts. Bis ich mir den Netzwerkverkehr angeschaut habe und festgestellt hatte das der AV vom uebergeordneten System den Netzwerkverkehr stoerte.

Ich habe den Verdacht, dass da noch ein paar mehr Leute betroffen sind, wo der AV im Moment noch die Aktivierung verhindert.

@Markusg: Jupp, wuerde mir die v2 auch gerne mal anschauen. Seit wann ist die aktiv?

Die neueste Version hab ich mit in einer VM mit Filemon angeschaut trägt sich jetzt schon in der WinDoof Firewall ein. hosts wäre eine Lösung, muss aber ständig aktuell gehalten werden - immer noch ein Restrisiko einen Virus zu erwischen dessen C&C nicht in der hosts steht.

Eine sicherere Variante ist den Mailer und den Browser in z.b. Sandboxie laufen zu lassen. Man muss das aber so anpassen das der Mailer in seiner ursprünglichen Datenbank schreiben lann.

Hallo,
Es müsste doch eigentlich egal sein, wie der Trojaner IP und Rechnername verschlüsselt, über die Leitung muss doch die IP zum Zielrechner gehen, sonst kommt der Verkehr ja nicht an. Will sagen, egal wie verschlüsselt wird, mit einer Überwachung des Netzverkehres müssten sie doch ermittelbar sein?

Wie kann ein Trojaner denn eigene Daten in die Windowsfirewall eintragen, verändern, löschen, wie macht er das bei Zonealarm, bei Comodo oder gar einer Hardwarefirewall, die zwischen Firmennetz und "Außenwelt" steht? Klar, für den Heimanwender ist eine Hardwarefirewall sicherlich nicht die Lösung

Mir ist durchaus klar, dass es keine Lösung gibt, um alle aktuellen und alle zukünftigen Varianten dieses Virus "stillzulegen". Es handelt sich hier um ein klassisches Wettrüsten, der Angreifer (sprich Trojaner) ist immer ein Stück voraus, man muss immer auf Änderungen reagieren
Was kann ich als "normalsterblicher Heimanwender" tun, um es den Virus- und Trojanerentwicklern möglichst schwer zu machen, es müsste für die so schwer werden, dass sich Aufwand und Nutzen nicht mehr rechnen.
Ok: "Spaßkriminelle", die das nur als Herausforderung ansehen,
werden diesen Wettkampf vermutlich begeistert aufnehmen.

Stephan

PS: Der beste Viren- und Trojanerschutz ist wohl immer noch: Mails von unbekannten Absendern ungelesen löschen.

Wenn man dies konsequent tut, dann hat man schon ein weiteres Stückchen Sicherheit erreicht, doch gestaltet es das Geschäftsleben eine Idee schwieriger, da gerade die Kontaktaufnahme mit neuen Personen ja unter Umständen absolut gewollt ist.

Das sieht man an Flame, der sich mit einem Trick al Windowsupdate ausgab und so auch unter Nicht-Adminrechten installiert wurde.

Hallo,
klar, dass Geschäftsleben kenn' ich nun schon seit ein paar Jahrzehnten, aber trotzdem ist es mir immer gelungen unbekannte Personen und deren zu löschende Mails und unbekannte neue Geschäftspartner zu unterscheiden. Betreffzeilen von Spam, Trojanern... sind irgendwie nie so, dass sie auf einen sinnvollen Inhalt schließen lassen, spätestens bei dem textlichen Inhalt der zu dem hier genannten Trojaner gehörenden Mails sollte aber die Alarmglocke klingeln. Man sollte wissen, wo man wann was gekauft hat und ob der Geschäftspartner Rechnungen, Mahnungen... per Mail verschickt.
Okay, vielleicht sind meine Sinne in der Hinsicht etwas geschärft, da ich für mehrere Jahre die vom Spamfilter auf dem Server festgehaltenen Mails nach gut und böse sortieren musste und für deren Weiterleitung bzw. sichere Entfernung zuständig war.

Stephan

Hallo...

ich hätte noch 2 unangetastete Exemplare der letzten Tage. Bei Bedarf bitte melden und kurz erklären ob und wie ich den E-Mail Anhang gefahrlos speichern und anhängen kann.

Respekt für Eure Arbeit.

Hi,

bei mir kommen auch fast täglich Mails mit Rechnungen / Mahnungen / Buchungsbestätigungen etc. mit ZIP-Anhängen.
Aufgrund der zeitlichen Nähe vermute ich mal eben jenen Virus als Inhalt.
Bislang sind die Mails direkt "geshreddert" worden - aber falls die hier jemand gebrauchen kann - einfach Bescheid geben, dann hebe ich sie auf - als Mac-User sollte er mir ja nix anhaben können.

LG,
Frederic