AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 25 von 34   « Erste     15232425 2627     Letzte »    
Peter I.

Registriert seit: 17. Jun 2012
2 Beiträge
 
#241

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 12:32
Computerfahrschule
Tja schon, aber vor 2 Wochen wäre ich fast gar selbst ein Opfer geworden.
Eine gut gemachte EMail droht mit Inkasso und ~600 Euro Zahlungsaufforderung wegen einer Webseite, auf der ich mich tatsächlich angemeldet habe.
Username und Email passten zusammen.
Wutentbrannt habe ich die Zip-Datei geöffnet und darin war eine "NameDerWebseite.com" Datei.
In letzter Sekunde war mir klar, das ist eine ausführbare Datei; ein Virus.

Und natürlich habe mit Admin-Rechten meine EMails gelesen
Letztes Backup ist Monate alt.
Trotz jahrelange Computererfahrung hätt's mich fast erwischt. (Aber das wird mir eine Lehre sein)

Stell dir mal eine Sekretärin bei der Deutschen Bank in Frankfurt vor.
Sie bekommt ein Mahnschreiben (angeblich von der Commerzbank) mit einer Zahlungsaufforderung über 965000 Euro. Und im Anhang eine Datei mit dem Namen "Mahnung.Coba.com".
KLICK
Hallo in die Runde,

ohne mich selbst in die Sonne stellen zu wollen, will ich mal die Hintergründe beleuchten, wie man sich als notorischer Löscher unerbetener e-mails diese Rakete einfängt. Wer hier die ja durchaus zutreffende Leier spielt, daß man aufpassen solle,
a) ist ein sehr heller Kopf, was ihm vergönnt ist,
b) wurde vom Trojanerversender möglicherweise bis dato noch nicht bedacht,
c) hat die Qualität dieser Attacke noch nicht richtig erfaßt,
d) blendet bei der Betrachtung andere Formen von Beschaffungskriminalität aus.

Insofern muß man sich überlegen, wie man mit der Geschichte umgeht. Einfache Lösungen helfen nicht weiter, wenn - wie wir hier sehen - selbst Fachleute nicht davor gefeit sind, in die Falle zu tappen. Im Gegenteil, sie sorgen dafür, daß die Opfer sich nicht um Hilfe bemühen (schön doof, selbst schuld - ist das Letzte, was man braucht) und daher denjenigen, die an dem Problem forschen, aktuelle Entwicklungen vorenthalten werden.

Bei mir war es so, daß wir kurz nach Mitternacht einen Feuerwehreinsatz im Haus hatten und ich aus beruflichen Gründen deswegen noch nach 01:00 am Rechner saß um bestimmte Recherchen zu machen.
In meinem Spamfilter landen etwa 60% mails, die gebraucht (aber nicht erwartet) werden, es ist also keine Option, den unbesehen auszukippen.

Die mail mit dem Trojaner ist zwar gespickt mit Schreib- und sachlichen Fehlern, aber der Adressat wird mit seinem vollkommen korrekt geschriebenen Namen höchstpersönlich angesprochen. Das ist bei mir bei von mir völlig fremden Leuten normal, also schon mal kein Grund, deswegen die mail zu killen.
Deren Inhalt läßt auf einen Fall von Identitätsklau schließen, also eine Geschichte, die mehrfach durch die Medien lief und ausweislich der Erfahrungen Betroffener nicht einfach durch Aussitzen aus der Welt geschafft werden kann, sofern einem gehäufte Schufa-Einträge und Zivilrechtsprozesse nicht am Allerwertesten vorbeigehen. Man avisierte eine angeblich bestellte Lieferung und Belastung einer hohen vierstelligen Summe innerhalb der nächsten Tage. Daß ich mich um die Entgegennahme der Ware nicht würde kümmern müssen, sondern daß das andere erledigen, die mir dafür die Rechnung überlassen, ist derweil Allgemeingut. Es liegt also von vornherein sehr nahe, Strafanzeige zu erstatten bzw. anwaltliche Hilfe in Anspruch zu nehmen, aber wenn man nicht nur eine Verfahrenseinstellung bzw. eine Honorarrechnung haben will, sollte man dem Gegenüber mehr als nur "ich hab' da eine Bestellbestätigung und ein Abbuchungsavis gekriegt, weiß aber nicht, worum es geht" vortragen können. Was soll der arme Polizeibeamte oder der Anwalt damit schon anfangen, der fragt logischerweise nach dem Inhalt des Schreibens.

Was ihr den Leuten (der vom Vorposter genannten Sekretärin bspw.) durchaus vorwerfen könnt ist, nicht gerafft zu haben, daß das da eine zip-Datei ist. Nur fliegen hier täglich die unsinnigsten Varianten rein - eine dankenswerterweise weitergeleitete mail bspw., noch eben nicht als Klartext in der Weiterleitungsmail, sondern als Dateianhang zu solcher - und andere Dinge, die einem immer beim ersten Mal neu sind. Wer auf die aus altruistischen Motiven weitergereichten Terminhinweise keinen Wert legt, kann die Absender darob anscheißen - und sich ein anderes Betätigungsfeld suchen.

Quintessenz: ich schreibe diesen Beitrag von einem Rechner, dessen Platte ich heute früh ausgebaut habe (stelle sie zu Forschungszwecken gerne einem diskret vorgehenden Mitglied dieses Boards per persönlicher Übergabe zur Verfügung), der von einer in der Linux-Welt enthaltenen Live-DVD gebootet wurde und derweil (vom RAM abgesehen) keinen anderen Massespeicher hat.

Beste Grüße und viel Erfolg noch,
Peter
  Mit Zitat antworten Zitat
Peter I.

Registriert seit: 17. Jun 2012
2 Beiträge
 
#242

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 12:53
Hallo

habe das jetzt schon einige zeit Verfolgt weil meine Cousine sich den Trojaner eingefangen hat.
(Habe die Mail - mit dem Anhang von ihr auch bekommen; Eine weitere Mail habe ich von einem Kollegen - der hatte den aber auf grund meiner Warnung nicht geöffnet.)

Je mehr ich aber lese - um so mehr fällt mir auf - das man eigentlich an die DB des C&C Servers kommen müsste.

Allerdings ist mir was eingefallen. Bei einem frisch befallenen System, könnte man theoretisch mit einer Cold-Boot Attacke den Speicher Dumpen und im Dump des Speichers nach dem Passwort suchen - das würd aber nur bei eine Frisch infizierten Rechner der nicht ausgemacht wird - bis man alles für den Cold-Boot Angriff vorbereitet hat - funktionieren. Wenn mann dann in den Speicher nach dem "CatalogPassword" oder wie der Identfier für die Variable heißt sucht - müsste mann doch was finden.

Viele Grüße

R. Landscheidt
Klingt ganz gut, nur frage ich mich jetzt, was ihr einem Anwender antwortet, der Euch anruft, daß er jetzt vor der Zahlungsaufforderung sitzt und der PC nichts anderes mehr tut, als ihn den Code eingeben zu lassen oder den Taskmanager aufzurufen, der lediglich jede Menge laufender Prozesse, aber keine Anwendung anzeigt, die man beenden könnte? Die meisten Leute werden schon das Ding gar nicht kennen oder mit ihm etwas anfangen können. Ergo wird wohl in 99,9Periode von 100 Fällen die Kiste ausgeschaltet.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#243

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 15:17
@Blup

Zitat:
Der Programmierer des Trojaners verwendet einen 32Bit-Wert als Ausgangspunkt für die "Zufallszahl", dafür verknüpft er die beiden Register mit xor.
Völlig richtig Das "xor eax,edx" muss da natürlich rein. Danke

Ich habe es in Delphi 5 getestet und gemerkt, dass es dann immer noch nicht so ganz klappt. Delphi 5 fügt vor der Rückkehr aus der Funktion ein "mov eax,edx" ein und überschriebt das Ergebnis der XOR- Operation. Ich geh jetzt lieber den Weg des geringsten Widerstands und habe den Funktionsaufruf ganz aufgelöst. So sollte es jetzt mit jeder Delphiversion klappen.
Zitat:
Bei meinen Versuchen schwankt die Anzahl allerdings erheblich, ich sehe hier keinen Angriffspunkt.
Das ist echt schade Ich hatte so ein bisschen das Gefühl, dass das sehr schwierig wird, aber trotzdem die Hoffnung nicht ganz aufgegeben. Klasse dass du es versucht hast

Delphi-Quellcode:
function GetRandomNumber: DWORD; // finale Version :-)
// http://www.cems.uwe.ac.uk/~irjohnso/coursenotes/ufeen8-15-m/p1192-parkmiller.pdf
// Seite 1195 (function Random Integer Version 2)
const
  a = 16807;
  q = 127773; (* 2147483647 div a *)
  r = 2836;
var
   hi, lo, seed: DWORD;
begin
  asm
    dw $310F (* = rdtsc -> 64 bit in edx:eax *)
    xor eax,edx
    mov seed,eax
  end;
  hi := seed div q;
  lo := seed mod q;
  Result := (a * lo - r * hi) mod 10000; (* $186A0 *)
end;
@ewhiz

eine Datei mit der Endung ".$$0" speichert die Version die ich untersucht habe (1.150.1) mit Gewissheit nie ab. Da liegt eine andere - neuere Version vor, die etwas anders macht als ich es kenne.
Ich bekomme bald eine aktuelle Version von Markus - dann werde ich danach suchen. Wird interessant werden die neue mit einer älteren Version zu vergleichen und zu sehen was der Virenprogrammierer als verbesserungswürdig ansieht.

@HofMar
Zitat:
wie bekommt man möglichst schnell die Versionsnummer aus dem schadhaften Code heraus?
Die Versionsnummer ist bestimmt eine wichtige Information, wenn man sich mit diesem Trojaner beschäftigt und wird in Zukunft sicher noch wichtiger, da der Erpresser den Virus weiterentwickelt. Man müsste den Code der in ctfmon injected wird nach der Versionsnummer durchsuchen die bei der Internetkommunikation gesendet wird. Dieser Code steht in verschlüsselter Form in der Trojanerdatei. Ist also ein ganz hübsches Stück Arbeit, aber die Mühe auf jeden Fall wert. Falls mir keiner zuvorkommt, werde ich mich nächste Woche damit beschäftigen.


@pcnberlin
Zitat:
@Marcu: Danke für die super Erklärungen & das Bild für die bessere Übersicht!

@markusg: Ja, eine Version 2.X hätte ich gern.
Danke, Super, dass du noch dabei bist!

VG Marcu
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#244

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 15:29
@ Marcu: habe hier 3 neuere Versionen im "Giftschrank" vom 8.06 , 12.06 und von gestern. Wenn du sie haben möchtest, PN reicht.

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
  Mit Zitat antworten Zitat
Haubentaucher

Registriert seit: 16. Jun 2012
2 Beiträge
 
#245

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 15:34
@bombinho & Dalai:
Nur kurz: Danke, für die verständige Antwort, die ich wohl bestätigen kann:
In der Tat handelt es sich um ein Altlaufwerk vom Vorrechner (Netzteilbrand...), dort war xp drauf. Hatte mir seinerzeit stumpf die Rechte der (alle meine) Benutzerkonten angeeignet und danach das System nur grob ausgekehrt.

Ok, hab zwar sicher nicht an Magie gedacht, aber zugegeben - wohl von einem Strohhalm geträumt.

Wenn die Dateien so 'gelungen' verschlüsselt werden können, dann hoff ich mal stark, dass wenigstens die teuren Nachrichtendienste Mittel haben, Klartext erzeugen zu können. Sonst müssen die am Ende noch selbst texten.

Jedenfalls vielen Dank! Drücke Daumen!
  Mit Zitat antworten Zitat
Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#246

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 15:42
---
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG

Geändert von Aphton (17. Jun 2012 um 15:57 Uhr)
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#247

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 15:47
@ Marcu: habe hier 3 neuere Versionen im "Giftschrank" vom 8.06 , 12.06 und von gestern. Wenn du sie haben möchtest, PN reicht.
Die Erpresser schicken jede Woche eine neue Version.

Bitte schick mir alle drei Versionen. Vielen Dank Addi
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#248

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:04
@deraddi

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#249

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:08
@deraddi

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.
ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.
  Mit Zitat antworten Zitat
Benutzerbild von blawen
blawen

Registriert seit: 1. Dez 2003
Ort: Luterbach (CH)
677 Beiträge
 
Delphi 12 Athens
 
#250

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:11
Ich sehe momentan echt nur noch mehr das Hacken des CC Servers als einzige Lösung.

Eine Gruppe von mehreren Personen organisiert sich, um in fremdes System einzudringen. ... Das riecht nach ... *schnupper* ... organisierter Computer-Kriminalität.

...
Schweizer Server?

OK, in Bezug auf Banken sind die zwar etwas komisch, aber kann man es nicht dennoch mal mit den Gesetzen da drüben versuchen?
Richter => Verfügung => Polizei => Daten

Selbst in China gibt es eine Polizei und dann kann man sich auch noch direkt an diese chinesische Uni wenden usw.
In Bezug auf die Banken sind die Schweizer nicht schlechter als andere Länder. Aber es ist schon klar, dass man zum eigenen Vorteil die anderen zu vernichten versucht.

Gehe ich recht, dass mit CC "Cablecom" gemeint ist?
Wenn ja, handelt es sich hier um einen grossen Provider und ob hier ein Hacken Sinn macht, dürfte fraglich sein. Die Variante über die Polizei ist selbstverständlich auch in der Schweiz möglich.
Roland
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 25 von 34   « Erste     15232425 2627     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz