Stimmt genau, HofMar. Version 2.000.11 injected in svchost (0x7FF955D4).

Eine ganze Reihe von Änderungen fallen im Vergleich zur Version 1.150.1 auf. Zunächst aber das Wichtigste: Der Trojaner verfährt noch immer so wie in Version 1.150.1. Die Verschlüsselung findet genau so statt, wie es im Bild "Verschlüsselungsphase" aufgemalt ist.

Die Statusdatei (ohne Dateiendung) im Temp-Verzeichnis wird mit einem anderen Passwort verschlüsselt. Um die Statusdatei entschlüsseln zu können muss ich das Programm DecryptNoExt geringfügig erweitern. Das ist nicht schwer. Die Virusdatei selbst bekommt jetzt einen Namen der von der Seriennummer der Festplatte abhängt.

Eine neue Temp-Datei mit der Endung $$0 wird erzeugt. In diese Datei werden jetzt die Bildschirmmaskenbilder direkt reingeschrieben. Der Umweg über die Cab-Datei entfällt.

In Version 2.000.11 gibt es 3 völlig neue Funktionen. (Für die Debugger: Am besten nach der Zeichenfolge "stage1#0stage2#0stage3#0" suchen. Die Funktion die direkt vor der Zeichenfolge steht und die zwei danach.). Diese Funktionen sehen erstmal furchtbar interessant aus ... dann stellt sich aber heraus, dass es sich nur um Funktionen handelt die nach dem LZW-Verfahren die heruntergeladenen Bilder dekomprimieren. Ich denke die Erpresser wollen den Virus so robuster machen, weil damit der Aufruf des externen Befehls "Extract" wegfällt der in Version 1.150.1 die CAB-Datei entpackte.

Der ganze Aufwand mit dem späten Laden der Bildschirmmaskenbilder, dient dem Zweck die Bildschirmmasken passend zur Sprache des Opfers auszuliefern. Vor dem Runterladen der Bilder wird die Sprache mit "GetSystemDefaultLangID" ermittelt. Es funktioniert jedoch momentan nicht. Egal was man eingestellt hat - es werden nur deutschsprachige Masken ausgeliefert. Vielleicht hat der Erpresser noch keine übersetzten Masken für andere Länder. Ist bestimmt nur eine Frage der Zeit bis es soweit ist. Dann kann er auch gleich den Trojaner mit Fortpflanzungsfunktion ausstatten, weil es ihm dann egal ist wenn der Trojaner sich über Landesgrenzen hinweg verbreitet.

In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:

Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi

Tja... ist wohl italienisch
Ich habe schonmal von diesem Google-Ding gehört und auch dass es übersetzen kann! Ganz ehrlich! Aber da kommt bei mir nichts Rechtes mit raus. Steht da irgendetwas wissenswertes?



VG Marcu

[QUOTE=Marcu;1171312]So eine ähnliche habe ich auch; war aber schon am 23.5.
Subject: Deine Anmeldung, www.Singles-4you.at
bin mir aber nicht mal sicher, ob das Biest verschlüsselt oder nicht, da die exe noch nicht ausgeführt wurde.

Prova A Grattare Meglio
Forse Non è Cosi
CompanyName: We bello comè?
FileDescription: _Tappost?
LegalCopyright: What a feel
ProductName: Real Love
FileVersion: 5.03.0002
ProductVersion: 5.03.0002
InternalName: giggino
OriginalFilename: giggino.exe

(per Hexeditor ausgelesen)
hab' ich aber auch schon hochgeladen...

Gruß
Joh

diese fake coppyright infos gibts schon in älteren versionen würd ich behaupten.
mal ne kleine anmerkung, da das hier schon häufiger gefragt wurde, wenn jemand aktuelle mails mit anhängen (spam) reinbekommt, hätte ich die gern
http://markusg.trojaner-board.de
wir haben da extra ne adresse eingerichtet, also keine falsche scheu :d