AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 26 von 34   « Erste     16242526 2728     Letzte »    
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#251

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:28
Gehe ich recht, dass mit CC "Cablecom" gemeint ist?
Wohl eher Command and Control (Server).
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Benutzerbild von blawen
blawen
Online

Registriert seit: 1. Dez 2003
Ort: Luterbach (CH)
677 Beiträge
 
Delphi 12 Athens
 
#252

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:34
Gehe ich recht, dass mit CC "Cablecom" gemeint ist?
Wohl eher Command and Control (Server).
Wieder was dazugelernt
Roland
  Mit Zitat antworten Zitat
HofMar

Registriert seit: 9. Jun 2012
5 Beiträge
 
#253

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:52
Hallo Marcu,
Man müsste den Code der in ctfmon injected wird nach der Versionsnummer durchsuchen die bei der Internetkommunikation gesendet wird.
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!

Aber Du hast schon Recht, es wäre ratsam ein Tools zu haben, welches die Versionsnummer aus dem schadhaften Code direkt auslesen kann ohne das der Code ausgeführt werden muß.

Gruß Martin
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#254

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 16:56
@deraddi

Steht der Versionscode nicht im GET Parameter des Links den der Virus aufruft? Müsste dann im Klartext zu sehen sein mit Wireshark wenn der Virus nach hause telefoniert.
Genau an diesen Versionscode habe ich gedacht. Es wäre schön wenn man an diesen Versionscode
aus der Trojanerdatei schnell rauslesen könnte ohne dass man die Datei ausführt.
ich werf mal nachher die VM mit Wireshark an, mal sehen wie es am schnellsten geht.
Mit Wireshark an sich kein großes Problem in der VM den Link zu finden. Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...

2.000.11 ist die letzte, versucht sich nun hiermit zu verbinden:

http://www.robtex.com/dns/weusa-list.com.html#shared
  Mit Zitat antworten Zitat
EinRing

Registriert seit: 17. Jun 2012
1 Beiträge
 
#255

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 19:39
Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt.

Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören):
- *BC9501FD4F4E454C4F567375
- *Desk.$00

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#256

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 20:09
Hallo,
Aber in der EXE wüsste ich jetzt nicht wie man das schnell extrahieren kann. Komischerweise stürzt W32Disasm in der VM ab nachdem ich den Virus ausgeführt habe und dann ein Exemplar von ihm öffnen will...
habe vor längerer Zeit mal ein Progrämmelchen geschrieben, das versucht die Dateiversionen auszulesen.
Es ist ein Konsolenprogramm, das als Parameter den Namen der zur prüfenden Datei enthält.

Habe das Programm und einen Screenshot der Ausgabe hier angefügt, eventuell hilft es ja.

Sofern in einem Programm die FileVersion, wie für Windows typisch, enthalten ist, sollte sich in der Exe die Zeichenfolge VS_VERSION_INFO als UTF8 finden lassen, dahinter befinden sich dann die weiteren Informationen (ca. 1000 bis 2000 Byte vom Ende der Datei entfernt).

Zitat:
Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)
Dateien mit Namen in der Form von ~DF3348.tmp werden u. a. regelmäßig von MS-Office übriggelassen und nicht weggeräumt.

Stephan

Geändert von nahpets (21. Nov 2017 um 17:41 Uhr)
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#257

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 20:56
hab das Progrämmchen getestet, leider nichts passendes , schade. Der Virus meldet im GET String 2.000.11 , dein Tool 1.2.0.0 . An einer alten Version von Mitte Mai ergibt dein Tool leider gar nichts.
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.079 Beiträge
 
Delphi 12 Athens
 
#258

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 17. Jun 2012, 22:32
Wenn ja, handelt es sich hier um einen grossen Provider und ob hier ein Hacken Sinn macht, dürfte fraglich sein. Die Variante über die Polizei ist selbstverständlich auch in der Schweiz möglich.
Ich geh eh nicht davon aus, daß die sich dort kompletten Server gemietet haben.
Womöglich ist das auch noch ein gehäckter/gepaperter Server, welcher jemand ganz Anderes gehört.
Andere angreifen, denen das bestimmt nicht gefällt.

Ist doch genauso, wie man leider die eMail-Spammer nicht einfach zurück zusammen darf , so daß sie nix Weiteres mehr verschicken können.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#259

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 00:07
Zitat:
Nicht alle Versionen injectieren sich in der ctfmon. Meine Version mit der $$0-Datei machte das nicht!
Stimmt genau, HofMar. Version 2.000.11 injected in svchost (0x7FF955D4).

Eine ganze Reihe von Änderungen fallen im Vergleich zur Version 1.150.1 auf. Zunächst aber das Wichtigste: Der Trojaner verfährt noch immer so wie in Version 1.150.1. Die Verschlüsselung findet genau so statt, wie es im Bild "Verschlüsselungsphase" aufgemalt ist.

Die Statusdatei (ohne Dateiendung) im Temp-Verzeichnis wird mit einem anderen Passwort verschlüsselt. Um die Statusdatei entschlüsseln zu können muss ich das Programm DecryptNoExt geringfügig erweitern. Das ist nicht schwer. Die Virusdatei selbst bekommt jetzt einen Namen der von der Seriennummer der Festplatte abhängt.

Eine neue Temp-Datei mit der Endung $$0 wird erzeugt. In diese Datei werden jetzt die Bildschirmmaskenbilder direkt reingeschrieben. Der Umweg über die Cab-Datei entfällt.

In Version 2.000.11 gibt es 3 völlig neue Funktionen. (Für die Debugger: Am besten nach der Zeichenfolge "stage1#0stage2#0stage3#0" suchen. Die Funktion die direkt vor der Zeichenfolge steht und die zwei danach.). Diese Funktionen sehen erstmal furchtbar interessant aus ... dann stellt sich aber heraus, dass es sich nur um Funktionen handelt die nach dem LZW-Verfahren die heruntergeladenen Bilder dekomprimieren. Ich denke die Erpresser wollen den Virus so robuster machen, weil damit der Aufruf des externen Befehls "Extract" wegfällt der in Version 1.150.1 die CAB-Datei entpackte.

Der ganze Aufwand mit dem späten Laden der Bildschirmmaskenbilder, dient dem Zweck die Bildschirmmasken passend zur Sprache des Opfers auszuliefern. Vor dem Runterladen der Bilder wird die Sprache mit "GetSystemDefaultLangID" ermittelt. Es funktioniert jedoch momentan nicht. Egal was man eingestellt hat - es werden nur deutschsprachige Masken ausgeliefert. Vielleicht hat der Erpresser noch keine übersetzten Masken für andere Länder. Ist bestimmt nur eine Frage der Zeit bis es soweit ist. Dann kann er auch gleich den Trojaner mit Fortpflanzungsfunktion ausstatten, weil es ihm dann egal ist wenn der Trojaner sich über Landesgrenzen hinweg verbreitet.

In der Trojanerdatei "Bestellung Dnet24 GmbH .com" (2.000.11) sind Versionsinformationen hinterlegt. Das war bei der Version 1.150.1 nicht so. Da steht:

Version 5.7.0.6
Beschreibung: Tessei volli ombra lesso
Copyright: trarla cesta sedava 1997
Firma: vagite sarti
Interner Name: losca
Kommentare: Scampi fico veli
Marken: porvi ricevo
Orginaldateiname: losca.exe
Produktname: datomi

Tja... ist wohl italienisch
Ich habe schonmal von diesem Google-Ding gehört und auch dass es übersetzen kann! Ganz ehrlich! Aber da kommt bei mir nichts Rechtes mit raus. Steht da irgendetwas wissenswertes?



VG Marcu

Geändert von Marcu (18. Jun 2012 um 11:49 Uhr)
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#260

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 18. Jun 2012, 00:51
Hallo Ring
Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?
Klasse, dass du dich hier meldest. Im System32-Pfad findest du den Virus. Wenn nicht da, dann im Appdata-Pfad. markusg archiviert die Viren und verteilt die verschiedenen Versionen an Interessenten. Er freut sich darüber, wenn man ihm Viren schickt Besser aber gepackt und mit einem Passwort versehen.
Zitat:
Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.
Genau das ist der Grund dafür, dass nicht verschlüsselt wurde. Eine normale DFü-Netzwerkverbindung stellt der Trojaner zwar gegebenenfalls her - aber da in diesem Falle noch eine Software des Internetproviders notwendig ist, hatte der Trojaner keine Chance. Solange der Trojaner das Passwort nicht erfolgreich bei einem C&C-Server abliefern kann, wird nicht verschlüsselt. Glück gehabt.

Zitat:
Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.
Nur durch die Beschlagnahme der Passwörter wird es gelingen die Dateien zu entschlüsseln. Mir ist klar wie gering die Chance auf erfolgreiche Ermittlung ist, aber es bleibt meiner Meinung nach nichts besseres übrig.


VG
Marcu
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 26 von 34   « Erste     16242526 2728     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz