AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselungs-Trojaner, Hilfe benötigt

Ein Thema von Michael Habbe · begonnen am 18. Mai 2012 · letzter Beitrag vom 27. Dez 2017
Antwort Antwort
Seite 28 von 34   « Erste     18262728 2930     Letzte »    
johX

Registriert seit: 4. Jun 2012
11 Beiträge
 
#271

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 17:02
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu
Ich werde heute oder morgen die Originalplatte bekommen. Ich hoffe, das ich die $03-Datei darauf finde. $02 war jedenfalls drauf.
=> ich hab' glücklicherweise die Platte direkt ausgebaut und bisher nur ausgelesen...

gruß
Jochen
  Mit Zitat antworten Zitat
zeras

Registriert seit: 11. Mär 2007
Ort: Saalkreis
1.633 Beiträge
 
Delphi 12 Athens
 
#272

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 19. Jun 2012, 19:49

Ich habe nun versucht, mit einer Live CD zu starten. Irgendwie geht das nicht, obwohl ich eigentlich die CD als 1. Bootmedium eingestellt hatte. Es startet nun Windows normal hoch, aber der Ukash Bildschirm kommt nicht mehr. Online bin ich nicht. Warum kommt der Bildschirm nun nicht mehr?
Offensichtlich war im BIOS doch nicht umgestellt. Mein Fehler.

Jedenfalls weiter getestet.
Gestern Abend noch ein wenig gespielt an dem Rechner. Auf dem Rechner war AVG installiert und nach mehrmaligem Hochfahren zeigte AVG eine Meldung an, dass etwas gefunden wurde. Warum dies bei den ersten Malen Hochfahren nicht kam, weiß ich nicht. Möglicherweise hängt das mit dem Timing beim Start zusammen. Ich hatte ja die Notfall CD von PCM drin. Vielleicht hatte da der Startvorgang vom Trojaner etwas länger gedauert (weil das DVD Laufwerk anlief) und dadurch kam AVG zum Zuge. Jedenfalls ist es mir gestern noch gelungen, die Dokumente Ordner auf CD zu brennen. Bis jetzt habe ich nur Bilder gefunden, die in Ordnung waren. Vielleicht hat mein Kollege doch recht schnell die Internetverbindung unterbrochen, so dass der Trojaner nicht fertig war. Vielleicht gibt es aber in den vielen Ordnern schon Dateien, die verändert wurden? Dies wird mein Kollege noch prüfen.
Danach habe ich dann AVG gesagt, die gefundene Datei in Quarantäne zu verschieben und noch andere Einträge zu löschen und seitdem startet der Rechner normal hoch. Ich will heute nochmal mit GDATA Live CD drüberscannen und vielleicht brauche ich dann die Platte nicht neu formatieren. Gefunden hat AVG einen Eintrag in der Registry, dann unter Users ein Eintrag YXFURTYL.EXE dann unter Windows C:\Windows\SYSWOW64\explorer.exe. Jedenfalls wurden 3 Prozesse beendet, 1 Datei entfernt und 1 Regschlüssel gelöscht.

Original kam der Trojaner aus einer Email von web.de
Vielleicht gibt es die noch und ich kann diese zur Verfügung stellen.
Matthias
Es ist nie falsch das Richtige zu tun!
- Mark Twain
  Mit Zitat antworten Zitat
Desaster83

Registriert seit: 20. Jun 2012
1 Beiträge
 
#273

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 20. Jun 2012, 14:12
Guten Tag allerseits,
auch ich bin über Umwege von diesem Virus befallen worde.
Mein Vater hatte letzte Woche eine Mail bekommen und die Datei geöffnet, da er persönlich angesprochen wurde und er die Absender-Adresse kannte.
Die Dateien sind "EngufdsXloQNxUfDa" in dieser Art verschlüsselt. Soweit ich das seh, sämtliche Office-Dateien, pdf, videos, bilder und mp3.
Ich bin ein bisschen überrascht, dass die Verschlüsselung so willkürlich zu sein scheint, also ich mein die verschlüsselten Dateien. Auf Systempartition C, ist keine einzige Datei verschlüsselt. Auf d,e und f sehr sehr viele bis alle. In einem Baum mit diversen Unterordnern sind manche Unterordner im Baum komplett verschlüsselt, manche komplett unverschlüsselt. Unabhängig vom Datum oder sonst irgendwas. Außerdem gibt es Ordner in denen nur ein paar Dateien verschlüsselt sind und sogar einen mit etwa 100 Dateien wo exakt eine Datei verschlüsselt wurde. Hängt das nur mit der tatsächlichen Speicheradresse der Dateien zusammen oder steckt mehr dahinter?

Noch eine kleine vermutlich bedeutungslose Anmerkung zum Thema:
Jemand hatte hier von 5100 Dateien gleichen Inhalts in einem Ordner berichtet wo ein verschlüsselter Dateiname doppelt vorkam. Könnte da nicht der Unix Timestamp eine Rolle spielen?
Ansonsten find ich EINEN doppelten Namen bei 5100 identischen Dateien merkwürdig.

lG
Matthias
  Mit Zitat antworten Zitat
Marcu

Registriert seit: 20. Mai 2012
50 Beiträge
 
#274

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 20. Jun 2012, 20:56
Hallo Matthias

für jede Partition wird ein Thread gestartet, der rekursiv durch den Dateibaum läuft. Diese Threads laufen gleichzeitig. In jedem Thread wird zu jeder Datei ein neuer Dateiname und ein Passwort per Zufall generiert. Dieser Datensatz wird nach der Erstellung in einen gemeinsamen globalen Speicherbereich abgelegt. Am Schluß hat der Virus im Speicher einen langen String mit folgendem Aufbau: Altername<0a0d>Neuername<0a0d>Passwort<0a0d0a0d>.. .
Und genau so sieht auch eine entschlüsselte Datei Katalog.$02 aus - eine reine Textdatei.

Code:
Speicherdump
.
.
.
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\NewShortcut3_8315396A5EA1419DBEC4978284BDF556.exe
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{A990EAA7-8941-4621-BC27-4F16261D3180}\ONtogGLnrsoOxnNsEgG
xDVyGLdAsofyGnUAtEVqxLdjsEfyGLdjsEV

C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\brndlog.bak
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\sEDjJENrOyvQuOngrAujE
gTuQnsrAuAoroyTQnsTUqEEyjodXqQrsEslj

C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\brndlog.txt
C:\\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\aeGapdeDsXaflsGapds
DsxaXUelsXTflsxTXgsflsVGdJOQUsfxpNtTgxpNsTOGXrtT
.
.
.
Es gibt ein Limit für die Größe des Speicherbereichs in dem die Datensätze gesammelt werden. Sobald der Katalog dieses Limit erreicht hat werden keine weiteren Datensätze mehr angefügt. Wegen dieses Limits und der Gleichzeitigkeit der Threads kann es durchaus schon dazu kommen, dass nur eine Datei in einem Verzeichnis verschlüsselt wurde.
Vielleicht hat dein Vater sich auch unkooperativ verhalten und mitten in der Verschlüsselungsphase den Computer ausgeschaltet.

Vg Marcu

Geändert von Marcu (20. Jun 2012 um 21:12 Uhr)
  Mit Zitat antworten Zitat
computerfachgeschäft

Registriert seit: 27. Jun 2012
1 Beiträge
 
#275

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 27. Jun 2012, 08:24
Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft
{snip}

Geändert von Daniel (27. Jun 2012 um 08:30 Uhr) Grund: EMail-Adresse entfernt, da das Angebot derzeit noch nicht seriös wirkt.
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#276

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 27. Jun 2012, 08:27
Wir retten alle Ihre Daten (ausser Windows XP). Auch nach Angriffen des neuesten Verschlüsselungs Trojaners!
PC, Laptop einschicken, 2 Tage später haben Sie alle Ihre Daten wieder!

Datenrettung bis 500 MB = € 45,00, je weitere 500 MB plus € 15,00.

Sinnvoll danach komplette Neuinstallation, mit allen Treibern und allen wichtigen Programmen = € 65,00

Computerfachgeschäft

Euer Geschreibsel ohne ernsthafte Kontaktdaten wirkt wenig seriös. Solltet Ihr tatsächlich in der Lage sein, diesen Service zuverlässig anbieten zu können, dann hättet Ihr mit seriöseren Anzeigen garantiert mehr Erfolg.

Frage in die Runde: Spekulationen helfen niemandem weiter - gibt es Erfahrungsberichte mit o.g. "Anbieter"?
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von OldGrumpy
OldGrumpy

Registriert seit: 28. Sep 2006
Ort: Sandhausen
941 Beiträge
 
Delphi 2006 Professional
 
#277

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 27. Jun 2012, 10:59
Ich bin da skeptisch... Kommt jemand aus Füssen oder näherer Umgebung und könnte dort einmal vorbeischauen? Adresse usw. gibts per PN. Und nein, ich hab mit denen nix zu tun
"Tja ja, das Ausrufezeichen... Der virtuelle Spoiler des 21. Jahrhunderts, der Breitreifen für die Datenautobahn, die k3wle Sonnenbrille fürs Usenet. " (Henning Richter)
  Mit Zitat antworten Zitat
deraddi

Registriert seit: 7. Jun 2012
16 Beiträge
 
#278

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 27. Jun 2012, 11:08
Den selben Text findet ihr forenübergreifend überall wo der Matsnu Virus diskutiert wird. Getrost ignorieren ...
  Mit Zitat antworten Zitat
johX

Registriert seit: 4. Jun 2012
11 Beiträge
 
#279

AW: Verschlüsselungs-Trojaner, Hilfe benötigt

  Alt 7. Jul 2012, 19:17
Hallo Joh
Zitat:
Wie weit ist es bisher mit der Entschlüsselung der $03-Katalogdatei?
Bist du da noch am Ball?
Mittlerweile gibt es ja einige Möglichkeiten, Dateien typabhängig wiederherzustellen, so das die Möglichkeit einer Re-Umbenennung schon sehr hilfreich wäre.
Das ist ganz schnell gemacht. Besteht die Möglichkeit eine $03-Datei zu bekommen? Kannst du mir vielleicht eine per pm zuschicken, bitte?

vg Marcu
so... aus 2 Tagen wurden 3 Wochen ;-(

habe heute erst die Platte bekommen. Und ScheiXXe, 36000 gelöschte Dateien, aber keine $03 darunter.
In temp stehen:

5CB41BEA4D4F48545341.$02 => 2.523.050 Bytes, Datum 1.6. 18:35
5CB41BEA4D4F485453416854.$ => 1048 Bytes, Datum 1.6. 18:30
5CB41BEA4D4F485453416854 => 1048 Bytes, Datum 2.6. 15:49

Wenn ich alles richtig verstanden habe, sollte die Datei aber 5CB41BEA4D4F48545341.$02 heißen und auch im $user\temp-Verzeichnis liegen (gelegen haben).


Ich habe mir zwar schon ein Programm geschrieben, welches die (hier wichtigen) OpenOffice-Calc-Dateien erkennt und automatisch wiederherstellt, aber mit Dateinamen wäre vieles einfacher und schöner.

Gruß
Joh
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai
Online

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#280

Neue Variante einer Ukash Scareware

  Alt 8. Jul 2012, 02:26
Hab mich ja schon gefreut, dass ich und meine Umgebung bisher von dem Ding verschont wurde. Bis heute, als es meinen Bruder erwischte.

Die bisherige Analyse hat aber ergeben, dass es ein völlig anderes Ding ist, das weder verschlüsselt noch irgendwelche Anstalten macht, Taskmanager und/oder Registry zu sperren. Wenn man die Analyse von VirusTotal (zum Zeitpunkt der Analyse - kurz nach der Infektion - erkannten gerade mal 4 Scanner etwas!) noch mit rein nimmt, liegt nahe, dass es wahrscheinlich eine noch nicht lange in Umlauf befindliche Scareware ist. Auch wenn es hier im Thread konkret um die Trojaner geht, die Daten verschlüsseln, so will ich meine Erkenntnisse hier trotzdem kundtun (außerdem bin ich hier im Forum angemeldet im Gegensatz zum Trojanerboard).

So sieht das Ding aus, wenn es aktiv geworden ist. Das Bild entspricht also keiner der bei bka-trojaner.de abgebildeten Varianten.

Vorwort zur Analyse: Wie das Teil auf den Rechner kam, ist bislang ein Rätsel . Wir vermuten, dass es via Browser (evtl. durch das nicht ganz aktuelle Flash) passierte, können aber in der Chronik desselben keine Seite ausmachen, die dafür verantwortlich gewesen sein könnte. Via Mail fällt definitiv aus, weil am heutigen Tage keine Mails mit Anhängen eingetroffen sind (die eh nicht geöffnet worden wären) und außerdem ein Mailprogramm verwendet wird, das einen eigenen HTML-Renderer hat (The Bat!), sofern man doch mal von der in erster Linie genutzten Textansicht auf HTML-Ansicht umschaltet.

Ein Wort zu den Anhängen:
  • wireshark_filtered.7z ist wie der Name schon sagt ein Mitschnitt mit Wireshark, gelaufen auf infizierten System mit Adminrechten, gefiltert nach der IP des infizierten PCs (ein ungefilterter Mitschnitt ist ebenfalls verfügbar).
  • Logfile1.7z ist ein Mitschnitt der Aktivitäten von Process Monitor (ebenfalls gelaufen mit Adminrechten), gefiltert nach "Category | is | Write". Es existiert auch ein kompletter Mitschnitt ohne diesen Filter, aber da das Teil selbst gepackt ~6 MiB groß ist, hab ich die Sache erstmal gelassen; bei Interesse einfach melden.
  • WSManHTTPConfig.7z enhält die Scareware selbst, geschützt mit dem Passwort "infected". Außerdem wurde die enthaltene EXE so umbenannt, dass sie nicht direkt startbar ist. Bitte trotzdem nur runterladen, wenn man weiß, was man tut und sein Testsystem absichtlich infizieren will!
  • 2104c1be.7z enthält eine Datei ohne Extension, die die Schadware während der Aktivität runterlädt oder erzeugt. Der Name ist dabei zufällig. Was das genau für eine Datei ist, weiß ich nicht, sieht im Lister vom Total Commander aber ähnlich wie eine Executable aus, deshalb ist das Archiv ebenfalls passwortgeschützt.

Die (grobe) Analyse im Detail:
  • Die Datei WSManHTTPConfig.exe kontaktiert einen Server im Netz (#557 und #587 im Wireshark-Log), von dem er eine Nummer bekommt.
  • Nach Kontaktierung des Servers fragt er den DNS nach
    Code:
    fglolituns.in
    (Wireshark #840) und holt sich von ihm
    Code:
    GET /fimage/gate.php?uid={795BAA1E-F792-A0A6-23F5-554C8CCF3BC1}&user=44100100&os=2 HTTP/1.1
    (Wireshark #843), wahrscheinlich, um sich bei seinem C&C zu melden und die Sprache zu ermitteln. Wenn man die komplette URL inkl. der Parameter an ein wget übergibt, bekommt man eine URL zurück, die unter anderem ein "DE" enthält.
  • Anschließend holt er sich das darzustellende Bild von /pic/DETujP.dat (Wireshark #856) und /pic/DEBukF.dat (Wireshark #983)
  • Nach dem Laden der beiden *.dat wird daraus offensichtlich das Bild gebaut (im Verzeichnis %AppData%\hellomoto) und nun geht's richtig los.
  • Die ursprünglich gestartete EXE kopiert sich selbst nach
    Code:
    %LocalAppData%\Microsoft\Windows\*random*\RMActivate_ssp.exe
    , löscht sich vom Ursprungsort [Ergänzung] und trägt sich im Autostart (HKCU) ein [/Ergänzung]. Der Verzeichnisname scheint dabei zufällig zu sein, der Dateiname hingegen nicht.
  • Prozesse werden abgeschossen: explorer.exe und taskmgr.exe
  • wuauclt.exe wird gestartet (zweifach). Die im Archiv befindliche EXE ist also wohl eine DLL, die von wuauclt.exe geladen wird (gesehen hab ich davon nix im Process Explorer, aber vielleicht hab ich was übersehen). Der Prozessor wird übrigens durch die eine Instanz der wuauclt.exe ganz ordentlich belastet (60 bis 70% auf einem Sockel A-System).

Verhaltensanalyse:
  • Jeder Versuch, den Taskmanager zu starten, wird unterbunden (vielleicht auch abgeschossen) und die Scareware bringt sich wieder in den Vordergrund.
  • Nach Töten der wuauclt.exe (die übrigens im Kontext des Nutzers läuft statt wie üblich als SYSTEM), ist die Scareware beendet. Das geht übrigens ganz gut von einem anderen PC aus mit
    Code:
    taskkill.exe /S <infiziertes_System> /U Administrator /IM wuauclt.exe
  • Ohne aktive Netzwerkverbindung kopiert sich die Schadware ins o.g. Verzeichnis und startet wuauclt.exe, diese aber nur in einer einzelnen Instanz und sehen tut man von der Schadware ebenfalls nichts. Selbst, wenn man danach die Netzwerkverbindung reaktiviert, bleibt es bei dieser Situation.
Falls jemandem langweilig sein sollte, kann er sich gerne mit den Anhängen vergnügen und eine genauere Analyse machen . Dieser Beitrag (inkl. der Anhänge) darf auch gerne im Trojanerboard verarbeitet werden. Ich werde das Sample und den Screenshot in jedem Fall an botfrei.de schicken.

MfG Dalai

PS: Ich glaub, das ist einer der längsten jemals von mir verfassten Forenbeiträge, in jedem Fall in diesem Forum .
Angehängte Dateien
Dateityp: 7z 2104c1be.7z (11,3 KB, 1x aufgerufen)
Dateityp: 7z WSManHTTPConfig.7z (32,3 KB, 8x aufgerufen)
Dateityp: 7z wireshark_filtered.7z (231,2 KB, 2x aufgerufen)
Dateityp: 7z Logfile1.7z (99,3 KB, 1x aufgerufen)

Geändert von Daniel (13. Jun 2017 um 07:56 Uhr) Grund: URL auf Wunsch des Autos entfernt
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 28 von 34   « Erste     18262728 2930     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:05 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz