Hallo zusammen,

ich bin neu hier, habe aber das Thema schon einige Zeit verfolgt.
Einen Bekannten hat es auch erwischt, aber da war der Dateiverlust nicht so schlimm.

Es wurde schon viel über die Verschlüsselung geschrieben, aber was ich noch nicht gesehen habe oder auch möglicherweise überlesen habe ist, dass der Zufallsgenerator für die Passwörter/Dateinamen nicht untersucht wurde.

Hat sich jemand mal mit dem Zufallsgenerator beschäftigt, mit dem die Dateinamen erzeugt werden bzw. die Dateien verschlüsselt werden ?
Ich vermute, dass zuerst der Dateiname und dann das Passwort erzeugt werden. Alles mit der selben Funktion.
Wenn man jetzt wüsste, wie der Generator funktioniert kann man ihn mit dem Dateinamen füttern (SOGDHHsdjsh usw.) und dann eine limitierte Anzahl von Passörtern bekommen.
Damit wäre theoretisch eine Brute-Force Attacke denkbar, die man noch erleben könnte.
Wie denkt ihr darüber ? Wäre das ein Weg ?

Viele Grüße,
Robert

Das hast du überlesen, wurde weiter vorn gründlich untersucht, der Zufallsgenerator an sich ist verdammt gut.

Sorry das ich mich so extrem spät zurückmelde, habe so viel auf der Arbeit zu tun ...
habe eine neue Version "eingefangen" die hoch interessant ist: sie macht nun einiges mehr und erstellt u.a. ein Memdump und lädt ihn hoch. Wer Interesse hat, dem kann ich sie zukommen lassen.

Naja, das ist theoretisch richtig. Der Zufallsgenerator an sich ist gut. Die Parametrisierung weniger. Man haelt sich nicht an die Empfehlung des Autors. Spielt aber keine so grosse Rolle, da der Trojaner unter Win32 laeuft und deswegen einfach mal noch jede Menge andere Parameter reinspielen, die das Ausnutzen dieses Faktes bisher unmoeglich gemacht haben.

N'Abend zusammen.

Zunächst einmal möchte ich allen, die sich hier mit sehr viel Zeit und Herzblut in die Trojaner-Materie einarbeiten (inbs. Marcu) einen großen Respekt aussprechen!

Ein Freund hat mir eine Festplatte mit den entsprechend verschlüsselten Daten gebracht, daher bin ich auf das Thema gestossen und habe mir gerade alle 31 Seiten durchgelesen, da mich die Geschichte ziemlich gepackt hat.

Zunächst einmal möchte ich die für meine Fragen relevanten Informationen zusammenfassen. Bitte korrigiert mich sofort, sollte ich irgendetwas missinterpretiert haben.

1. Alle zum Entschlüsseln der Dateien benötigten Informationen sind in der $02-Datei (verschlüsselt) gespeichert.
2. Die $02-Datei ist mit dem RC4-Algorithmus verschlüsselt.
3. Der Schlüssel ist lokal auf dem infizierten PC erzeugt worden und NICHT von den CC-Servern beeinflusst worden.

Was ich leider noch nicht ganz verstehe, ist folgendes:
Wenn ich das richtig verstehe, geht es doch um den SEED des Pseudozufallszahlengenerators. Seien es jetzt CPU-Taktzyklen oder die Uhrzeit, warum genau kann man diese Wert nicht auf ein paar Milliarden Möglichkeiten eingrenzen? Die Uhrzeit des Befalls zumindest kennt man doch relativ exakt. Somit könnte man doch in vernünftiger Zeit Bruteforcen.

Evtl. kann man das ganze noch mit einer plain text attack (wie Marcu auch versucht) kombinieren - hat da mal jemand die einschlägigen Papers konsultiert?

Würde mich über alle zusätzlichen Infos den kryptographischen Teil betreffend freuen!

Beste Grüße,
ichi

Die Uhrzeit ist nicht wichtig, interessant währe, wie lange Windows schon lief (auf die Millisekunde genau).

Der vorherige Wert des Zufallsgenerators ist hier nur ein Faktor der über den nächsten ausgelesenen Wert entscheidet. Die Anzahl der benötigten CPU-Takte bis zum nächsten Abruf eines Wertes wird in die Berechnung mit einbezogen. Diese Anzahl wird nicht nur durch den Prozessor sondern auch dessen Umgebung (Speicher usw.) beeinflusst. Die einzelnen CPU-Befehle werden intern auf mehrere Recheneinheiten verteilt und laufen zum Teil parallel ab. Auf einem Windowssystem laufen viele Threads parallel, die natürlich die selben Einheiten und Warteschlangen nutzen und damit die Laufzeit beeinflussen. Diverse Hardware insbesondere OnBoard-Soundkarten oder Grafikkarten nutzen ebenfalls Teile des Prozessors.
Zwischen den einzelnen Abfragen konnte ich Werte für die CPU-Takte messen die häufiger auftraten, aber dazwischen waren immer auch viele Abweichungen. Das Passwort wird aus einer ganzen Reihe von Abfragen dieses Generators zusammengebaut.

Verstehe, der Programmierer scheint wohl tatsächlich ziemlich gut zu wissen, was er tut.
Traurig, dass solche intelligenten Leute nicht mit legalen Jobs ihr Geld verdienen

Für die, die es interessiert, hier gibt es eine ausführliche Analyse des Trojaners:

hxxp://malware.lu/Pro/RAP001_malware_rannoh_matsnu_1.1.pdf

und einfach mal 1-2 seiten von diesem thema lesen, ist zu schwierig? das würde deine frage schon beantworten.

hallo!

Ich schätze hier gibt es nichts neues oder?
Oder tüftelt noch irgendwer an dem virus?