|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Ist eigentlich irgendwo die RechnerID gespeichert? Immerhin aendert die sich ja scheinbar beim Neustart.
Marcu, deine Praesentationen sind wirklich gut ;) |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
@Apthon
Ja. Es wäre gelungen, wenn es möglich gewesen wäre :-) Dieser Trojaner wird noch viel Schaden anrichten. Die Erpresser haben den Virus so geschrieben, dass die Sprache leicht geändert werden kann. :-( @bombinho Danke :-) Der Trojaner stellt die ComputerId folgendermaßen zusammen:
Delphi-Quellcode:
Die Computerid wird auch für die ersten 20 Zeichen des Katalogdateinamens benutzt.
type
TCBuffer = array[0..$199] of char; const MAXSIZECB = Sizeof(TCBUffer); var GLOB_BaseName: TCBUffer; //=ComputerId procedure BuildComputerID; var SystemDirectory, ComputerName, Name: TCBuffer; DriverSerialNumber, CName1, CName2: DWORD; n: Cardinal; begin GetSystemDirectory(SystemDirectory, MAXSIZECB); SystemDirectory[3] := char(0); DriverSerialNumber := 0; GetVolumeInformation( SystemDirectory, nil, 0, @DriverSerialNumber, DWORD(nil^), DWORD(nil^), nil, 0); n := MAXSIZECB; GetComputername(Computername, n); CName1 := DWORD(PDWORD(@ComputerName[0])^); CName2 := DWORD(PDWORD(@ComputerName[4])^) and $FFFF; strfmt(Name, '%0.8X%0.8X%0.4X', [DriverSerialNumber, CName1, CName2]); Strcopy(Glob_BaseName, Name); end; Vg Marcu |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Der niederwertige Anteil steht im 32Bit-Register EAX, der höhere im 32Bit-Register EDX. Der Programmierer des Trojaners verwendet einen 32Bit-Wert als Ausgangspunkt für die "Zufallszahl", dafür verknüpft er die beiden Register mit xor. Das hat also nichts mit Delphi zu tun, sondern ist Teil des Programmablaufs, dessen Verständnis erst eine Einschätzung der Güte des Generators ermöglicht. Wenn die Abfrage des Generators bei der Erzeugung des Passworts nach jeder Stelle immer im selben Abstand in CPU-Takten erfolgen würde, könnte man die Anzahl der möglichen Passwörter auf einige Milliarden eingrenzen (jeweils für einen PC/CPU). Bei meinen Versuchen schwankt die Anzahl allerdings erheblich, ich sehe hier keinen Angriffspunkt. |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Hallo, ich habe den thread aufmerksam gelesen und bewundere den Ehrgeiz und das Können der Akteure hier. Ich bin auch betroffen, habe mir das Teil beim Surfen nach dem Pacquiao-Bradley Boxkampf vom WE geholt und hatte sehr viel Glück. 99% gesichert und wiederhergestellt. Es fehlen jetzt nur noch eine Handvoll Dateien – der Dateiname würde hierfür völlig ausreichen. Ich habe $$0, $02, $03, V.class sowie die 1.048-Byte Datei gesichert. Jetzt hatte ich die DecryptTmpNoExt von Euch runtergeladen und versucht, die $03 zu entschlüsseln. Ich komme nur mit dem Command nicht zurecht. z.B.: DecryptTmpNoExt F05A208B494857452D5A muss ich doch nur in den cmd promt eingeben oder nicht? Für einen Kurzen Hinweis, wie ich an die Dateinamen komme, wäre ich sehr dankbar Danke u Grüße |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu,
Zitat:
Gruß Martin |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
hatt wer lust sich version 2.0.11 anzusehen, da gibts wohl einige enderungen.
|
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo,
wie bekommt man möglichst schnell die Versionsnummer aus dem schadhaften Code heraus? Gruß Martin |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo Marcu,
Zitat:
Woher kommen dann aber die weiteren vier Zeichen bei der Datei ohne Erweiterung? Oder sollte das oben '%0.8X%0.8X%0.8X' heißen und damit 24 Zeichen lang sein? Das würde das Abschneiden nach 20 Zeichen für die Katalogdatei erklären... Gruß Martin |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Hallo
habe das jetzt schon einige zeit Verfolgt weil meine Cousine sich den Trojaner eingefangen hat. (Habe die Mail - mit dem Anhang von ihr auch bekommen; Eine weitere Mail habe ich von einem Kollegen - der hatte den aber auf grund meiner Warnung nicht geöffnet.) Je mehr ich aber lese - um so mehr fällt mir auf - das man eigentlich an die DB des C&C Servers kommen müste. Allerdings ist mir was eingefallen. Bei einem frisch befallenen System , könnte man theoretisch mit einer Cold-Boot Atacke den Speicher Dumpen und im Dump des Speichers nach dem Passwort suchen - das würd aber nur bei eine Frisch infizierten Rechner der nicht ausgemacht wird - bis man alles für den Cold-Boot Angriff vorbereitet hat - funktionieren. Wenn mann dann in den Speicher nach dem "CatalogPassword" oder wie der Identfier für die Varaiable heißt sucht - müsste mann doch was finden. Viele Grüße R. Landscheidt |
AW: Verschlüsselungs-Trojaner, Hilfe benötigt
Zitat:
Habe den Schweizer C&C Server ein wenig näher angeschaut, es ist leider schon mal kein Apache (mit all dessen Macken) sondern nginx 1.0.4 . Das ganze läuft auf Debian lenny, PHP ist ein 5.2.6 - da besteht allerdings ein Memory Exhaust Problem. Um dieses zu nutzen reichen aber meine Kenntnisse nicht, ansonsten ist der ziemlich dicht. SSH ist gut gesichert, brute ist da zwecklos. Es gibt noch ein paar offene Ports, seltsamerweise für MAC Anwendungen z.B. AFP over TCP. Aber dazu finde ich nichts, wo man ansetzen kann. Spielen mit den Parameter der a.php brachte auch nicht viel, magic quotes sind an - SQL Injection zwecklos. Man müsste jetzt mal alle SQL Vulnerabilities durchsuchen ob ein Fehler exsitiert den man durch die Magic Quotes durchschleusen kann. Code Injection über Variablen wurde schon seit PHP 5.0 behoben - register_globals auf off ist schon damals einer der Sicherheits-Ansätze gewesen. Alles in allem muss schon ein begabter sagen wir mal "Serverversteher" her um sich dort mal umzusehen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:15 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz