AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Werner

Der Virus um den ich mich kümmere wird in einer zipdatei per Mail zugestellt.
Dieser Virus verschlüsselt die Dateien genau so wie du beschrieben hast.

Der Virus macht den Taskmanager, regedit und msconfig kaputt. Und unterbindet mit Policy und Registryeinträge Rettungsversuche. Außerdem löscht er Einträge in der Registry die für den abgesicherten Startmodus notwendig sind. Deshalb die Bluescreens im abgesicherten Modus.

Dass sich die Zip-Datei im Temp Verzeichnis befindet könnte bedeuten, dass der Benutzer die ZipDatei angeklickt hat und der Mailer die zum Entpacken da reingeschrieben hat. Von einer Drive-By-Infektion mit diesem Virus habe ich bisher noch nicht gelesen.

Die Dateien sind verschlüsselt und nicht zerstört. Zuviel deutet im Code darauf hin und es wäre auch nicht der Stil des Virenprogrammierers.

Im Virencode gibt es nicht die geringsten Hinweise darauf, dass auf Debuggeranwesenheit getestet wird. Auch auf virtuelle Testumgebungen wird nichts geprüft. Zumindest sehe ich da nichts und ich bin sehr aufmerksam. Der Virus läßt sich leicht mit einem Remotedebugger anschauen und steuern. Naja ... nicht ganz so leicht, den ich kann die Verschlüsselung nicht anstoßen und beobachten. Diese Puzzlestück fehlt mir leider. Irgendwo muss da eine Callbackfunktion eingehängt sein, die bei mir nicht funktioniert. Wenn ich den Virus ausführe, dann macht der alles wie bei allen anderen auch, aber anstatt dann mit dem Verschlüsseln zu beginnen idle't er dann nur vor sich hin.

Die Frage dreht sich nur noch darum, wie man wieder an seinen Schlüssel kommt. Und ob der Schlüssel noch auf dem infizierten Rechner ist oder dieser außerhalb berechnet wird. ( @cookie22 - du hast es auf den Punkt gebracht :D ) Selbst wenn zweiteres der Fall wäre hätte man noch Chancen. Man müsste auf einem bereinigten Rechner (mit verschlüsselten Dateien) ein Programm starten welches eine Infektion simuliert, dann würde die Gegenstelle den Key erneut senden und man könnte dann den zum Entschlüsseln benutzen. Das wäre ganz und gar nicht so schwer, wenn ich endlich mal zuschauen könnte wie die Verschlüsselung stattfindet.

Jetzt probiere ich es mal mit Sandybox.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

@Marcu:
Auf was für einem System testest du die Verschlüsselung denn? Auf einem physischen Rechner oder in einem virtualisierten System? Fals es sich um dein Originalsystem handelt, könnte der Virus irgendwo einen Wert gespeichert haben, der die erneute Verschlüsselung verhindert. Hier wäre es wohl am sinnvollsten den Virus auf einer VM zu analysieren.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Bisher habe ich VMs von Vmware und Microsoft benutzt. Ein Versuch durch mehrmaliges Ausführung des Virencodes die Verschlüsselung anzustoßen habe ich zwar auch versucht, aber hat nichts gebracht. Sonst starte ich mit einer virenfreien XP+Sp3 Installation.
Jetzt fällt mir gerade auf, dass bei meiner für die Tests benutzen XP-Installation die Updates nach erscheinen von Sp3 nicht eingespielt sind. Da gab es mittlerweile eine sehr große Anzahl von Updates - eine Menge Code der sich geändert hat. Vielleicht liegt es ja daran! Das ist auf jedenfall noch ein Versuch wert.

Ansonsten werde ich auf dem Rechner meiner Tochter jetzt gleich Sandboxie und den Virus installieren (nachdem das Clonen der Festplatte fertig ist).

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

In meiner VirtualBox will der Bösewicht nun schon seit drei Tagen keine Dateien mehr verschlüsseln. Davor hat er allerdings auch nicht jedesmal, sondern nur alle 2-4 Versuche die Dateien bearbeitet. Aktiviert wird er trotzalledem.
Wenn man sich die Anzahl der Betroffenen im Trojaner-Board-Forum ansieht, könnte es aber auch vielleicht mit der Verbreitung zu tun haben, wenn man evtl. davon ausgeht, dass er einen Schlüssel online runterlädt.
Vielleicht kommen die Server in China nicht hinterher. :?

In der VirtualBox läuft XP Pro. SP3 mit allen Updates.

Kommt bei euch eigentlich auch diese Fehlermeldung?
Anhang 36939

Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hi Michael

Ich habe dein erstes Posting gelesen und jetzt bist du der Verursacher von weiteren 100 grauen Haaren auf meinem Kopf :D ;-)

Das ist endlich ein Lichtblick, dass du es wenigstens einmal geschafft hast die Verschlüsselung in einer VM auszuführen! Ich habe auch schon mit dem Gedanken gespielt, dass die irgendwie meine IP loggen und an mich keinen Key ausliefern. Aber wenigstens abundzu - wenigstens einmal sollte es doch auch mir gelingen einen Key zu ergattern. Ich habe seit gestern mittag vor jedem Versuch meinen Router neu einwählen lassen.
Vielleicht sind die echt überlastet oder denen ist der erreichte Schaden groß genug und die haben die Keyauslieferung gestoppt? Gibt es heute noch Neuinfektionen MIT verschlüsselten Daten? Ich geh nachher mal auf dem Trojaner-board und schau nach.

Wenn der Key serverseitig generiert wird und die jetzt keine Keys mehr ausliefern, dann können die bereits Betroffenen ihre Daten vergessen. Keine Chance mehr :-(

vg Marcus


P.s.: Du gehörst zu den Trojaner-Board Helfern, nicht wahr? Echt coole Leute! Bei der Gelegenheit aber noch ein kleiner Hinweis: Die empfohlenen Reparaturanweisungen reichen noch nicht ganz aus um den Rechner wieder 100%ig herzustellen. Der Virus löscht Teile der Registry um den abgesicherten Startmodus funktionsunfähig zu machen. Da müßte man vielleicht noch die Betroffenen darauf hinweisen.

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen.

@Marcu:
> .. idlet vor sich hin ....
War bei mir ja auch so, als ich versucht habe neue Dateien zu verschlüsseln.
Vielleicht läuft der nur 1 Mal und setzt dann ein Flag, zB in der Registry, oder er legt sich ein Lockfile an. Vielleicht muss man den Virus auf ein frisches System loslassen, aber deine Beschreibung klingt so als hättest du genau das getan. Bist du sicher dass er die virtuelle Umgebung nicht bemerkt? Du könntest mal Virtualbox probieren. Das geht auch mit VMware-Diskimages ohne umwandeln.
Kann es sein dass es nur einen Schlüssel für alle infizierten Rechner gibt? Wie soll der beim Entschlüsseln den Rechner wiedererkennen bei dynamischen IPs? Oder legt der eine art coockie an? Lädt der Trojaner eigentlich code nach? Und mit welchem Programm würde der entschlüsseln, oder ist der unlock-code im Trojaner selbst enthalten?
Bei dem Win7-System das ich dahatte hatte übrigens der abgesicherte Modus funktioniert. Und meistens konnte ich im Normalmode den taskmgr starten und der wurde sauber angezeigt.
Noch eine Idee, vielleicht muss die Systemzeit auf letzten Mittwoch oder Donnerstag zurückgedreht werden - falls er das nicht via Internet verifiziert.
Viel Erfolg beim weiteren Debuggen!
> ... drive by...
Die Benutzerin liest Mails oft om Webbrowser, das würde es erklären.

@Michael:
Diese Fehlermeldung hatte ich auch (so aus dem Kopf heraus) als ich den Trojaner auf C:\ gestartet habe. Aif D:\ kam kein Fehler, vermutlich weil ich das Schreibrechte hatte, und da hat dei Neuinfektion auch geklappt.


mfg Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Ja. Ich infiziere jedesmal einen virenfreien Snaphot aufs Neue.

Virtualbox habe ich auch versucht. Aber trotzdem hat keine Verschlüsselung gestartet,
Ich bin mir sehr sicher, dass der Code nicht auf VM-Umgebung testet. Wenn ich rausfinden wollte, ob mein Programm in einer Vm läuft, dann würde ich auf die Existenz irgendeines VM-typischen Treibers oder Hardware prüfen oder wenigstens schauen ob die "Vmware Tools" oder so etwas in dieser Art laufen. Von so einem Test gibt es keine Spur.

DAS wäre wirklich schön. Es gibt da zwei Varianten denke ich.
1. Der Schlüssel befindet sich noch auf den infizierten Rechnern. Wenn es so ist und ich nur einmal sehe wo der Schlüssel ist und an die CryptApi gereicht wird, dann haben alle Ihre Daten wieder zurück.

2. Der Schlüssel wird außerhalb des Rechners berechnet und an den Virus zur Verschluesselung übertragen. So hätte ich es an Stelle des Virenprogrammieres gemacht. Der Programieraufwand ist nur wenig größer.
Wenn tatsächlich AES eingesetzt wird - also zum verschlüsseln und entschlüsseln der gleich key benutzt wird, dann würde ich versuchen dem Server eine Infektion vorzugaukeln um in den Besitz des Schlüssels zu kommen. Damit könnte man dann bereits verschlüsselte Dateien wieder entschlüsseln.

Ich habe auf alle benutzen Funktionen der CryptApi Breakpoints gesetzt (und auch auf Readfile/Writefile - damit konnte ich sehen welche Dateien bearbeitet werden). Sobald der Debugger anspringt kann ich leicht rausfinden wo der Key herkommt. Deswegen mühe ich mich auch so sehr ab die Verschlüsselungsroutine anzustoßen. Ansonsten bliebe nur ein komplette Analyse und ich habe nur noch morgen einen letzten Tag Urlaub :-(


Da habe ich mich falsch ausgedrückt. Der Virus hat mit IPs und Cookies nichts am Hut. Ich habe mir gestern gedacht, dass meine vielen wiederholten Infizierungen und Debuggingversuche aufgefallen sind und man deswegen an Rechner unter meiner IP keine Keys zustellt. Aber da war ich schon sehr müde und da neige ich dann zur ausgeprägten Sehnsucht nach Aluhüten. Jetzt bin ich wieder wacher und halte das für sehr unwahrscheinlich.

Der Lock und Unlockcode bzw. die Apiaufrufe zur CryptApi sind bereits im Code. Weiterer Code wird bisher nicht nachgeladen - lediglich Bilder und eine Textdatei.

Stimmt! Daran habe ich gar nicht gedacht. Der Server muß ja nur auf seine eigene Uhr schauen um eine Schlüsselauslieferung zu steuern. Ich konnte mit verstellen der Systemzeit jedenfalls nichts erreichen. Habe ich ausgiebig versucht.

Vielen Dank :-)

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo Marcus.

Da könnte ich eine unbenutzte Tube für das (graue) Haar ab 40 anbieten, welches ich als Club-Willkommensgeschenk bekam. :wink:

Ich habe die VM sogar mehrfach zurückgesetzt (das ist echt ne coole Sache) und ihn dann mehrfach starten können. Da konnte ich dann per Regedit und Remote-Zugriff die Registry komplett exportieren. Ich lad die mal mit hoch, 1x vorher und 2x hinterher zum Vergleichen.
Dazu dann auch noch die ASCII-Dateien aus zwei Versuchen, die ich ihm zum Fraß anbot.

Nach den ganzen Postings die hinzugekommen sind, scheint der Bösewicht noch aktiv zu sein.
Wenn er bei uns nicht mehr verschlüsselt, hat er vielleicht irgendwas vom Rechner gesendet, gibts da evtl. was vom BIOS, Seriennummer, ?, ?, ???


Ne, aber ich konnte mich schon einige Male schlau lesen in den letzten Jahren. Und als dann Anfang Mai erst die locked-Version und kurze Zeit später die "nvpeQsEEUTODXNVqyssQ"-Variante auf einem Kundenrechner daherkam, war das der Moment, wo ich dachte, dass es Sinn macht, zwei Profi-Boards, das Trojaner- und das Delphi-Board miteinander zu verbinden.


Michael

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo miteinander,

Microsoft hat ein paar Infos zum Trojaner, aber keine Rede von Verschlüsselung von Benutzerdaten:
http://www.microsoft.com/security/po...did=2147652753

Google-Suche nach der md5-Prüfsumme ergibt jetzt 5 Treffer, wenig Informatives, ein Verweis auf forum.botfrei.de/showthread.php?2848-bka-virus

@Moderator:
Macht es Sinn, heise.de zu informieren? Vielleicht reagieren die auf Mails von Board-Moderatoren. Da der Trojaner noch aktiv ist, sollten möglichst viele User gewarnt werden denke ich.

mfg
Werner

AW: Verschlüsselungs-Trojaner, Hilfe benötigt
 

Hallo zusammen ,

Ich lese sehr gespannt das Board und bewundere die debugversuche eines Trojaners .
Ich habe mitlerweile den 2. Verseuchten Rechner mit der Variante "vXoUpjqDongtDEngOtpo" einen mit XP und einem mit Vista.
Beim überprüfen der Systeme habe ich festgestellt, zum Zeitpunkt des Schreiben der Datei auf den Destop "ACHTUNG-LESEN.TXT" wurden im jeweiligen TempOrdner Dateien angelegt die vielleicht was mit der verschlüsselung zu tun haben .

Trojaner 18.05.2012
File Name : Zahlschein-17.05.2012.pif
File Size : 34477 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 78ee9c318793adb145a5abdc07db8f1b
SHA1 : 15479bf89d26c2a619bb8b96363367920bd8727b
Online report : http://r.virscan.org/919f330073b829119035561df23766ca


1. Datei "Desk.$00" Inhalt "ACHTUNG-LESEN.txt"
2. Datei "1C32CBF5464548430000FC42" 1048 Byte
3. Datei "1C32CBF5464548430000.$02" Crypt oder Schlüssel für Decodierung ? ca. 5MB

Dies ist bei beiden System so nur mit einer zeitlichen Differez 17.36 Uhr u. 16.51 18.05.2012 wohl die Aktivirung des Schädlings.
Die 3. Datei hat eine Zeitdiff. von ca 5 Min zur 1. was so aussieht wie die Dauer für die verschlüsselung der Dateien.

So nun das Schlimmste Heute Morgen kommen schon wieder neue Mails mit geänderten Trojanern .
Gerneration 3 ??? Bitte nicht. Der von heute ist (NATÜRLICH NICHT) aktiviert worden und sieht laut Code nach Visual-Basic aus. Er kommt per Mail als Passwortgeschütztes Zip und in der Mail geben die dann dass PW zum entpacken mit.

Neue Version ? : 22.05.2012
File Name : Rechnung.doc .pif
File Size : 65536 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : d681dab3da9d90eed18e2e108865df38
SHA1 : a2573de8c59ed0087ad321048aa761cb1b05a89a
Online report : http://r.virscan.org/6e7595e14125014bcd50c96308c1e4be


Bei Interesse könnte ich diese Gepackt m. PW anhängen
Grüsse Rico