Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 22.05.2012, 12:24   #166
Tcon
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



neu aufsetzen auf jeden Fall. irgendwo klemmt da garantiert noch was. habe aber alle daten dank ShadowExplorer wieder. also an die arbeit und neu machen. wat mut dat mut dat nützt ja nix

Alt 22.05.2012, 12:32   #167
was_ein_mist
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von was_ein_mist Beitrag anzeigen
Nächster Eine Kollegin war sich 100% sicher das der Absender vertrauenswürdig ist und es sich um die Rechnung ihres Amazon Kaufs handelt.

Hab sowas böses allerdings direkt vermutet, Task Manager war nicht mehr aufrufbar, direkt Sytemwiederherstellung gemacht. Rechner neu gebootet und fuhr ganz normal hoch, keine Textdatei auf dem Desktop, nichts gesperrt. Also eigentlich keine Symptome wie sonst hier beschrieben.

Rechner Bootet, Task Manager geht wieder. Auf anhieb keine defekten Dateien gefunden. Windows Defender, Trend Micro Office Scan und Malwarebytes haben nichts gefunden. Systemverhalten ganz normal

Was bleibt ist die ungewissheit... Gibt es irgendwelche typischen Symptome/Irgendwelche Dateien die geprüft werden können? Im Autostart/MSCONFIG ist nichts auffälliges zu finden. Als Shell ist explorer.exe hinterlegt.

Auch wenn der Schlüssel zum unlocken nicht bekannt ist, müsste doch der Verursacher schon erkannt sein oder? Auch die Antivirensoftware-Hersteller haben ja extra ihre Büros rund um die Welt verteilt um immer aktuell zu sein. Ich sehe bei mir gerade wirklich keine Auswirkung und es wird auch nichts gefunden...

Sind bei euch nur manche Dateien gelockt oder ist das ein fortlaufender Prozess? Versucht sich der Virus übers Netzwerk fortzupflanzen?
__________________


Alt 22.05.2012, 12:34   #168
pcnberlin
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Miteinander!

Wir sind auch IT-Supportler und bekommen auch immer mehr Anfragen von Betroffenen. Deshalb hier noch ein paar weitere Informationen und eine Einschätzung der Lage von unserer Seite:

1) Der Trojaner wird nur dann aktiv, wenn eine Internetverbindung besteht. Wenn zum Zeitpunkt der Infektion keine solche vorhanden ist, wird er nur installiert und wartet, bis eine solche Verbindung aufgebaut wird.
2) Wenn eine Internetverbindung erkannt wird, verbindet er mindestens drei mal mit dem C&C-Server, z.B.:
a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6ZflvjVTFc2zKPPP8VnTIA

Zu dan Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = Klingt sehr interessant - Könnte eventuell ein Schlüssel sein ?!

Bei allen drei Aufrufen bekommt er Daten vom Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte
2. Aufruf: 704 bytes
3. Aufruf: 4 bytes

Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung.

4) Ich halte es nicht für wahrscheinlich, dass der Trojaner den MFT manipuliert. Es spricht vielmehr nichts dagegen, dass der Trojaner wirklich verschlüsselt, wie auch seine Vorgänger es taten.

5) Seine Geschwindigkeit ist allein darauf zurückzuführen, dass er a) vermutlich keinen starken Algo verwendet und b) keine Vollverschlüsselung durchführt.

6) Der Trojaner ist in Delphi / VB geschrieben, ich konnte keine Anti-Debugging Funktionen feststellen und auch keine exe-Packer.

7) Dass das Erscheinungsbild des Trojaners auf verschiedenen Rechnern unterschiedlich ist (Dateinamen, einige Daten noch ok, ...) dürfte daran liegen, wie weit der Trojaner gekommen ist, bevor Rechner ausgeschaltet wurde / Internetverbindung gekappt / etc pp. Wenn er durch ist, sind alle Dateien erstmal hin.

8) Per Wireshark durfte ich feststellen, dass er auch nach Netzwerkfreigaben scannt.

9) Und hier findet eine Prüfung einer 11111111111 zur Paysafe-Zahlung statt:

hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA

PS: DDoS auf die o.g. Server bringen nichts, weil a) ständig neue IPs b) es sind shared Server c) sind auf dem aktuellen Softwarestand (u.a. nginx, php) d) sind auch Cluster dabei. Abuse Mails werden auch nichts bringen (China, Russland, ...)
__________________

Alt 22.05.2012, 12:34   #169
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



bei mir sind nur die daten umbenannnt in bz uuQQuugOggOOJJJJJvNNN und ich kann damit nix mehr machen.

Das mit den Shadow, wie geht das?
muss ich mal lesen.

Alt 22.05.2012, 12:35   #170
DevilTH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



@benton18
Versuch mal den ShadowExplorer, habe grad mal getestet. Einige Installationen machen zwangsweise eine Sicherung des Systems... ich habe auch per default meine -widerherstellung deaktiviert, aber es sind Schattenkopieen vom Anfang des Monats da, die ich wieder herstellen könnte.
Gruß DevilTH


Alt 22.05.2012, 12:39   #171
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hast mal nen link? ich kenn mich ned aus, es geht um meine eigenen dateien.

Alt 22.05.2012, 12:40   #172
DevilTH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Ich schick dir ne PN

Alt 22.05.2012, 12:52   #173
Da GuRu
Administrator
/// technical service
 

Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hier ist alles zu finden: http://www.trojaner-board.de/115496-...erstellen.html

Alt 22.05.2012, 12:57   #174
Tcon
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Windows 7 macht doch Schattenkopien und die kannst du mit dem ShadowExplorer ansehen und auswählen welche ordner du haben möchtest..hat bei mir schon öfters super funktioniert

Alt 22.05.2012, 13:12   #175
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



shattenkopien gefunden, aber leider nicht vom Laufwerk H, denn dort hab ich meine eigenen Bilder Bibliothek hinverlinkt, damit die SSD nicht so vollgedroschen wird damit.

Alt 22.05.2012, 13:15   #176
DevilTH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Shit-- diese Laufwerke werden nicht automatisch in der Sicherung eingebunden, das muss man manuell machen. sieht im Moment noch schlecht aus für deine Dateien.
Gruß DevilTH

Alt 22.05.2012, 13:21   #177
Tcon
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



ja leider nur Laufwerk C: wenn dus nicht eingestellt hast ... Mist .. na mal sehen was noch so kommt

Alt 22.05.2012, 13:27   #178
benton18
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



mensch bitte, ich krepiere wenn da kein unlokcer kommt.
drückt mir die daumen leute

Alt 22.05.2012, 13:30   #179
Kummi
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo zusammen ,

Ich habe mitlerweile den 2. Verseuchten Rechner mit der Variante "vXoUpjqDongtDEngOtpo" einen mit XP und einem mit Vista.
Beim überprüfen der Systeme habe ich festgestellt, zum Zeitpunkt des Schreiben der Datei auf den Destop "ACHTUNG-LESEN.TXT" wurden im jeweiligen TempOrdner Dateien angelegt die vielleicht was mit der verschlüsselung zu tun haben .

Trojaner 18.05.2012
File Name : Zahlschein-17.05.2012.pif
File Size : 34477 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 78ee9c318793adb145a5abdc07db8f1b
SHA1 : 15479bf89d26c2a619bb8b96363367920bd8727b
Online report : hxxp://r.virscan.org/919f330073b829119035561df23766ca


1. Datei "Desk.$00" Inhalt "ACHTUNG-LESEN.txt"
2. Datei "1C32CBF5464548430000FC42" 1048 Byte
3. Datei "1C32CBF5464548430000.$02" Crypt oder Schlüssel für Decodierung ? ca. 5MB

Dies ist bei beiden System so nur mit einer zeitlichen Differez 17.36 Uhr u. 16.51 18.05.2012 wohl die Aktivirung des Schädlings.
Die 3. Datei hat eine Zeitdiff. von ca 5 Min zur 1. was so aussieht wie die Dauer für die verschlüsselung der Dateien.

So nun das Schlimmste Heute Morgen kommen schon wieder neue Mails mit geänderten Trojanern .
Gerneration 3 ??? Bitte nicht. Der von heute ist (NATÜRLICH NICHT) aktiviert worden und sieht laut Code nach Visual-Basic aus. Er kommt per Mail als Passwortgeschütztes Zip und in der Mail geben die dann dass PW zum entpacken mit.

Neue Version ? : 22.05.2012
File Name : Rechnung.doc .pif
File Size : 65536 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : d681dab3da9d90eed18e2e108865df38
SHA1 : a2573de8c59ed0087ad321048aa761cb1b05a89a
Online report : hxxp://r.virscan.org/6e7595e14125014bcd50c96308c1e4be

Gibt es bei euch auch die Dateien im Temp Ordner .

Bei Interesse könnte ich diese Gepackt m. PW anhängen
Grüsse Rico

Alt 22.05.2012, 13:33   #180
DevilTH
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Haben die Trolle nichts besseres zu tun, als ihre Sauereinen permanent zu modifizieren
Die Dateien im TempOrdner waren mir auch aufgefallen, aber leider binär

Geändert von DevilTH (22.05.2012 um 13:35 Uhr) Grund: Ergänzung

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - neu aufsetzen auf jeden Fall. irgendwo klemmt da garantiert noch was. habe aber alle daten dank ShadowExplorer wieder. also an die arbeit und neu machen. wat mut dat mut dat - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.