Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

 
Alt 22.05.2012, 12:34   #11
pcnberlin
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Miteinander!

Wir sind auch IT-Supportler und bekommen auch immer mehr Anfragen von Betroffenen. Deshalb hier noch ein paar weitere Informationen und eine Einschätzung der Lage von unserer Seite:

1) Der Trojaner wird nur dann aktiv, wenn eine Internetverbindung besteht. Wenn zum Zeitpunkt der Infektion keine solche vorhanden ist, wird er nur installiert und wartet, bis eine solche Verbindung aufgebaut wird.
2) Wenn eine Internetverbindung erkannt wird, verbindet er mindestens drei mal mit dem C&C-Server, z.B.:
a)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=img&win=Windows_XP_&loc=0x0407&ver=1.170.1
b)
hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=msg&ver=1.170.1
c)hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=lfk&ldn=35&stat=CRA&ver=1.170.1&data=MON1xEF944FhyhIF7GcaNYG29T6ZflvjVTFc2zKPPP8VnTIA

Zu dan Daten:
ID = vermutlich Installationskennung o.ä.
CMD = Kommando an den Server
win = Windows Version
loc = Länderkennung
ver = Version des Trojaners
ldn = ??
stat = Könnte ID des Affiliate (Vertriebspartners) sein
data = Klingt sehr interessant - Könnte eventuell ein Schlüssel sein ?!

Bei allen drei Aufrufen bekommt er Daten vom Server zurück, deren Größe sich unterscheidet:
1. Aufruf: 243,8 kbyte
2. Aufruf: 704 bytes
3. Aufruf: 4 bytes

Erst nach dem Kontakt mit dem Server beginnt die Verschlüsselung.

4) Ich halte es nicht für wahrscheinlich, dass der Trojaner den MFT manipuliert. Es spricht vielmehr nichts dagegen, dass der Trojaner wirklich verschlüsselt, wie auch seine Vorgänger es taten.

5) Seine Geschwindigkeit ist allein darauf zurückzuführen, dass er a) vermutlich keinen starken Algo verwendet und b) keine Vollverschlüsselung durchführt.

6) Der Trojaner ist in Delphi / VB geschrieben, ich konnte keine Anti-Debugging Funktionen feststellen und auch keine exe-Packer.

7) Dass das Erscheinungsbild des Trojaners auf verschiedenen Rechnern unterschiedlich ist (Dateinamen, einige Daten noch ok, ...) dürfte daran liegen, wie weit der Trojaner gekommen ist, bevor Rechner ausgeschaltet wurde / Internetverbindung gekappt / etc pp. Wenn er durch ist, sind alle Dateien erstmal hin.

8) Per Wireshark durfte ich feststellen, dass er auch nach Netzwerkfreigaben scannt.

9) Und hier findet eine Prüfung einer 11111111111 zur Paysafe-Zahlung statt:

hxxp://ogutors-free.com/a.php?id=8C20AF3F4B435546464F&cmd=key&ver=1.170.1&data=1:1:NTU1NTU1NTU1NTU1NTU1NTU1NTUA

PS: DDoS auf die o.g. Server bringen nichts, weil a) ständig neue IPs b) es sind shared Server c) sind auf dem aktuellen Softwarestand (u.a. nginx, php) d) sind auch Cluster dabei. Abuse Mails werden auch nichts bringen (China, Russland, ...)

 

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Hallo Miteinander! Wir sind auch IT-Supportler und bekommen auch immer mehr Anfragen von Betroffenen. Deshalb hier noch ein paar weitere Informationen und eine Einschätzung der Lage von unserer Seite: 1) - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.