Reverse Engineering: Inkasso-Trojaner
 

Hallo,

nachdem es dieses Forum schon Ewigkeiten gibt und sich hier einige Experten tummeln, hoffe ich, dass mir hier evtl. jemand einen Tipp geben kann.
Ich versuche mich in Sachen Reverse Engineering / IDA Pro fit zu machen und habe als neues "Projekt" einen dieser Inkasso-Trojaner auserkoren. Bücher hab ich schon viele gewälzt und auch ein paar Übungs-Trojaner analysiert, aber an dem Mistding schlag ich mir die Zähne aus.

Laut Analyse mit CaptureBat und Procmon steuert dieser Trojaner eine eigene Instanz der explorer.exe und/oder svchost.exe.
Mich würde nun interessieren: WIE macht er das? Da müsste doch eigentlich einen Aufruf für WriteProcessMemory kommen - ich finde aber keinen.

Laut virustotal.com ist das Ding mit Armadillo v1.71 gepackt. Sämtliche Versuche, die Datei mit unArm oder über einen Debugger zu entpacken schlagen aber fehl.

Dateiname: Forderung der stornierten Lastschrift Ihrer Bestellung 23.08.2013.com
MD5: 6c61e5b0f974a3fb02a173c2e5f2e369
Virustotal: https://www.virustotal.com/de/file/dbb8dfa4632f20e2e917be529c6ce9aea18ecb8db05c852f28ffce904e2fd3ef/analysis/

Seltsam ist, dass da 'ne ganze Menge komische Imports von der MFC42.dll sind - hat das was zu bedeuten?

Würde mich echt freuen, wenn jemand Zeit und Lust hat, dass mal mit mir durchzugehen und mir da ein bissche unter die Arme zu greifen.

Vielen Dank!