the_viper
Bekanntes Mitglied
- Dabei seit
- 27.11.2000
- Beiträge
- 1.977
- Reaktionspunkte
- 0
Kurz gefasst es geht um den matsnu virus, rechner einer bekannten wurde befallen und er hat ca. 4200 bilder verschlüsselt. Datensicherung war so alt das sie nur gut 2000 bilder wieder hat...
habe mich viel informiert und gegoogelt; dank analysen auf dem delphi board und den trojaner board funktioniert er folgendermaßen:
-Erstellen der computer id und kennung
-erstellen eines master schlüssels
-nach hause telefonieren, master schlüssel und kennung senden
-laden von 4 bitmaps und text
-katalog von benutzerdateien erstellen
-schlüssel für jede datei erstellen, verschlüssen (nur die ersten 3 kb, spart zeit), schlüssel in den katalog, datei mit zufallsdaten umbenennen
-katalog mit master schlüssel verschlüsseln, speichern
-regedit, msconfig sperren, abgesicherten modus zerstören, sicherungspunkt erstellen, autostart im run schlüssel
-desktop sperren, UKASH bild (na, wem noch bekannt? ), geld fordern
Jetzt kommt meine rettungs-idee :
Die katalog datei ist so aufgebaut laut marcu auf dem delphi board:
Alter dateiname incl pfad
Neuer dateiname incl pfad
Schlüssel
Alter dateiname incl pfad
.
.
Diese datei wurde ja mit rc4 verschlüsselt. Da aber teile bekannt sind (der erste pfad z.b. C:\Dokumente und Einstellungen\... ) kann man evtl teile des schlüssels errechnen? soweit seit WEP bekannt ist genau hier die schwachstelle des rc4, was ansonsten recht sicher ist.
Vielleicht hat einer von euch ideen, es gibt sogar einige betroffene kleingewerbe auf dem trojaner board gemeldet die sich freuen würden.
habe mich viel informiert und gegoogelt; dank analysen auf dem delphi board und den trojaner board funktioniert er folgendermaßen:
-Erstellen der computer id und kennung
-erstellen eines master schlüssels
-nach hause telefonieren, master schlüssel und kennung senden
-laden von 4 bitmaps und text
-katalog von benutzerdateien erstellen
-schlüssel für jede datei erstellen, verschlüssen (nur die ersten 3 kb, spart zeit), schlüssel in den katalog, datei mit zufallsdaten umbenennen
-katalog mit master schlüssel verschlüsseln, speichern
-regedit, msconfig sperren, abgesicherten modus zerstören, sicherungspunkt erstellen, autostart im run schlüssel
-desktop sperren, UKASH bild (na, wem noch bekannt? ), geld fordern
Jetzt kommt meine rettungs-idee :
Die katalog datei ist so aufgebaut laut marcu auf dem delphi board:
Alter dateiname incl pfad
Neuer dateiname incl pfad
Schlüssel
Alter dateiname incl pfad
.
.
Diese datei wurde ja mit rc4 verschlüsselt. Da aber teile bekannt sind (der erste pfad z.b. C:\Dokumente und Einstellungen\... ) kann man evtl teile des schlüssels errechnen? soweit seit WEP bekannt ist genau hier die schwachstelle des rc4, was ansonsten recht sicher ist.
Vielleicht hat einer von euch ideen, es gibt sogar einige betroffene kleingewerbe auf dem trojaner board gemeldet die sich freuen würden.