Hallo,

ist vielleicht für jemanden von der "Analyse" interessant...

Ich habe gestern wieder bei einer "Kundin" die sich per Mail (PDF im Anhang) die Verschlüsselung eingefangen hatte.

Dabei bemerkte ich zumindest für mich zum ersten bei zwei Dinge die ich so noch nicht gesehen hatte:
1. Ein Verzeichnis mit *.exe-Dateien unter C:\Windows\Installer\{F0559C5E-7912-4391-B1A0-6B975F0E5064} mit mitunter einer Schaddatei namens "SHCT_TRAY_PROGRAMG_A10D8603999C4E9488776EF2533C58C9.exe"

2. Ein Verzeichnis unter C:\Users\"Benutzername"\# welches eigentlich versteckt markiert war.
Dies beinhaltet 4 Dateien...
MBX@6CC@A02740.###
MBX@6CC@A02770.###
MBX@40C@1FA2740.###
MBX@40C@1FA2770.###

Leider kann ich mit dem Inhalt nicht wirklich was anfangen. "Mal abgesehen von "This program cannot be run in DOS mode." - verstehe ich da leider nicht viel von. :-(
Vielleicht bilde ich mir was ein, aber in Datei 2 und 4 würde ich jeweils vermuten das es sich um eine "Schlüssel"zeile handelt. Aber wie gesagt, ich habe da keine wirkliche Ahnung von.

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

Falls daran Interesse zur Analyse besteht...melden.^^


PS.: Ich hoffe ja eigentlich nicht der Entdecker einer ganz neuen Version geworden zu sein,...

Grüße,
Wavetable

Zitat:

Zitat von Wavetable

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

moin moin,
den Dropper selbst hast Du nicht mit gesichert?

Gruß Volker

@ Undertaker (Volker)

Muss ich ganz ehrlich gestehen...was genau meinst Du/meinen Sie damit (also welche Datei)?


Grüße,
Wavetable