hallo, habe einiges mitverfolgt und hatte eine idee: ist vielleicht etwas in dem trojaner integriert was der entschlüsselung dient?
hat vielleicht jemand versucht eine (ungültige) UKASH Id einzugeben und den traffic mitgeschnitten? vielleicht ist da ein ansatz über ein kleines skript machbar?

der server, zumindest der horad-fo ist evtl verwundbar soweit ich auf die schnelle sehen konnte. php 5.2.6 hat eine kleine lücke.
der draufsetzende nginx ist auch nicht der jüngste , 1.0.4 da bin ich dran herauszufinden was geht. erstmal muss ich meinen wagen reparieren, bremsleitung gerissen...

Zitat:

Zitat von benton18

wäre natürlich hammer, wenn das brute was gehen könnte.
Wozu haben alle nen quadcore im Rechner stecken? der soll mal was zu tun bekommen.

CUDA programmieren ist nicht mein ding, aber da ist noch viel mehr leistung in z.b. einer geforce zur verfügung? wäre das was? war so eine spontane idee grad.

Zitat:

Zitat von deraddi

hallo, habe einiges mitverfolgt und hatte eine idee: ist vielleicht etwas in dem trojaner integriert was der entschlüsselung dient?
hat vielleicht jemand versucht eine (ungültige) UKASH Id einzugeben und den traffic mitgeschnitten? vielleicht ist da ein ansatz über ein kleines skript machbar?

Nein, da haben die sich keine Schnitzer erlaubt. Die verwenden asymmetrische Verschlüsselung für den Schlüsseltausch, symmetrische für die Verschlüsselung der Daten. Das übliche und sichere Verfahren. Da ist so nichts zu machen.

Zitat:

der server, zumindest der horad-fo ist evtl verwundbar soweit ich auf die schnelle sehen konnte. php 5.2.6 hat eine kleine lücke.
der draufsetzende nginx ist auch nicht der jüngste , 1.0.4 da bin ich dran herauszufinden was geht.

Na, vorsicht. Es kann durchaus sein, dass die betreffenden selbst nur Opfer sind. Z.B. Orte von denen aus nachgeladen wird. Am ehesten sollte man sich die Server angucken, an die der Schlüssel geschickt wird. *Möglicherweise* ist der über Mittelsmänner tatsächlich in der Hand der Kriminellen, vielleicht ist es aber auch nur irgendein gehijackter Server.
Diese Server nun hacken zu wollen, wäre Selbstjustiz und verboten.

Zitat:

erstmal muss ich meinen wagen reparieren, bremsleitung gerissen...

Na ich hoffe, das war nicht auch noch der Trojaner... ;(

Zitat:

CUDA programmieren ist nicht mein ding, aber da ist noch viel mehr leistung in z.b. einer geforce zur verfügung? wäre das was? war so eine spontane idee grad.

RC4 ist schon recht betagt, aber effizient und bei richtiger Anwendung sicher. Und da wird auch der beste Ansatz zum Hacken liegen, nämlich dem Suchen nach fehlerhafter Implementierung/Anwendung (z.B. eine doppelte/mehrfache Verwendung desselben Schlüssels).

Sinn macht es, auf die "Seitenkanäle" zu schauen, also temporäre Daten. Bei einem gerade verschlüsselnden Trojaner wäre das direkte Netzstecker-ziehen für den Laien vermutlich bei diesem Ansatz die beste Möglichkeit. Dann könnte man versuchen in der Auslagerungsdatei zu suchen.
Allerdings wäre das auch keinesfalls sicher, denn gegen sowas kann man sein Programm auch schützen. Am besten wärenn atürlich Debuging/Forensik-Tools, mit denen Du im laufenden Betrieb ein Speicher-Snapshot machen kannst. Solange der Trojaner seine Verschlüsselung nicht komplett im Prozessorcache abwickelt, wird der Schlüssel dann irgendwo da drin zu finden sein.
Aber das ganze Szenario widerspricht der Praxis. Wenn die Betroffenen nach Hilfe suchen, ist der Trojaner doch schon fertig und der Schlüssel längst an die Kriminellen übertragen und lokal nicht mehr vorhanden.

soweit ich bis jetzt über whois abfragen und diverse googelei herausfinden konnte ist es ein extra dafür angemieteter server, zumindes eine der 4 ip's in indien. auf horad-fo verweisen einige virenanalysen als DNS request und einige domains die nur mit malware zu tun haben, es scheint das dieser server für so einige viren als c&c missbraucht wird. wir haben es hier also schon mit organisierten kriminellen zu tun...

leider ist die php lücke nicht geeignet um sich da mal umzusehen. zum nginx konnte ich leider auch nichts finden. ich möchte hier aber klarstellen das ich nicht die absicht habe selbstjustiz zu üben, ich suche einfach nur eine effiziente möglichkeit den key zu bekommen. im serverbereich habe ich gezwungenermaßen genug erfahrung dank meinem job, im win32 assembler bereich sind meine kenntnisse aber zu eingerostet.