Trojaner Generic KDV 644264
 

Hallo alle zusammen,
den oben genannten Trojaner hatte ich bereits vor ca. einem Jahr schon einmal "vorgestellt" :-).
Damals stand wohl noch keine Lösung bereits, aber vielleicht mit der Zeit...
war so meine Hoffnung und ließ die Platte mal hier rumliegen.
Leider verweigerte gmx das Versenden an das Trojaner-Board.

Konkret:
Alle, na ja zumindest viele, Tools wie u.A. Decrypt-Helper hatte ich probiert. Auch die Schlüsselgenerierung durch Vergleich der Original Xp-Bilder wie Winter.jpg brachte keine Lösung.
Der Code verändert alle Daten, bis auf das letzte Byte da steht eine 0XD9, die Signatur für JPG, wie ich meine.
Der Code steckt in der Datei Erste Abmahnung doc.com Größe 65536 Bytes, gepackt in Erste-Abmahnung.zip (33272 Bytes).
Im Hex-Editor (Erste Abmahnung doc.com-Datei) fielen mir Textpassagen in Italienisch auf, wie Oggetto 2012.

Auswirkungen:
Alle encrypteten Dateien im "Eigene Dokument-Ordner" werden im Stil "NNDaddOgDAxlJGnvXLf" dargestellt.
Den Trojaner-Typen Generic meldete mir BitDefender.

Ergänzung:
https://www.virustotal.com/en/file/49c07c5e01fdd900e86e24310c24ed860b7eac886b7d2acaa96803520b910596/analysis/
Hier steht die Checksumme welche mit meiner .Com-Datei übereinstimmt.
SHA256 49c07c5e01fdd900e86e24310c24ed860b7eac886b7d2acaa96803520b910596
Dort auch unter File-Name steht Che Palle -> Wieder mal Italienisch...
Und hier scheint genau "mein" Trojaner beschrieben.
hxxp://totalhash.com/analysis/1439c598ea8bd0dd33859f96f92933f9d211d03f
Hilft das?

Ich lasse XP und 98 in einer VirtualBox auf Linux laufen, kann also ein wenig rumprobieren.

Kann man die Bilddateien wieder entcrypten ?
Hat jemand eine Idee ? Eilt nicht, liegt eh hier rum...


Gruß
Ralf

hi,

nee das iwrd auch warscheinlich nie wieder gehen.

Hallo Schrauber,
eher eine Frage der Zeit, oder? Oder ist die Generierung eines Schlüssels
ausgeschlossen?
Gruß

Der Entschlüsselungscode lag seinerzeit warscheinlich auf einem Server der kurz drauf vom Netz genommen wude. Never :)