Hallo,
habe den Gema "Virus" der akutell unterwegs ist zerlegt!
Der Virus ist mit UPX gepackt und in Delphi geschrieben!
Die Datei gema-virus.exe ist die UPX-gepackte Variante
Die Datei gema-virus-un.exe ist die UPX-entpackte Variante
Analyse:
Der Virus wurde in Delphi geschrieben und scheinbar mit Borland Delphi 7 compiled!
Mittels DeDe konnte ich die Schadware decompilen, er beinhaltet ein Webbrowser Element, einige Timer, ein Panel mit der Aufschrift "Es besteht noch keine Internet verbindung, bitte warten.", ein unsichtbares Edit mit dem Inhalt "http://85.121.39.2/~mfeeling/gema/index.php" sowie ein dWinlock Element.
Das dWinlock Element wird von der Firma Kassl vertrieben es ist eine API zum deaktivieren von Windows Funktionen z.B. Taskmanager,Desktop,Taskleiste,etc.pp
Funktion:
Der Virus kopiert sich bei Aufruf in das Lokale Benutzerverzeichniss, anschließend wird mittels dWinlock der Computer komplett gesperrt,
der Shell Eintrag in der Registry wird angeändert so das nicht mehr der explorer sondern der Virus startet!
Anschließend wird der Inhalt des Edit Elements in dem Webbrowser Element geladen, auf der Seite kann man dann den UCash Code eingeben!
Wenn man bezahlt wird mit dWinlock wieder entsperrt! (nicht geprüft!)
Wie kann ich meinen PC "desinfizieren"?
WindowsXP -> BartPE CD -> regedit.exe -> Struktur laden...etc
Windows Vista/ 7 -> Windows 7 CD -> Reperatur Konsole -> regedit.exe -> Struktur laden...etc
Anschließend sollte man noch einen Virenscanner drüber laufen lassen!
vllt. kann ja jmd. was mit dem "Virus" anfangen!
PS: Es ist kein wirklicher "Virus" ist halt DAU Sprache "OH! Hey! Hilf mir mal ich hab da so nen Virus von der Gema drauf!"...
Download: http://www.filesonic.com/file/421852...s-forensic.zip
Passwort der zip: 123456
BITTE NICHT AUF EINEM PRODUKTIVEN SYSTEM AUSFÜHREN!!!! ICH ÜBERNEHME KEINE HAFTUNG!! SAGT NICHT ICH HÄTTE EUCH NICHT GEWARNT! NUR ZU TEST UND FORSCHUNGSZWECKEN BENUTZEN!!
mfG