Registrierung Mitgliederliste Administratoren und Moderatoren Suche Häufig gestellte Fragen Stellen Sie hier Ihre spezielle Kopierschutzanfrage Zur Startseite  

Forum www.Kopierschutzsysteme.de - Hier findet Ihr Informationen rund um das Thema Kopierschutz » Sonstiges » Off-Topic » Trojaner GPcode ein Schnippchen schlagen » Hallo Gast [anmelden|registrieren]
Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Michael Bauer Michael Bauer ist männlich
Administrator


Dabei seit: 03.02.2007
Beiträge: 127

Trojaner GPcode ein Schnippchen schlagen Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       IP Information Zum Anfang der Seite springen

Wer von dem Trojaner GPCode betroffen ist für den ist vielleicht die folgende Information von Interesse - Bei GPCode handelt es sich um ein Schadprogramm, das auf dem infizierten Computer Anwender-Dateien verschlüsselt.

Zitat:

Verschlüsselungstrojaner GPcode ein Schnippchen schlagen

Da das Knacken des vom Verschlüsselungstrojaner GPcode[1] benutzten
RSA-Schlüssels nach einhelliger Meinung[2] derzeit kaum zu
bewerkstelligen ist, schlägt Kaspersky nun betroffenen Anwendern
alternativ vor, die gelöschten Originale wieder zu restaurieren. Dazu
empfehlen sie den Einsatz des kostenlosen Datei-Rekonstruktionstools
PhotoRec[3]. Anders als der Name es vermuten lässt, kann das Tool
nicht nur gelöschte Fotos wiederherstellen, sondern eine Vielzahl
weiterer Dateiformate wie .doc, html, .pdf. txt, .zip, .mp3 und so
weiter. Eine vollständige Liste findet sich hier: File Formats
Recovered By PhotoRec[4].

Die Rekonstruktion funktioniert, weil GPcode die verschlüsselte
Version eines Dokuments in eine neue Datei schreibt und anschließend
das Original löscht. Da Windows aber nur die Referenz im Dateisystem
löscht, ist die Datei weiterhin vorhanden und lässt sich erfolgreich
rekonstruieren – solange der Anwender nicht allzu viel weitere
Änderungen auf der Festplatte vorgenommen hat.

PhotoRec stellt aber alle gelöschten Dateien wieder her, auch solche,
die der Anwender selbst und nicht GPcode gelöscht hat. Da das Tool
zudem keine Pfade restaurieren kann, müsste man sich mühsam durch ein
große Liste von Dateien arbeiten. Um diese Arbeit zu erleichtern, hat
Kaspersky das Tool StopGPcoder[5] veröffentlicht, das durch einen
Vergleich der verschlüsselten und restaurierten Dateien die richtigen
herauszufinden versucht. Kaspersky hat eine detaillierte Anleitung[6]
aller erforderlichen Schritte und Download-Links in der Rubrik "File
Recovery" zu der Beschreibung von GPcode veröffentlicht.

PhotoRec dient aber nicht nur Windows-Anwendern zu Rettung ihrer Daten.
Es läuft auch unter Linux, FreeBSD, NetBSD, OpenBSD, Sun Solaris sowie
Mac OS X und unterstützt die Dateisysteme FAT, NTFS,
EXT2/EXT3-Dateisysteme und HFS+ auf unterschiedlichen Medien.

Laut einem Bericht von SecurityFocus[7] hätte der mutmaßliche Autor
von GPcode nach dem erfolgreichen Knacken des RSA-Schlüssels in
künftigen Versionen die Schlüssellänge auf 4096 Bit erhöht, womit
erfolgreiche Angriffe vollends außer Reichweite gelangt wären.
Allerdings wäre dann zu überlegen, ob man sich nicht lieber dem
Knacken des RC4-Schlüssels widmet.

Die Dateien selbst sind mit dem auf XOR-Verknüpfungen beruhenden
Stromchiffre RC4[8] verschlüsselt, nur der RC4-Schlüssel ist mit RSA
geschützt. RC4 gilt zwar als hinreichend sicher, allerdings nur, wenn
er korrekt initialisiert[9] wird und keine schwachen Schlüssel
verwendet. Der WLAN-Verschlüsselungsstandard WEP gilt aufgrund
schwacher Initialisierungsvektoren als mittlerweile leicht angreifbar.

Siehe dazu auch:

Restoring files attacked by Gpcode.ak[10], Blogeintrag von Kaspersky
Virus.Win32.Gpcode.ak[11], Beschreibung von Kaspersky


(dab[12]/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/109551

Links in diesem Artikel:
[1] http://www.heise.de/security/Kaspersky-b.../meldung/109172
[2] http://www.theregister.co.uk/2008/06/13/...jan_code_break/
[3] http://www.cgsecurity.org/wiki/PhotoRec
[4] http://www.cgsecurity.org/wiki/File_Form...red_By_PhotoRec
[5] http://www.kaspersky.com/downloads/misc/stopgpcode_tool.zip
[6] http://www.viruslist.com/en/viruses/ency...?virusid=313444
[7] http://www.securityfocus.com/news/11523/2
[8] http://de.wikipedia.org/wiki/RC4
[9] http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
[10] http://www.viruslist.com/en/weblog?weblogid=208187531
[11] http://www.viruslist.com/en/viruses/ency...?virusid=313444
[12] mailto:dab@ct.heise.de

------------------------------------------------------------------------
Copyright 2008 Heise Zeitschriften Verlag

Quelle: Heise Online

17.06.2008 23:16 Michael Bauer ist offline Email an Michael Bauer senden Homepage von Michael Bauer Beiträge von Michael Bauer suchen Nehmen Sie Michael Bauer in Ihre Freundesliste auf
 
Neues Thema erstellen Antwort erstellen
Gehe zu:

Links / Impressum
Powered by Burning Board © 2001-2004 WoltLab GmbH
Partnerseiten: virenschutz.info | Hakin9.org