[Anti-Banking-Trojaner] Secure Banking - Sicheres surfen im Web

#16 Ja das wundert mich nicht! Aber schau dir mal sbservice.exe im Debugger an, und du wirst sehen, dass es nichts "böses" anstellt.

#17 Sowas nennt man auch "false positive", allerdings denke ich das du eher mehr high-level hättest gehen sollen anstelle sowas - evntl. ala systracing.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#18 Genau! Ich muss jetzt sowieso nochmal Secure-Banking etwas überarbeiten, da noch irgendwo ein anständiger Memory-Leak stattfindet.
Nunja ich persönlich denke dass in dieser Methode ziemlich viel Potential steckt! Alles andere würde nur wieder ein "neues" Anti-Viren Programm werden.

#19 Hallo zusammen!
Am Wochenende wird es ein Update geben. Habe jetzt die Erkennungsmethode komplett überarbeitet.
Nun wird nicht mehr nach Hooks (Calls, Jumps, Push-Ret) gesucht, sondern es werden die ersten xx orignalen/unmodifizierten Bytes ausgelesen, welche anschließend mit denen im Webbrowser verglichen werden. So werden jegliche Hooks erkannt.
Ich würde mich wieder sehr freuen, wenn der ein und andere auf einer VM das ganze mit Malware-Samples testen würde, und Feedback geben könnte. :-) Schließlich ist nicht jedes System ident.

Vielen Dank! Und bis zum Update!

#20 Hey! Ich bins wieder!
Das Update ist da! Ihr könnt es entweder manuell von der Homepage laden, oder einfach über Secure Banking (Suche Update).

Zitat

Änderungen/Neuerungen:

-Bessere / Neu Überarbeitete Erkennungs-Engine
-Memory/Speicher Problem behoben
-CPU schonender
-Weniger "False Positives" von Anti-Viren-Programmen

Würde mich wieder über Feedback freuen! Danke!

#21


__________
MfG Argus

#22 Also läufts? Oder sollte der Post Sarkasmus enthalten? ^^
Btw. kommt bei dir nur eine Messagebox, oder schon auch dieses Fenster (siehe Video)?

#23 Es kommen beide
Willst du aber das Tool international benutzen,muss es in English sein

Infektion SpyEye:

Zitat

[18-09-2011 16:38:37] SpyEye Infection Found: C:\MSOCache
[18-09-2011 16:38:37] ****** has detected malware on your system!
[18-09-2011 16:38:37] Please press the "Clean" button to remove the malware
[18-09-2011 16:38:48] Component marked for removal: C:\MSOCache\All Users
[18-09-2011 16:38:48] Component marked for removal: C:\MSOCache\3CA3BA199C3.exe
[18-09-2011 16:38:48] Component marked for removal: C:\MSOCache\6E248548EFA77C2
[18-09-2011 16:38:48] Component marked for removal: C:\MSOCache
-----------
C:\MSOCache\3CA3BA199C3.exe (Hash: 493B105AD0EFA42E1B0B9A71B8A2D19C)

__________
MfG Argus

#24 Super! Ja ich werde demnächst auch eine englische Version machen.
Meine Pläne wären noch, nicht nur die Malware zu erkennen, sondern sie auch unschädlich zu machen und/oder sie zu entfernen.

Die Malware unschädlich zu machen ist nicht schwierig, sobald man den Hook gefunden hat. (Unhooking / den Hook hooken ^^)
Außerdem kann man aufgrund der Hooking Methode auch auf die installierte Malware zurückführen und dann die Registry-Einträge / Files löschen.

Btw. ich würde mich sehr über mithilfe bei diesem Projekt freuen! (Website/Werbung/Coding)

#25 So ein Tool haben wir hier in Holland schon,gibt auch an wenn ein Rootkit im Spiel ist
Und auch Malwarebytes Anti-Malware Pro entfernt sehr schnell diese Infektionen und blockiert die IP Adresse.
__________
MfG Argus

#26 Aha! Wie heißt denn dieses Tool? Werde mir MalwareBytes die Tage genauer anschauen! Ja eine Rootkit-Erkennung würde auch nicht schwierig sein! Im Prinzip läuft alles nur über Hooks!
Freut euch auf neue Versionen mit neuen Features!