[Anti-Banking-Trojaner] Secure Banking - Sicheres surfen im WebThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.09.2011, 16:21
Member
Beiträge: 16 |
||
|
||
10.09.2011, 16:43
Member
Beiträge: 5291 |
#2
Ich bin noch nicht so ganz überzeugt das du nun ein Muster gefunden hast welches auf wirklich alle Malware passen soll, darüber hinaus gehst du ausschließlich davon aus das Malware versucht einen Browser zu verändern/ zu manipulieren.
Nun aber wenn das nicht getan wird, heißt es ja nicht das keine Malware existiert - es gibt ja auch andere Möglichkeiten... In wievielen Testumgebungen hast du das mit wieviel Malware-SW ausprobiert? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
10.09.2011, 16:52
Member
Themenstarter Beiträge: 16 |
#3
Hey!
Nunja, zum Teil hast du schon Recht. Secure-Banking kann nicht jede Malware finden, sondern ist nur speziell für Banking-Trojaner (oder auch Info-Stealing-Trojaner) entwickelt. Diese Trojaner sind auch meiner Meinung nach die meist verbreiteten Trojaner und auch die gefährlichsten. Jetzt mal etwas blöd ausgedrückt, wo gibt man denn die sensiblen Daten ein? Im Webbrowser natürlich. Und solche Trojaner können auch den größten Schaden anrichten, indem sie Passwörter von E-Mail Accounts oder Bank-Accounts klauen. Wenn ich nur einen lästigen Wurm auf dem Rechner habe ist das mir relativ egal, da er mir keinen finanziellen Schaden anrichtet. Habe Secure-Banking erfolgreich mit Zeus, SpyEye, Carberp, Umbra getestet. PS: Wenn du dich etwas auf Szene-Foren rumtreibst, wirst du sehen, dass alle "guten" & vorallem teuren Trojaner-Building-Kits mit sogenannten "Formgrabbers" ausgestattet sind. Und genau diese Formgrabber kann Secure-Banking ausfinding machen. PPS: Secure-Banking soll ja kein Ersatz für ein Anti-Viren Programm sein, sondern ein AddOn. |
|
|
||
10.09.2011, 16:58
Member
Beiträge: 5291 |
#4
Ja da hast du sicherlich recht allerdings:
Zitat Wenn ich nur einen lästigen Wurm auf dem Rechner habe ist das mir relativ egal, da er mir keinen finanziellen Schaden anrichtet.Stimmt nicht ganz so, natürlich ist Online-Banking mit einer der sensibelsten Dinge die man am PC tuen kann, u.a. gibt es aber auch genügend Leute die diverse Passwörter o.ä. in ihren Browsern speichern - diese können natürlich auch geklaut werden. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
10.09.2011, 17:07
Member
Themenstarter Beiträge: 16 |
#5
Da hast du natürlich wieder Recht. Deshalb sollte man auch nie Passwörter vom Webbrowser speichern lassen. Es gibt nämlich immer Möglichkeiten diese zu entschlüssen. (man siehe Nirsoft.net)
Aber mit einem guten aktuellem AV, Secure-Banking & etwas Brain sollte man schon recht sicher unterwegs sein. |
|
|
||
10.09.2011, 18:30
Ehrenmitglied
Beiträge: 6028 |
#6
Ich hab mir das Program mal runter geladen,was macht es ueberhaupt
Meine Bank sagt ich bin infiziert __________ MfG Argus |
|
|
||
10.09.2011, 18:38
Member
Themenstarter Beiträge: 16 |
#7
Normalerweiße sollte der Status von Secure-Banking nicht Beendet! sondern OK! sein. Melde dich mal ab, und wieder neu an.
Falls das nicht läuft, wäre ich dir sehr dankbar, wenn ich mir das mal über TeamViewer ansehen dürfte! Das wäre echt super! Normal bekommst du dann eine Infektions-Meldung wenn du Firefox oder Internet Explorer aufmachst. |
|
|
||
10.09.2011, 18:50
Ehrenmitglied
Beiträge: 6028 |
||
|
||
10.09.2011, 19:17
Member
Beiträge: 5291 |
#9
Zitat Hab dir ein PM geschicktHmm bin gespannt was dabei rum kommt, bin ja kein Windows-User. Aber hatte gehofft es kommt bald der erste aus dem Protecus-Team und schaut sich das mal an. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.09.2011, 11:18
Member
Beiträge: 17 |
#10
Wenn Argus sich das ansieht, geht das schon klar.
Am TB stell ich auch schon diverse Fragen dazu. Ich hab ne VM mit Zeus ( Version Uralt ) infiziert und hat funktioniert. Zeus wieder gekillt und bekam keine Meldung mehr von dieser "Software". Was ich eben nicht habe, ist dieses Fenster was Argus in seinem Post hat. Ich hab da nur ne "simple" MSG BOX welche mir sagt, ich sei infiziert und solle mein AVP updaten Eventuell weil ich ein englishes Win 7 nutze ? __________ TB- Ausbilder ASAP Member |
|
|
||
11.09.2011, 11:58
Member
Themenstarter Beiträge: 16 |
#11
Hallo Larusso! Schön dich hier zu sehen!
Dieses Fenster solltest du bekommen, wenn du rechts unten in der Taskbar (wo die kleinen Symbole sind) auf ein verpixeltes (^^) Schloss klickst. (siehe mein Avatar) Ich werde jetzt ein Video drehen, damit ihr mal seht wie es normal laufen sollte! Edit: Hier das Video:
Normalerweiße ist noch ein AntiVir ähnliches biepsen zu hören, aber das hört man im Video nicht! :S Dieser Beitrag wurde am 11.09.2011 um 12:32 Uhr von SecureBanking editiert.
|
|
|
||
11.09.2011, 17:27
Ehrenmitglied
Beiträge: 6028 |
#12
Hatte die neueste Version von SpyEye es kam kein Popup von SecureBanking
Antivir Modul ist infiziert -> <C:\Program Files\SecureBanking\v1.0\sbservice.exe> [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen Modul ist infiziert -> <C:\SecureBanking.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 __________ MfG Argus |
|
|
||
11.09.2011, 18:27
Member
Beiträge: 5291 |
#13
Zitat Hatte die neueste Version von SpyEye es kam kein Popup von SecureBankingDas ist das, was ich mir fast gedacht hatte. Wenn er wirklich opcodes scannt dann kann das nicht klappen, je nach compiler/platform kommen ja andere Kombinationen zu stande - da kann man nicht wissen wie welcher Trojan den Browser wie manipuliert außer man macht genau das was die AVs machen, man untersucht jeden einzelnen auf seine Vorgehensweise. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
11.09.2011, 18:59
Member
Themenstarter Beiträge: 16 |
#14
Hallo Leute!
Danke für den Hinweiß Argus! Habe mir jetzt nochmal ein anderes Sample von ********* runter geladen (SpyEye). Bisher hab ich nur nach CALLS oder JMPS gesucht. Aber diese Version von SpyEye macht einen Sprung zum Malware-Code mittels einem: Zitat PUSH 0xADDRESSEWerde das jetzt mit dem nächsten Update beheben, bzw. implementieren. Aber ich mache das jetzt anderst. Bisher habe ich nur geschaut, ob die erste Instruction ein Call oder ein Jump ist. Aber ich werde jetzt einfach die ersten xx bytes auslesen, und mit den Orginalen (welche nicht Hardcoded sind, sondern jedes mal direkt am System ausgelesen werden - somit ist das ganze Compilerunabhängig und Versionsunabhängig) überprüfen. Somit wird jede Änderung am Orginalcode erkannt. D.h. egal welche Hooking-Methode verwendet wird, sie wird erkannt. |
|
|
||
11.09.2011, 19:05
Ehrenmitglied
Beiträge: 6028 |
#15
Leider hat Vipre Antivirus dein Tool entfernt
Moderation: Thema Update hier gehts weiter: http://board.protecus.de/t42029.htm Thema geschlossen! __________ MfG Argus |
|
|
||
Hallo Leute! Ich möchte Euch gerne mein neues Projekt Secure Banking vorstellen.
Website: www.securebanking.bplaced.net (muss mir erst eine TLD + passenden Webspace holen)
Kurz zum Projekt:
Secure Banking ist eine Anwendung, welche verschiedene Trojaner (Zeus, SpyEye, Carberp, ...) zuverlässig auf Ihrem System entdecken kann. Dazu wird die gleiche Technik benutzt, die auch die Trojaner benutzen. Da die Schadsoftware oft durch spezielle Programme gegen die Anti-Virus Programme resistent gemacht werden, bringt das Scannen nach Signaturen und die Verhaltens-Analysen nicht viel. Abhilfe schafft Secure Banking indem es den Webbrowser auf sogenannte "Man-in-the-Middle" oder auch "Man-in-the-Browser" Attacken scannt.
Im Gegensatz zu Anti-Viren Programmen benötigt Secure-Banking sogut wie keine CPU/RAM Resourcen und steht den bereits installierten AV nicht im Weg.
Ich bin gerade auch dabei ein kleines Video zu drehen. Werde es später auf Youtube stellen und auf meiner Website posten.
Da es sich hier noch um die erste Version handelt, wäre ich Euch sehr dankbar wenn ihr mir mögliche Fehler/Bugs melden könntet um Secure Banking ständig zu verbessern.
Stehe gerne für Fragen (Projekt, Privates, ...) zur Verfügung.
PS: Falls wer an diesem Projekt mitarbeiten möchte, der kann sich gerne bei mir melden.