[Anti-Banking-Trojaner] Secure Banking - Sicheres surfen im Web

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.09.2011, 16:21
Member

Beiträge: 16
#1 Achtung! Moderation: Thema Update/aktualisiert → hier gehts weiter: http://board.protecus.de/t42029.htm


Hallo Leute! Ich möchte Euch gerne mein neues Projekt Secure Banking vorstellen.

Website: www.securebanking.bplaced.net (muss mir erst eine TLD + passenden Webspace holen)

Kurz zum Projekt:

Secure Banking ist eine Anwendung, welche verschiedene Trojaner (Zeus, SpyEye, Carberp, ...) zuverlässig auf Ihrem System entdecken kann. Dazu wird die gleiche Technik benutzt, die auch die Trojaner benutzen. Da die Schadsoftware oft durch spezielle Programme gegen die Anti-Virus Programme resistent gemacht werden, bringt das Scannen nach Signaturen und die Verhaltens-Analysen nicht viel. Abhilfe schafft Secure Banking indem es den Webbrowser auf sogenannte "Man-in-the-Middle" oder auch "Man-in-the-Browser" Attacken scannt.
Im Gegensatz zu Anti-Viren Programmen benötigt Secure-Banking sogut wie keine CPU/RAM Resourcen und steht den bereits installierten AV nicht im Weg.

Ich bin gerade auch dabei ein kleines Video zu drehen. Werde es später auf Youtube stellen und auf meiner Website posten.

Da es sich hier noch um die erste Version handelt, wäre ich Euch sehr dankbar wenn ihr mir mögliche Fehler/Bugs melden könntet um Secure Banking ständig zu verbessern.

Stehe gerne für Fragen (Projekt, Privates, ...) zur Verfügung. ;)

PS: Falls wer an diesem Projekt mitarbeiten möchte, der kann sich gerne bei mir melden.
Seitenanfang Seitenende
10.09.2011, 16:43
Member
Avatar Xeper

Beiträge: 5289
#2 Ich bin noch nicht so ganz überzeugt das du nun ein Muster gefunden hast welches auf wirklich alle Malware passen soll, darüber hinaus gehst du ausschließlich davon aus das Malware versucht einen Browser zu verändern/ zu manipulieren.
Nun aber wenn das nicht getan wird, heißt es ja nicht das keine Malware existiert - es gibt ja auch andere Möglichkeiten...

In wievielen Testumgebungen hast du das mit wieviel Malware-SW ausprobiert?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.09.2011, 16:52
Member

Themenstarter

Beiträge: 16
#3 Hey! ;)
Nunja, zum Teil hast du schon Recht. Secure-Banking kann nicht jede Malware finden, sondern ist nur speziell für Banking-Trojaner (oder auch Info-Stealing-Trojaner) entwickelt. Diese Trojaner sind auch meiner Meinung nach die meist verbreiteten Trojaner und auch die gefährlichsten.

Jetzt mal etwas blöd ausgedrückt, wo gibt man denn die sensiblen Daten ein? Im Webbrowser natürlich. :p Und solche Trojaner können auch den größten Schaden anrichten, indem sie Passwörter von E-Mail Accounts oder Bank-Accounts klauen.
Wenn ich nur einen lästigen Wurm auf dem Rechner habe ist das mir relativ egal, da er mir keinen finanziellen Schaden anrichtet. ;)

Habe Secure-Banking erfolgreich mit Zeus, SpyEye, Carberp, Umbra getestet.

PS: Wenn du dich etwas auf Szene-Foren rumtreibst, wirst du sehen, dass alle "guten" & vorallem teuren Trojaner-Building-Kits mit sogenannten "Formgrabbers" ausgestattet sind. Und genau diese Formgrabber kann Secure-Banking ausfinding machen. ;)

PPS: Secure-Banking soll ja kein Ersatz für ein Anti-Viren Programm sein, sondern ein AddOn.
Seitenanfang Seitenende
10.09.2011, 16:58
Member
Avatar Xeper

Beiträge: 5289
#4 Ja da hast du sicherlich recht allerdings:

Zitat

Wenn ich nur einen lästigen Wurm auf dem Rechner habe ist das mir relativ egal, da er mir keinen finanziellen Schaden anrichtet.
Stimmt nicht ganz so, natürlich ist Online-Banking mit einer der sensibelsten Dinge die man am PC tuen kann, u.a. gibt es aber auch genügend Leute die diverse Passwörter o.ä. in ihren Browsern speichern - diese können natürlich auch geklaut werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
10.09.2011, 17:07
Member

Themenstarter

Beiträge: 16
#5 Da hast du natürlich wieder Recht. Deshalb sollte man auch nie Passwörter vom Webbrowser speichern lassen. Es gibt nämlich immer Möglichkeiten diese zu entschlüssen. (man siehe Nirsoft.net)

Aber mit einem guten aktuellem AV, Secure-Banking & etwas Brain sollte man schon recht sicher unterwegs sein. ;)
Seitenanfang Seitenende
10.09.2011, 18:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Ich hab mir das Program mal runter geladen,was macht es ueberhaupt



Meine Bank sagt ich bin infiziert

__________
MfG Argus
Seitenanfang Seitenende
10.09.2011, 18:38
Member

Themenstarter

Beiträge: 16
#7 Normalerweiße sollte der Status von Secure-Banking nicht Beendet! sondern OK! sein. Melde dich mal ab, und wieder neu an.
Falls das nicht läuft, wäre ich dir sehr dankbar, wenn ich mir das mal über TeamViewer ansehen dürfte! Das wäre echt super!

Normal bekommst du dann eine Infektions-Meldung wenn du Firefox oder Internet Explorer aufmachst.
Seitenanfang Seitenende
10.09.2011, 18:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Hab dir ein PM geschickt
__________
MfG Argus
Seitenanfang Seitenende
10.09.2011, 19:17
Member
Avatar Xeper

Beiträge: 5289
#9

Zitat

Hab dir ein PM geschickt
Hmm bin gespannt was dabei rum kommt, bin ja kein Windows-User.
Aber hatte gehofft es kommt bald der erste aus dem Protecus-Team und schaut sich das mal an.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
11.09.2011, 11:18
Member

Beiträge: 17
#10 Wenn Argus sich das ansieht, geht das schon klar.

Am TB stell ich auch schon diverse Fragen dazu.
Ich hab ne VM mit Zeus ( Version Uralt ;) ) infiziert und hat funktioniert. Zeus wieder gekillt und bekam keine Meldung mehr von dieser "Software".

Was ich eben nicht habe, ist dieses Fenster was Argus in seinem Post hat. Ich hab da nur ne "simple" MSG BOX welche mir sagt, ich sei infiziert und solle mein AVP updaten


Eventuell weil ich ein englishes Win 7 nutze ?
__________
TB- Ausbilder
ASAP Member
Seitenanfang Seitenende
11.09.2011, 11:58
Member

Themenstarter

Beiträge: 16
#11 Hallo Larusso! Schön dich hier zu sehen! ;)

Dieses Fenster solltest du bekommen, wenn du rechts unten in der Taskbar (wo die kleinen Symbole sind) auf ein verpixeltes (^^) Schloss klickst. (siehe mein Avatar)

Ich werde jetzt ein Video drehen, damit ihr mal seht wie es normal laufen sollte! ;)

Edit: Hier das Video:

YouTube Video (Link)


Poste Videos durch einfaches einfügen von Youtube / Vimeo Links in den Beiträgen!


Normalerweiße ist noch ein AntiVir ähnliches biepsen zu hören, aber das hört man im Video nicht! :S
Dieser Beitrag wurde am 11.09.2011 um 12:32 Uhr von SecureBanking editiert.
Seitenanfang Seitenende
11.09.2011, 17:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Hatte die neueste Version von SpyEye es kam kein Popup von SecureBanking

Antivir
Modul ist infiziert -> <C:\Program Files\SecureBanking\v1.0\sbservice.exe>
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
Modul ist infiziert -> <C:\SecureBanking.dll>
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
__________
MfG Argus
Seitenanfang Seitenende
11.09.2011, 18:27
Member
Avatar Xeper

Beiträge: 5289
#13

Zitat

Hatte die neueste Version von SpyEye es kam kein Popup von SecureBanking
Das ist das, was ich mir fast gedacht hatte.
Wenn er wirklich opcodes scannt dann kann das nicht klappen, je nach compiler/platform kommen ja andere Kombinationen zu stande - da kann man nicht wissen wie welcher Trojan den Browser wie manipuliert außer man macht genau das was die AVs machen, man untersucht jeden einzelnen auf seine Vorgehensweise.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
11.09.2011, 18:59
Member

Themenstarter

Beiträge: 16
#14 Hallo Leute!
Danke für den Hinweiß Argus! Habe mir jetzt nochmal ein anderes Sample von ********* runter geladen (SpyEye).
Bisher hab ich nur nach CALLS oder JMPS gesucht. Aber diese Version von SpyEye macht einen Sprung zum Malware-Code mittels einem:

Zitat

PUSH 0xADDRESSE
RET
Werde das jetzt mit dem nächsten Update beheben, bzw. implementieren.

Aber ich mache das jetzt anderst. Bisher habe ich nur geschaut, ob die erste Instruction ein Call oder ein Jump ist. Aber ich werde jetzt einfach die ersten xx bytes auslesen, und mit den Orginalen (welche nicht Hardcoded sind, sondern jedes mal direkt am System ausgelesen werden - somit ist das ganze Compilerunabhängig und Versionsunabhängig) überprüfen.

Somit wird jede Änderung am Orginalcode erkannt. D.h. egal welche Hooking-Methode verwendet wird, sie wird erkannt.
Seitenanfang Seitenende
11.09.2011, 19:05
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Leider hat Vipre Antivirus dein Tool entfernt




Achtung! Moderation: Thema Update hier gehts weiter: http://board.protecus.de/t42029.htm
Thema geschlossen!

__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: