Hallo,

ich hätte gerne auf das Topic "http://www.trojaner-board.de/118530-...en-https.html" geantwortet, darf das als Neuling aber leider nicht.

Also versuche ich es mal hier...

Ich hatte mit den Firefox Versionen ~ 11-13, jetzt (14.0.1) *** NICHT *** mehr, das vom Nutzer "hegel" beschriebene Phanömen mit den von Firefox sehr oft als "nicht vertrauenswürdig" eingestuften https Webseiten.

Das Verhalten war sogar teilweise reproduzierbar:

- https seite öffnen -> meistens Ok
- in neuem Fenster / Tab weitere http Seite (NICHT https) öffnen -> immer ok
- in erstem Tab/Fenster innerhalb der https-Sitzung zu andere Unterseite navigieren -> fast immer fehlermeldung "nicht vertrauenswürdig"

Mit etwas Zeitversatz zueinander erhielt ich dann von CortalConsors und der DKB Hinweise, ich hätte vermutlich den Trojaner "hermes_V01" auf meiner Maschine.

Ich darf anmerken, beruflich bedingt recht tief mit diesem Thema zu tun zu haben. Sämtliche "üblichen Sicherheitsempfehlungen" dürfen als beachtet betrachtet werden und die von mir für Online Banking verwendete Maschine, ein Firmenlaptop, ist sowohl bzgl. Win7 Updates als auch Security Software immer auf dem neuesten Stand.

Nach Hinweis der beiden Banken habe ich zusätzlich zum kompletten Scan des vorhanden Virenscanners mit diversen, auch hier empfohlenen Tools, u.a. auch einen HijackThis Scan, den Rechner geprüft. Keine Funde.

Zusätzlich über die Microsoft / Sysinternal.com Tools Monitoring des TCP/IP Traffics sowie der Prozessaktiviäten. KEINE Besonderheiten /Auffälligkeiten.

Ich gehe also davon aus, der Rechner ist sauber. Und warte nebenbei seit heute in der Firefox Comunity auf Antwort, ob das beschriebene Verhalten ein Known Issue / Known Bug ist.

Was mir aber auffällt, daß dieses Board die einzige (!!) Stelle (neben einem einzelnen sehr ähnlichen Eintrag in einem Pferde-Forum :-)) ist, wo man den Trojaner "hermes_V01" überhaupt erwähnt findet.

Sowohl CortalConsors als auch die DKB sehen sich (leider!) außerstande, irgendwelche zusätzliche Informationen zum angeblichen "hermes_V01" Trojaner zu geben.

Daher meine Fragen hier im Board:

Kennt diesen Trojaner überhaupt jemand? Also kann konkret jemand sagen, Ja, ich habe einen Befall festgestellt, welcher sich so und so äußerte? Was tut dieser Trojaner? Welche Dateien verändert er, welche Prozeßnamen nutzt er / generiert er?

Ich habe den Verdacht, daß hier bei den "erkennenden" Stellen wie den Banken / Sparkassen / WEB.DE irgendwelche heuristischen Erkennungsmechanismen zugeschlagen haben.

Wie gesagt, da bei mir nichts gefunden wurde / zu finden war, konnte nichts bereinigt werden. Und jetzt, mit Firefox 14.X , ist das https Problem auch wieder weg und die Banken "zufrieden", also keine Rückmeldungen mehr.....

... ohne dass ich irgendeine Gefahr verharmlosen will......

also, das https phenomen deutet auf jeden fall auf hermes hin, denn diese malware schläust gefälschte zertifikate ein.
hermes ist die hauptkomponennte eines banking trojans, der ähnlich wie spyeye ein komponennten trojaner ist, du kannst also als angreifer, je nach dem was du benötigst, und warscheinlich auch geldbäutel, dir deinen trojaner zusammen bauen.
diese malware hat es hauptsächlich auf deutsche kunden abgesehen, und ist kein sehr großes botnetz.

wenn dir web.de und deine banken was melden, kannst du dir schon sicher sein, dass
hier kein fehlalarm vor liegt.
ich würde das system neu aufsetzen, ein solches befallenes system ist auch, wenn es jetzt keine meldung mehr gibt, nicht mehr vertrauenswürdig. zumal du onlinebanking machst, und es auch mal schief gehen kann, und die bank das problem nicht erkennt, dann ist das konto, wenn man pech hatt, leer.

Zitat:

Zitat von Michael_OF

Kennt diesen Trojaner überhaupt jemand? Was tut dieser Trojaner? Welche Dateien verändert er, welche Prozeßnamen nutzt er / generiert er?

Die Experten hier sollen mich korrigieren, falls ich falsch liege, aber dieser angesprochene "Hermes" bezeichnet nur den Core desjenigen Bankers (Gataka oder wie er sonst noch heisst), welcher gerne plausibel klingende Dateien wie LicenseValidator.exe oder UpgradeChecker.exe für plausibel klingende Programme wie Skype oder TeamViewer an allerdings weniger plausiblen Pfaden errichtet.. In diesem Falle wär hier eine detailierte Analyse, welche deine Fragen beantworten sollte:
hxxp://blog.eset.com/2012/06/28/win32gataka-a-banking-trojan-ready-to-take-off
hxxp://www.eset.eu/encyclopaedia/win32-gataka?lng=en

Zitat:

Zitat von Michael_OF

Ich habe den Verdacht, daß hier bei den "erkennenden" Stellen wie den Banken / Sparkassen / WEB.DE irgendwelche heuristischen Erkennungsmechanismen zugeschlagen haben.

Ich habe eben auch schnell die Forumssuche hier bemüht, um ein paar Threads anzuschauen, in welchen sich Leute mit hermes_v01 Warnungen gemeldet haben. Nun meine Stichprobe mag vielleicht nicht signifikant sein, aber bei allen, welche von web.de oder sonstwoher die Warnung erhalten haben, wurde auch tatsächlich dieser Banker (oder Reste davon) gefunden. Also von flächendeckenden Fehlalarmen würde ich eher nicht ausgehen...