Hallo SecureBanking...

Ich habe dein Programm leider auch getestet und hätte dazu ein paar Fragen - und zwar eher zu Version 1.2, als zu Version 1.3 (warum kannst du dir wohl denken):

1. Du hast in Version 1.2 mittels einer RootKit Technik versteckten Code (DLL) in den Internetbrowser injiziert. Dieser versteckte Code wurde über einen eigenen Thread im Browser gestartet. Das ist im Prinzip die Technik, die SpyEye verwendet. Deswegen meckern die Scanner auch (berechtigterweise) dein Tool an. Was sollte das?
2. Kurz nachdem hier gepostet wurde, das Kasperky dein Tool für Malware hält, hast du ein Update auf Version 1.3 hochgeladen. Dieses Update nutzt die RootKit Technik nicht mehr. Warum war zuerst zwingend eine RootKit Technik für dein Tool nötig und sobald Virenscanner prüfen, ist die nicht mehr nötig?
3. Welche Funktion soll das Tool eigentlich besitzen? Zumindestens in Version 1.3 lässt es jeden Keylogger durch und kümmert sich auch in keiner Weise um injizierte Rootkits.
4. Nach der Deinstallation bleibt das Ding weiter auf der Festplatte. Ist das Absicht?

Tut mir sehr leid, aber ich mag es gar, wenn mir ein Antivirentool mit mehr oder weniger Funktionalität ein RootKit unterschiebt. Ich will deshalb hoffen, dass du eine ausreichende Antwort auf 1 und 2 hast, sonst beantworte ich mir 3 und 4 selbst.

________________________________________

MfG

AHT

Hallo AHT!

vorab kann ich deine Unsicherheit gut verstehen, aber möchte dir auch gleich sagen, dass das Trojaner-Board Team schon seit v1.0 ständig (intern) Analysen des Tools machen.
Wäre da was faul, wäre es nie soweit gekommen.

Nun zu deinen Punkten:

1. Das ist richtig. Aber habe ja auf der Homepage erwähnt (habe es aber jetzt auf anraten von DerJazzer [ein paar Posts drüber] abgeändert) dass die Software ähnliche Techniken wie Malware selber nutzt.
Nun kurz zur Erklärung warum ich bei v1.2 diese Technik nutzte und jetzt nicht mehr.
Mit dieser wie du sie nennst "Rootkit-Technik" (wobei ich nicht denke dass Microsoft "CreateRemoteThread" für Rootkits entwickelt hat :P) ist es viel einfacher die Manipulationen/Hooks der Malware zu erkennen, da der Code dann direkt im Browser-Prozess ausgeführt wird.
D.h. man kann einfach mittels einen simplen GetProcAddress Aufruf die Adresse von PR_Write/etc. ermitteln.
Außerdem war es so bedeutend einfach die Manipulationen im Browser rückgängig zu machen bzw. so zu modifizieren, dass sie im Prinzip wieder den orginalen Code ausführen.

Kurz gesagt, es ist einfacher den eigenen Prozess auf Modifikationen zu prüfen, als fremde Prozesse.

Doch diese Methode hatte einen enormen Nachteil.
Sie war sehr Code-Aufwendig (hatte somit viele Fehlerquellen) und war stark von den verschiedenen Browser-Versionen abhängig und erzeugte somit oftmals abstürzte des Webbrowsers.


Die Methode was seit v1.3 verwendet wird (Changelog: Neuer Kern) ist weitaus stabiler, da eben kein Code im Webbrowser ausgeführt wird. Jedoch war es hier wieder deutlich aufwenidger, hinter die ganzen Adressen der jeweilligen Funktionen zu kommen. Da Beispielsweise die DLL nspr4 nur von Firefox geladen wird und dann auch immer an eine andere Adresse. (Im Gegensatz zu wininet)
Aber im ganzen ist diese neue Methode viel stabiler und vorallem von der Browser-Version unabhängig.

Zu Punkt 2.
Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Zu 3.
Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.
Das innovative daran ist ja, dass nach Man-in-the-Middle Attacken gescannt wird. Dabei werden aber auch nur Trojaner erkannt, die diese Attacken Anwenden. (Dazu gehören ALLE Banking-Trojaner)
Das ganze ist dann eine Verhaltensanalyse und erkennt dann auch "verschlüsselte"-Versionen der Trojaner. (wo herkömmliche AVs versagen)
(Ich denke das beantwortet die Frage mit dem Keylogger + Rootkit)

Zu 4.
Nunja, ich hielt es für ausreichend, den Autostart-Eintrag zu entfernen. Aber das liese sich ja beim nächsten Update ändern.

P.S.
Du kannst dir ja den Code ansehen, was bei v1.2 im Webbrowser ausgeführt wird. Dann siehst du ja auch, was dieser macht.
Dazu einfach Breakpoint auf CreateRemoteThread setzten -> Ziel-Adresse notieren -> Debugger an Browser anfügen -> dann auf die notierte Adresse einen Breakpoint setzen -> analysieren.

Ich hoffe dass ich deine Fragen ausreichend beantworten konnte.

Wenn du noch weitere Fragen hast, kannst du dich gerne per PN melden.

Heh SecureBanking

Zitat:

Ich bin momentan 19 Jahre alt und mache gerade den Präsenzdienst.
Da ich mich schon seit langer Zeit darüber ärgere, warum Anti-Viren Hersteller
nicht gezielt Banking-Trojaner an ihrem markantem Verhalten erkennen
und unschädlich machen, habe ich mich entschieden das selber in die Hand zu nehmen.

Respekt
Bin nur ein ganz kleiner User aber das Programm will ich vielleicht mal probieren für Firefox.

Zitat:

Zitat von SecureBanking

Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Ja, z.B. ich und jeder der diesen erwähnten internen Bereich lesen kann.
Erst war 1.3, dann dieser Thread hier.

Zitat:

Zitat von SecureBanking

Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.

Wurde meines Wissen auch mehrmals deutlich gesagt (geschrieben).

Allerdings wer nur die Kurzbeschreibung liest, könnte durch "Malware-Code Scanner" (Zitat) glauben, jeglicher Malware-Code würde auch erkannt werden (sollen).

Hey Secure

ich hab mir vor einiger Zeit ein Dualboot mit Ubuntu 11.10 eingerichtet und jetzt frage ich mich, ob es möglich wäre, dein Programm auch in Ubuntu/Linux-Distributionen einzuführen. Ist das von deiner Seite durchführbar oder ist so etwas überhaupt nötig unter Ubuntu?
Danke

LG

@Jazzer (schöner Nick übrigens...)

Da Linux auf dem Desktop weltweit einen Anteil von nur etwa 1.3 % (D: etwa 1.6 %) hat lohnt es sich für die Trojanerschreiber noch nicht Browser unter Linux zu kapern. (Die meisten Leute haben Windows, da lohnt es sich sicher, die 10-15% Mac Benutzer haben in der Regel viel Geld.. da lohnt es sich auch..)

Das heißt dass du bis auf Weiteres unter Ubuntu mit brain.exe sicher genug bist.

Wenn du -wie ich- da ein wenig Paranoia hast kannst du unter Linux ein Internet Banking Programm so installieren dass die Nutzerdaten in einem Truecrypt / Realcrypt Container lagern. Da lohnt sich der Aufwand für einen Angriff (zumindest bei meinem Gehalt ) definitiv nicht.

Unter Rechtssprechungs-Gesichtspunkten könntest du darüber nachdenken zur Sicherheit ein freies AV Programm zu installieren. Das brauchst du zwar nicht, könnte aber wenn doch etwas passieren würde und wenn du vor Gericht mit einem Richter der Linux nicht kennt konfrontiert wärst helfen...

(Es gab einen Fall in dem eine Bank einen Schaden durch einen gekaperten Browser nicht ersetzen wollte weil der User unter XP mit einem Konto mit Admin Rechten im Internet "unterwegs" war.. da der User aber Windows und sein AV Programm aktuell gehalten hatte entschied das Gericht damals zu seinen Gunsten...)

Daher, und auch mit Rücksicht auf Windows User habe ich ein freies AV als "On Demand Scanner" auf meiner Linux Installation ....

Hey Jazzer!

Kann mich da nur W_Dackel anschließen. Besser könnte man es nicht ausdrücken.
Außerdem fehlt mir ehrlich gesagt auch das "Now-How" für eine Linux Portierung.
(leider auch die Zeit :P)

Btw. ich sehe du hast einen Dualboot. (nehme mal an mit Windows)
Falls du dort Secure Banking getestet hast oder sogar benutzt, würde ich mich sehr über ein Feedback (oder auch Änderungsvorschläge) freuen!

Dankeschön!

@Niklas: ich finde du hast die Funktion deiner Software auf der Homepage sehr gut erklärt. Ist definitiv ein interessanter Ansatz um Schadsoftware zu bekämpfen.

@Der Jazzer: du könntest beim Online Banking unter Linux "Etherape" mitlaufen lassen.. dann würden dir "ungewöhnliche" Verbindungen grafisch auffallen... auch "netstat" (in der Konsole) könnte dich warnen wenn etwas ungewöhnliches passiert.

Also vor dem Internet Banking Browser stoppen und neu starten (der Browser ist natürlich so eingestellt dass alle Cookies und der Cache beim Beenden gelöscht werden, Noscript und Adblock sind auch aktiv) ... vor dem Banking Etherape starten und beim Banking beobachten mit welchen Servern sich der Rechner so verbindet...

Damit würdest du verdächtige Verbindungen erkennen und könntest dein Internet Banking bei der Bank telefonisch rechtzeitig sperren lassen...

SecureBanking ist natürlich bequemer

@Niklas: eine zukünftige Version von SecureBanking könnte als Option noch "netstat" überwachen und verdächtige Verbindungen melden.. allerdings besteht die Frage ob der Durchschnittsnutzer bereit wäre seine diversen Chat / Mail und sonstigen Netzprogramme zu schließen wenn er Internet Banking betreibt...

OT

Zitat:

Zitat von W_Dackel

die 10-15% Mac Benutzer haben in der Regel viel Geld..

Das war mal. Aber heute ist ein Apple-Produkt inklusive (!) der Macs ein Lifestyle-Produkt welches viele Nutzer trotz relativ wenig Geld haben/kaufen, unbewusst wohl auch, weil sie dann glauben eben jener von dir postulierten Gruppe anzugehören. Also hier in der Gegend ist trotz und inklusive Geiz-ist-geil ein Mac auch bei Schüler und Studenten nicht nur reicher Eltern beliebt. Muss ein Mac sein, darf aber nichts kosten - obwohl zumindest in diesem jungen Jahr diese Gruppe subjektiv Mac inzwischen sogar ablehnt, vermutlich weil es eben das Lifestyle-Produkt der letzten Jahre ist. Dass die Kids und/oder Menschen allgemein anfangen zu denken bezweifle ich.

Zitat:

Zitat von W_Dackel

Da lohnt sich der Aufwand für einen Angriff (zumindest bei meinem Gehalt ) definitiv nicht.

Die ganz überwiegend allerwenigsten "Banking-Angriffe" sind gezielt auf eine Person, bei der es sich wirklich lohnt. Die Angriffe gehen gegen Nutzer bei denen es funktioniert.

Zitat:

Zitat von W_Dackel

Unter Rechtssprechungs-Gesichtspunkten könntest du darüber nachdenken zur Sicherheit ein freies AV Programm zu installieren.

Unter Rechtssprechungsgesichtspunkten (eher Nutzungsbedingungen) sage ich dir, dass dies meistens nicht legal wäre -zumindest nicht ohne ausdrückliche, schriftliche, vertraglich wasserfeste Einverständnis.
Nur weil ein Programm frei (unter bestimmten Voraussetzungen!) nutzbar ist, darfst du es nicht unbedingt verteilen, noch weniger als Bundle.

Zitat:

Zitat von W_Dackel

... entschied das Gericht damals ...

Außer "Grundsatzurteile" oberster Gerichte sind alle Gerichtsurteile in D immer Einzelentscheidungen. Im Gegensatz zum angelsächsischen Rechtssystem erschaffen Richter und Urteile bei uns kein allgemeines Recht, sie legen nur Gesetze aus.

Zitat:

Zitat von W_Dackel

allerdings besteht die Frage ob der Durchschnittsnutzer bereit wäre seine diversen Chat / Mail und sonstigen Netzprogramme zu schließen wenn er Internet Banking betreibt...

Ich finde nicht nur der Durchschnittsnutzer sollte dies immer machen bzw. diese Nutzungen sogar strikt und hart trennen. Ob ONU dazu bereit ist, ist natürlich immer die Frage.

Eine Bevormundung, selbst wenn sie sinnvoll ist, wird der Nutzer aber eher nicht akzeptieren.

Hallo!

Finde die Idee für so ein Programm super und wollte es direkt mal ausprobieren. Allerdings kommt bei jetzt bei jedem Neustart die Fehlermeldung von dem Programm

"Component MSCOMCTL.OCX or one of its dependencies not correctly registered"

Was nun?

Hey tinky_winky!
Finde es Klasse das du meine Software mal ausprobierst.

Hast du dir auch die neueste Version herutergeladen? (v1.3)
Denn wenn ich mich recht entsinne, ist v1.3 nicht mehr von diesem File abhängig.

Ansonsten kannst du dir einfach die Datei runterladen http://www.ocxdump.com/ocxfiles/M/MSCOMCTL.OCX und dann diese Datei einfach per Drag&Drop auf C:\windows\system32\regsvr32.exe installieren.

oha, ja mein Fehler. Habe mich verschaut. Dankeschön

Alles klar!

Habe jetzt eine "Warnmeldung" beim Download einer veralteten Version hinzugefügt.

P.S. würde mich über ein kleines Feedback freuen. (per PN)

Hi Shadow!

Ich meinte natürlich nicht dass SecureBanking ein AV Programm mitverteilen soll.. das wäre (so lange er sein Programm nicht auch als Open Source zur Verfügung stellt) selbst bei ClamAV illegal.. sondern dass es als Nutzer sinnvoll ist ein AV Programm zu installieren, evtl. selbst wenn man unter Linux arbeitet da in einschlägigen Urteilen zugunsten der Bankkunden immer wieder auf aktuelle Antiviren Software abgehoben wird:

Urteil: TAN-Weitergabe bei Phishing-Angriff nicht grob fahrlässig - Golem.de

hxxp://www.golem.de/1109/86421.html


Dann gab es noch ein weiteres Urteil in dem die Bank die Kosten für einen Trojaner-Angriff übernehmen musste obwohl der Benutzer (unter XP!) als Admin arbeitete.. ausschlaggebend war in dem Fall dass der Benutzer AV Software und das Windows aktuell gehalten hatte, und dass das Einrichten separater Konten unter XP dem Laien nicht zwingend zuzumuten sei....

(Vor Breitband Trjojaner / Phishing Attacken ist man mit Linux ziemlich gut geschützt..)

Aber jetzt wird es etwas OT. (Bevormundung von Nutzern lehne ich komplett ab.. sonst könnte ich mir ja Apple Produkte kaufen .. Aufklärung ist aber sinnvoll, viele wissen nicht wo sie unnötige Risiken eingehen...)

Zitat:

Zitat von W_Dackel

Ich meinte natürlich nicht dass SecureBanking ein AV Programm mitverteilen soll.

Okay, da habe ich dich dann missverstanden.

Zitat:

Zitat von W_Dackel

(Vor ... Phishing Attacken ist man mit Linux ziemlich gut geschützt..)

Wie dies? Du meinst unter Linux kann man nicht so blöd (sorry) sein und irgendwelche Passwort-, PIN- oder Sonstwas-Anfragen per Mail zu beantworten?
Auch wenn Mac OS X eben kein Linux ist, genau hier zeigt sich ein (doppelter) Schwachpunkt bei Macs - aber eigentlich nur bei den Nutzern.
Ein durchschnittlicher Mac-Nutzer ist ganz sicherlich nicht kritischer, vorsichtiger als der gemeine Windows-Nutzer (subjektiv ist der Anteil der absoluten DAUs sogar größer, die "Mittelschicht" fehlt). Darüber hinaus kommt noch das "Wissen" um "Mac ist sicherer" und schon ist der Salat doppelt angerichtet.
Den einzigen Unterschied und "Vorteil", den ich hier zu/für Linux sehe, ist dass kaum ein "DAU" Linux tatsächlich nutzt.

Zitat:

Zitat von W_Dackel

(Bevormundung von Nutzern lehne ich komplett ab.. sonst könnte ich mir ja Apple Produkte kaufen ...)

Du willst wohl einfach nicht "hipp" sein? Na dann, Alete kotzt das Kind.