Hallo SecureBanking...

Ich habe dein Programm leider auch getestet und hätte dazu ein paar Fragen - und zwar eher zu Version 1.2, als zu Version 1.3 (warum kannst du dir wohl denken):

1. Du hast in Version 1.2 mittels einer RootKit Technik versteckten Code (DLL) in den Internetbrowser injiziert. Dieser versteckte Code wurde über einen eigenen Thread im Browser gestartet. Das ist im Prinzip die Technik, die SpyEye verwendet. Deswegen meckern die Scanner auch (berechtigterweise) dein Tool an. Was sollte das?
2. Kurz nachdem hier gepostet wurde, das Kasperky dein Tool für Malware hält, hast du ein Update auf Version 1.3 hochgeladen. Dieses Update nutzt die RootKit Technik nicht mehr. Warum war zuerst zwingend eine RootKit Technik für dein Tool nötig und sobald Virenscanner prüfen, ist die nicht mehr nötig?
3. Welche Funktion soll das Tool eigentlich besitzen? Zumindestens in Version 1.3 lässt es jeden Keylogger durch und kümmert sich auch in keiner Weise um injizierte Rootkits.
4. Nach der Deinstallation bleibt das Ding weiter auf der Festplatte. Ist das Absicht?

Tut mir sehr leid, aber ich mag es gar, wenn mir ein Antivirentool mit mehr oder weniger Funktionalität ein RootKit unterschiebt. Ich will deshalb hoffen, dass du eine ausreichende Antwort auf 1 und 2 hast, sonst beantworte ich mir 3 und 4 selbst.

________________________________________

MfG

AHT

Hallo AHT!

vorab kann ich deine Unsicherheit gut verstehen, aber möchte dir auch gleich sagen, dass das Trojaner-Board Team schon seit v1.0 ständig (intern) Analysen des Tools machen.
Wäre da was faul, wäre es nie soweit gekommen.

Nun zu deinen Punkten:

1. Das ist richtig. Aber habe ja auf der Homepage erwähnt (habe es aber jetzt auf anraten von DerJazzer [ein paar Posts drüber] abgeändert) dass die Software ähnliche Techniken wie Malware selber nutzt.
Nun kurz zur Erklärung warum ich bei v1.2 diese Technik nutzte und jetzt nicht mehr.
Mit dieser wie du sie nennst "Rootkit-Technik" (wobei ich nicht denke dass Microsoft "CreateRemoteThread" für Rootkits entwickelt hat :P) ist es viel einfacher die Manipulationen/Hooks der Malware zu erkennen, da der Code dann direkt im Browser-Prozess ausgeführt wird.
D.h. man kann einfach mittels einen simplen GetProcAddress Aufruf die Adresse von PR_Write/etc. ermitteln.
Außerdem war es so bedeutend einfach die Manipulationen im Browser rückgängig zu machen bzw. so zu modifizieren, dass sie im Prinzip wieder den orginalen Code ausführen.

Kurz gesagt, es ist einfacher den eigenen Prozess auf Modifikationen zu prüfen, als fremde Prozesse.

Doch diese Methode hatte einen enormen Nachteil.
Sie war sehr Code-Aufwendig (hatte somit viele Fehlerquellen) und war stark von den verschiedenen Browser-Versionen abhängig und erzeugte somit oftmals abstürzte des Webbrowsers.


Die Methode was seit v1.3 verwendet wird (Changelog: Neuer Kern) ist weitaus stabiler, da eben kein Code im Webbrowser ausgeführt wird. Jedoch war es hier wieder deutlich aufwenidger, hinter die ganzen Adressen der jeweilligen Funktionen zu kommen. Da Beispielsweise die DLL nspr4 nur von Firefox geladen wird und dann auch immer an eine andere Adresse. (Im Gegensatz zu wininet)
Aber im ganzen ist diese neue Methode viel stabiler und vorallem von der Browser-Version unabhängig.

Zu Punkt 2.
Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Zu 3.
Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.
Das innovative daran ist ja, dass nach Man-in-the-Middle Attacken gescannt wird. Dabei werden aber auch nur Trojaner erkannt, die diese Attacken Anwenden. (Dazu gehören ALLE Banking-Trojaner)
Das ganze ist dann eine Verhaltensanalyse und erkennt dann auch "verschlüsselte"-Versionen der Trojaner. (wo herkömmliche AVs versagen)
(Ich denke das beantwortet die Frage mit dem Keylogger + Rootkit)

Zu 4.
Nunja, ich hielt es für ausreichend, den Autostart-Eintrag zu entfernen. Aber das liese sich ja beim nächsten Update ändern.

P.S.
Du kannst dir ja den Code ansehen, was bei v1.2 im Webbrowser ausgeführt wird. Dann siehst du ja auch, was dieser macht.
Dazu einfach Breakpoint auf CreateRemoteThread setzten -> Ziel-Adresse notieren -> Debugger an Browser anfügen -> dann auf die notierte Adresse einen Breakpoint setzen -> analysieren.

Ich hoffe dass ich deine Fragen ausreichend beantworten konnte.

Wenn du noch weitere Fragen hast, kannst du dich gerne per PN melden.

Zitat:

Zitat von SecureBanking

Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Ja, z.B. ich und jeder der diesen erwähnten internen Bereich lesen kann.
Erst war 1.3, dann dieser Thread hier.

Zitat:

Zitat von SecureBanking

Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.

Wurde meines Wissen auch mehrmals deutlich gesagt (geschrieben).

Allerdings wer nur die Kurzbeschreibung liest, könnte durch "Malware-Code Scanner" (Zitat) glauben, jeglicher Malware-Code würde auch erkannt werden (sollen).