Bitdefender: hxxp://www.chip.de/downloads/BitDefender-Antivirus-Plus-2014_13009202.html

Passe mit diesen Toolbars immer auf und mache auch immer benutzerdefinierte Installationen, besonders auf dem neu aufgesetzten Rechner kann keine sein.

Ich kann das gerne mal benutzten.

ok super danke!

Ich schaue es mir dann mal heute am Abend an und gebe dann bescheid.

Das scheint das Tool von Bitdefender zu sein das die Probleme verursacht:

Diese Situation tritt ein, wenn das Active-Virus-Control-Modul fälschlicherweise eine Anwendung als Malware einstuft.

Active Virus Control ist ein Bitdefender-Modul, das ständig die laufenden Programme Ihres Systems überwacht und einen Bericht über jene sendet, die sich potenziell gefährlich verhalten.Da diese Funktion auf dem heuristischen System basiert, kann es Fälle geben, in denen einwandfreie Anwendungen im Bericht der Active Virus Control aufgelistet werden.

So hab es mir jetzt angeschaut. Wie du gesagt hast ist es die Active Virus Control Engine von Bitdefender.
Habe die Signatur jetzt in die DB aufgenommen. Was noch zu beachten ist, dass Bitdefender automatisch die Internetverbindung von Secure Banking blockiert, ohne den Nutzer darüber zu informieren.
Wenn du nämlich keine Internetverbindung hast, kann Secure Banking nicht auf die Datenbank zugreifen.
Deshalb musste ich noch in den Einstellungen "sbservice.exe" in den Ausnahmen hinzufügen.

Gib mir dann nochmal kurz bescheid obs geklappt hat. Sollte aber passen.

mmmhhh
Ich habe das mit beiden Versionen probiert aber es ist sobald ich active Bitdefender anschalte immer noch das selbe. muß ich ggf. etwas laden oder updaten?

Nein du musst nichts updaten, nur Secure Banking in den Ausnahmen eintragen, damit es sich mit der Datenbank verbinden kann.

Dazu gehst du in die Antivirus-Einstellungen, dann auf den Tab "Ausschlüsse", setzt den Regler bei "Ausschlüsse für Dateien" auf ON, klickst dann auf Ausgeschlossene Prozesse - Hinzufügen - Navigierst in das Installationsverzeichnis von Secure Banking (Standardmäßig: "C://programme/secure banking software/secure banking") und fügst die Datei sbservice.exe und vorsichtshalber auch SecureBanking.exe hinzu.

Dann müsste es laufen.

Hi SecureBanking,

Interessanter Ansatz, Bankingtrojaner zu entdecken!
Habe mir kurz das Funktionsprinzip deiner Software begutachtet und versucht, typische Situationen nachzustellen:
Dazu ließ ich die 32Bit-Version eines 64Bit-Userland-Rootkits laufen.

Zuerst war da das Installieren und Starten von SecureBanking. Trotz des Ring3-Rootkit-Guards bemängelte die Software in keinster Weise, dass sie gerade schon beim Start vom Rootkit gehookt wurde (die versteckenden Funktionen "ZwEnumerateValueKey", "ZwQueryValueKey", "NtEnumerateKey", "NtQueryDirectoryFile" und "ZwQuerySystemInformation" wurden verändert, DLL-Injektion über AppInit-DLLs).

Danach wurden Firefox21 (ja ich weiß, giga out-of-date) und Chrome32 abwechslungsweise gestartet, und jedes Mal erschien die Meldung, dass der Browser sicher sei.
Die Rootkit-DLL war aber auch in Chrome und Firefox geladen worden (just als sie gestartet wurden) und bog munter die obigen fünf Funktionen auf sich selbst um.

Ich bin dann auf die Idee gekommen, dass du nicht jede Schnittstelle überwachst, sondern nur die, die zum Übermitteln eines Formulars (oder einer Anfrage, etc.) zuständig sind.
Also habe ich diese Funktionen herausgesucht und mittels CheatEngine 6.2 pseudoverändert, nachdem ich sichergestellt hatte, dass die Funktionen auch wirklich aufgerufen wurden.
Das heißt, dass nach der "Code-Injection" im Firefox-Prozess ein Sprung auf testweisen von mir geschriebenen Code (z.B. push eax, add eax 3, pop eax) durchgeführt wurde, und dann erst wieder in die eigentliche Funktion gesprungen wurde (eben so ein Detour-Patch halt).

Obwohl mir das sogenannte Hookshark64 (geht auch für 32bit) anzeigte, dass die Hooks saßen, meldete dein SecureBanking seltsamerweise nach wie vor, dass der Browser sicher sei.
Jedoch hätte das Codeschnipsel in Klammern auch etwas "Sinnvolles" tun können, wie z.B. eben Daten verändern oder abgreifen, wo du ja drauf abzielst.

Als ich das selbe Spiel (manuelles Einfügen von Detour-Patches via CheatEngine6.2) mit Chrome durchführte, meldete sich der SecureBanking-Prozess wie erwartet zu Wort, dass eine (unbekannte) Malware gefunden wurde und der Browser gesichert werden konnte.


Fazit: 1.) Ist es geplant, dass dein Anti-Rootkit-Schutz nicht auf die fünf Nt- und Zw-Funktionen reagiert?

2.) Weshalb werden offensichtliche Schnittstellen-Hooks (send, WSASend usw.) nicht erkannt, wenn ich sie im Firefox anbringe, im Chrome allerdings schon?
Liegt das am veralteten Firefox?

3.) Ich habe auch versucht, unsinnigen Code direkt in die Watchdog-Funktion der in die sbservice.exe geladenen SecureBanking.dll zu schreiben. Teilweise passierte nichts, andere Male stürzte der Prozess ab. Was jetzt hier "unsinnig" war, hätte auch gezielt schlimme Dinge anstellen können. Weshalb hat SecureBanking diese offensichtlichen Veränderungen der wichtigen Watchdog-Funktion nicht bemängelt/verhindert?

4.) Über ZwQuerySystemInformation-Hooks in sbservice.exe könnte ich ja theoretisch den Prozess "chrome.exe" verstecken, der SecureBanking wüsste dann nicht mehr, dass dieser Browser läuft?


Trotzdem sehr vielversprechend das Ganze, freue mich schon auf Version 2.0!
Das Prinzip, alle wichtigen Schnittstellen im Browser zu überwachen, könnte man auch auf die gesamte Win32- /NTAPI anwenden (CreateFile, NtQueryDirectoryInformation, ..., NtLoadDriver).
Wäre das denn schwierig zum Bauen/erweitern?


Grüße - Microwave

Hallo microwave,

Zitat:

2.) Weshalb werden offensichtliche Schnittstellen-Hooks (send, WSASend usw.) nicht erkannt, wenn ich sie im Firefox anbringe, im Chrome allerdings schon?
Liegt das am veralteten Firefox?

Ich habe das mit vielen Versionen von IE / FF und Chrome probiert, aber nur bei Chrome meckert Secure. Anders war das bei der Version 2.0, da hat Secure wirklich bei allen Browsern gemeckert.

Alöle
Lehmie

Hallo Microwave,

vielen Dank für deinen ausführlichen Bericht, freut mich immer wieder sehr. Vor allem bekommt man dann auch neue Denkansätze usw.

Zitat:

Zitat von Microwave

Fazit: 1.) Ist es geplant, dass dein Anti-Rootkit-Schutz nicht auf die fünf Nt- und Zw-Funktionen reagiert?

Diese Version von Secure Banking prüft lediglich die Explorer und Taskmanager Prozesse auf Hooks (Anti-Rootkit). (Es prüft auch nicht sich selber auf Hooks :P)
Der Grundgedanke dahinter war, ein Ring3-Rootkit hooked minimal entweder nur den Explorer um die Files zu verstecken und den Taskmanager um den Prozess zu verstecken.
Deshalb prüfte ich hier nur in diesen zwei Prozessen auf gewisse Hooks. Waren glaub ich FindNextFileW/A und NtQuerySystemInformation.
Rootkits die dann alle Prozesse hooken würden somit ja auch erkannt werden.

Der Anti-Rootkit Guard war immer ein bisschen ein Problemkind, da viele Anti-Cheat Programme den Taskmanager hookten um eben versteckte DLL's bzw. Prozesse zu finden (Cheats) und somit schlug hier Secure Banking immer an.. kam dann zu den Schluss das ich ihn rausnehme. Hatte nämlich zu wenig Zeit hier auch noch eine Whitelist mit Signaturen zu erstellen.

Zitat:

Zitat von Microwave

2.) Weshalb werden offensichtliche Schnittstellen-Hooks (send, WSASend usw.) nicht erkannt, wenn ich sie im Firefox anbringe, im Chrome allerdings schon?
Liegt das am veralteten Firefox?

Das liegt daran, dass diese Version von Secure Banking in FF nur PR_Write/PR_Read und PR_OpenTCPSocket auf Hooks prüft.
In Internet Explorer die wichtigsten Funktionen in der wininet.dll (HttpSendRequestA/W usw.)
und in Chrome nur WSASend/recv/send in der ws2_32.dll.

Wenn du also bei FF WSASend o.Ä. hookst, erkennt es diese Version nicht, bei Chrome jedoch schon. (Da es eigentlich auch nicht relevant ist, da die Formulare bzw. Injections bei FF über PR_Write und PR_Read abgefangen/manipuliert werden).

Wie auch immer, bei der neuen Version ist das nicht mehr der Fall. Falls eine dieser DLLs im Prozess geladen ist, wird sie auch gescannt.

Zitat:

Zitat von Microwave

3.) Ich habe auch versucht, unsinnigen Code direkt in die Watchdog-Funktion der in die sbservice.exe geladenen SecureBanking.dll zu schreiben. Teilweise passierte nichts, andere Male stürzte der Prozess ab. Was jetzt hier "unsinnig" war, hätte auch gezielt schlimme Dinge anstellen können. Weshalb hat SecureBanking diese offensichtlichen Veränderungen der wichtigen Watchdog-Funktion nicht bemängelt/verhindert?

Darüber hab ich mir auch schon oft den Kopf zerbrochen. Da das ganze Programm im Ring3 arbeitet ist es ziemlich schwer sowas zu verhindern.
Daher wählte ich den relativ simplen Ansatz, dass der User eh sieht, wenn er den Browser öffnet ob Secure Banking läuft oder nicht (durch das Pop-Up).
Aber im Prinzip hast du recht, Secure Banking kann relativ einfach abgeschossen werden.

Zitat:

Zitat von Microwave

4.) Über ZwQuerySystemInformation-Hooks in sbservice.exe könnte ich ja theoretisch den Prozess "chrome.exe" verstecken, der SecureBanking wüsste dann nicht mehr, dass dieser Browser läuft?

Richtig! Das ist natürlich böse.
Aber hier gilt das selbe wie für Punkt 3. Da sollte man aber als User merken, dass das Popup nicht mehr kommt und der Browser nicht gescannt wurde.
Den könnte man aber entgegenwirken, indem man den eigenen Prozess auf Hooks prüft.

Zitat:

Zitat von Microwave

Trotzdem sehr vielversprechend das Ganze, freue mich schon auf Version 2.0!
Das Prinzip, alle wichtigen Schnittstellen im Browser zu überwachen, könnte man auch auf die gesamte Win32- /NTAPI anwenden (CreateFile, NtQueryDirectoryInformation, ..., NtLoadDriver).
Wäre das denn schwierig zum Bauen/erweitern?

Da die "alte" (noch ist sie aktuell :P) Version komplett in Assembler programmiert ist, waren solche Erweiterungen schon recht mühsam (keine Objektorientierung usw.) und natürlich auch Fehleranfällig.

Version 2.0 hab ich jetzt in C++ geschrieben und dort wären solche Erweiterungen nicht so aufwendig.
Das Problem an der ganzen Sache ist, desto mehr (unwichtige) Schnittstellen ich auf Hooks prüfe, desto höher wird die Wahrscheinlichkeit auf False Positives.
Also die Liste mit wichtigen Funktionen zu erweitern macht sicherlich Sinn, aber die gesamte Lib zu scannen eher nicht.

Da der Anti-Rootkit-Guard ja rausfliegt, fallen diese APIs natürlich weg. (CreateFile, NtQuery.. usw.)


Wenn du willst schicke ich dir gerne die aktuelle Beta von Secure Banking 2.0 zu. Würde mich sehr über eine kleine Analyse freuen.
Arbeite ja nur alleine an diesem Projekt und somit bin ich für jede Unterstützung sehr dankbar.
Eine zweite Meinung / Ansicht / Überlegung ist immer sehr viel wert, da man selber ja immer nur in seinen "eigenen vier Wänden" denkt.