Heh SecureBanking

Zitat:

Ich bin momentan 19 Jahre alt und mache gerade den Präsenzdienst.
Da ich mich schon seit langer Zeit darüber ärgere, warum Anti-Viren Hersteller
nicht gezielt Banking-Trojaner an ihrem markantem Verhalten erkennen
und unschädlich machen, habe ich mich entschieden das selber in die Hand zu nehmen.

Respekt
Bin nur ein ganz kleiner User aber das Programm will ich vielleicht mal probieren für Firefox.

Hallo!
Habe es instaliert, und bei mir arbeitet es sehr gut,...
Fühle mich jetzt irgendwie sicherer, wenn ich beim onlinebanking, etc. bin.
Finde auch gut, das er sämtliche Seiten erst abchekt, und dann meldet: "Keine Gefahr!"
Kriege meine Tan, z.b. bei der "Berliner Sparkasse", über´s Handy mitgeteilt, möchte aber auch nicht, das jemand meine Daten ausschnüffelt,..
Bin kein "Supercrack", was diese ganze Thematik betrifft, daher -versucht- man sich so gut es geht zu schützen, und so gut man es begreift, wenn man nicht so eingearbeitet ist in die ganze Materie.
Ich weiß, ein Lob von einem Crack, wäre Dir lieber, aber ich sage trotzdem Danke, !

Hi Sercure Banking, solltest die News und Entwicklung auch hier bekannt geben.Ich nutze es bisher erfolgreich aber ich Twitter nicht.hxxp://www.trojaner-board.de/images/smilies/lach.gif

Freut mich natürlich immer wieder sehr, wenn ich lob bekomme, egal von wem!

Bzgl den Tweets... will hier nicht umbedingt spamen, das geht nur auf Twitter! :P
Aber ich könnte gezielt einzelne, wichtige Tweets hier posten.

Zitat:

Zitat von Diedier

aber ich Twitter nicht.hxxp://www.trojaner-board.de/images/smilies/lach.gif

Musst du ja auch nicht, es reicht, wenn du die Tweets von Niklas liest

Hallo Niklas,
ich bin begeistert von diesem Programm. Daher meine Frage: Wird es das irgendwann auch für ein 64 bit Betriebssystem geben?
Vielen Dank

Ein paar mehr Hinweise auf der HP wie das Programm funktioniert würden das Benutzervertrauen sicher erhöhen....

Wenn ich das richtig lese scant es die Browser an den üblichen Schnittstellen an denen sich die "Man in the Middle" Schadsoftware einklinken würde ab und hebelt diese Software (unter Warnmeldung) wenn möglich gleich mit aus ?


(Einfach um die Anwender zu überzeugen dass ihr Browser mit dem Tool wirklich sicherer wird.. und nicht wie bei den "Security Suites" eher mehr Angriffspunkte bietet... )

@DasKnuffel: in der neuesten C't wird dedizierte Internet Banking Software getestet. Die Redakteure führen an dass zwar Internet Banking Software theoretisch genau so von Trojanern infiziert werden kann wie Browser, das in der Praxis aber für die Hersteller der Schadsoftware ziemlich schwierig wird weil auf die vier maximal fünf üblichen Browser zig unterschiedliche Banking Programme kommen. D.h. ein Gauner erwischt mit einem Schadsoftwarepaket für vier Browser fast alle, mit einem Schadpaket für vier Online Bankingprogramme gerade mal ein Zehntel der potentiellen Opfer.


Da du gerade Linux ausprobierst: lade dir doch mal die Testversion von Moneyplex ( hxxp://www.matrica.de/ ) runter und installiere sie unter deinem Linux in einem Truecrypt ( bei Opensuse: Realcrypt) Container. Soweit ich gelesen habe bietet Moneyplex die ersten drei Monate die Funktionen der (Bezahl-) Standardversion bevor es sich (falls man nicht bezahlt) auf die Funktionen der Freien Version "zurückfährt".

Für mich lohnt sich so etwas sobald man sein Tagegeldkonto bei einer anderen Bank hat als das Girokonto...


Bei mir ist also die Banksoftware unter Linux (mit all ihren Daten) in einem Truecrypt Container installiert. Daher gehe ich mal davon aus dass es einige Leute mit mehr Geld auf dem Konto und schlechter abgesicherten Rechnern gibt ... die voraussichtlich eher mal Probleme mit dem Internet Banking bekommen werden als ich...


(Bei den C't Test wurde das Wiso Programm übrigens am besten bewertet, Moneyplex erhielt die gleiche Wertung wie Star Money .. ziemlich gut.. ich bin damit ziemlich zufrieden, zumal Buhl (der Wiso SW Hersteller) uns im Verein mit einem Abomodell genervt hat als wir seine Software gekauft hatten....)

Guten Morgen!

@W_Dackel: Richtig, genau so funktioniert die Software!
Danke für deine Anregung bzgl. der Infos auf der HP. Werde mich heute direkt mal ransetzen.

avira fp wird gefixt, info ist grad reingekommen :-)

Hallo SecureBanking...

Ich habe dein Programm leider auch getestet und hätte dazu ein paar Fragen - und zwar eher zu Version 1.2, als zu Version 1.3 (warum kannst du dir wohl denken):

1. Du hast in Version 1.2 mittels einer RootKit Technik versteckten Code (DLL) in den Internetbrowser injiziert. Dieser versteckte Code wurde über einen eigenen Thread im Browser gestartet. Das ist im Prinzip die Technik, die SpyEye verwendet. Deswegen meckern die Scanner auch (berechtigterweise) dein Tool an. Was sollte das?
2. Kurz nachdem hier gepostet wurde, das Kasperky dein Tool für Malware hält, hast du ein Update auf Version 1.3 hochgeladen. Dieses Update nutzt die RootKit Technik nicht mehr. Warum war zuerst zwingend eine RootKit Technik für dein Tool nötig und sobald Virenscanner prüfen, ist die nicht mehr nötig?
3. Welche Funktion soll das Tool eigentlich besitzen? Zumindestens in Version 1.3 lässt es jeden Keylogger durch und kümmert sich auch in keiner Weise um injizierte Rootkits.
4. Nach der Deinstallation bleibt das Ding weiter auf der Festplatte. Ist das Absicht?

Tut mir sehr leid, aber ich mag es gar, wenn mir ein Antivirentool mit mehr oder weniger Funktionalität ein RootKit unterschiebt. Ich will deshalb hoffen, dass du eine ausreichende Antwort auf 1 und 2 hast, sonst beantworte ich mir 3 und 4 selbst.

________________________________________

MfG

AHT

Hallo AHT!

vorab kann ich deine Unsicherheit gut verstehen, aber möchte dir auch gleich sagen, dass das Trojaner-Board Team schon seit v1.0 ständig (intern) Analysen des Tools machen.
Wäre da was faul, wäre es nie soweit gekommen.

Nun zu deinen Punkten:

1. Das ist richtig. Aber habe ja auf der Homepage erwähnt (habe es aber jetzt auf anraten von DerJazzer [ein paar Posts drüber] abgeändert) dass die Software ähnliche Techniken wie Malware selber nutzt.
Nun kurz zur Erklärung warum ich bei v1.2 diese Technik nutzte und jetzt nicht mehr.
Mit dieser wie du sie nennst "Rootkit-Technik" (wobei ich nicht denke dass Microsoft "CreateRemoteThread" für Rootkits entwickelt hat :P) ist es viel einfacher die Manipulationen/Hooks der Malware zu erkennen, da der Code dann direkt im Browser-Prozess ausgeführt wird.
D.h. man kann einfach mittels einen simplen GetProcAddress Aufruf die Adresse von PR_Write/etc. ermitteln.
Außerdem war es so bedeutend einfach die Manipulationen im Browser rückgängig zu machen bzw. so zu modifizieren, dass sie im Prinzip wieder den orginalen Code ausführen.

Kurz gesagt, es ist einfacher den eigenen Prozess auf Modifikationen zu prüfen, als fremde Prozesse.

Doch diese Methode hatte einen enormen Nachteil.
Sie war sehr Code-Aufwendig (hatte somit viele Fehlerquellen) und war stark von den verschiedenen Browser-Versionen abhängig und erzeugte somit oftmals abstürzte des Webbrowsers.


Die Methode was seit v1.3 verwendet wird (Changelog: Neuer Kern) ist weitaus stabiler, da eben kein Code im Webbrowser ausgeführt wird. Jedoch war es hier wieder deutlich aufwenidger, hinter die ganzen Adressen der jeweilligen Funktionen zu kommen. Da Beispielsweise die DLL nspr4 nur von Firefox geladen wird und dann auch immer an eine andere Adresse. (Im Gegensatz zu wininet)
Aber im ganzen ist diese neue Methode viel stabiler und vorallem von der Browser-Version unabhängig.

Zu Punkt 2.
Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Zu 3.
Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.
Das innovative daran ist ja, dass nach Man-in-the-Middle Attacken gescannt wird. Dabei werden aber auch nur Trojaner erkannt, die diese Attacken Anwenden. (Dazu gehören ALLE Banking-Trojaner)
Das ganze ist dann eine Verhaltensanalyse und erkennt dann auch "verschlüsselte"-Versionen der Trojaner. (wo herkömmliche AVs versagen)
(Ich denke das beantwortet die Frage mit dem Keylogger + Rootkit)

Zu 4.
Nunja, ich hielt es für ausreichend, den Autostart-Eintrag zu entfernen. Aber das liese sich ja beim nächsten Update ändern.

P.S.
Du kannst dir ja den Code ansehen, was bei v1.2 im Webbrowser ausgeführt wird. Dann siehst du ja auch, was dieser macht.
Dazu einfach Breakpoint auf CreateRemoteThread setzten -> Ziel-Adresse notieren -> Debugger an Browser anfügen -> dann auf die notierte Adresse einen Breakpoint setzen -> analysieren.

Ich hoffe dass ich deine Fragen ausreichend beantworten konnte.

Wenn du noch weitere Fragen hast, kannst du dich gerne per PN melden.

Zitat:

Zitat von SecureBanking

Das musst du wohl übersehen haben.
Ich habe nämlich schon bevor dieser Thread überhaupt erstellt wurde, intern v1.3 veröffentlicht. Logischerweiße war dann auch v1.3 die aktuellste Version bei der Eröffnung dieses Threads. Dass kann dir sicher auch wer anderer Bestätigen.

Ja, z.B. ich und jeder der diesen erwähnten internen Bereich lesen kann.
Erst war 1.3, dann dieser Thread hier.

Zitat:

Zitat von SecureBanking

Hierbei handelt es sich um kein Anti-Viren-Programm sondern um ein Anti-Banking-Trojaner Programm.

Wurde meines Wissen auch mehrmals deutlich gesagt (geschrieben).

Allerdings wer nur die Kurzbeschreibung liest, könnte durch "Malware-Code Scanner" (Zitat) glauben, jeglicher Malware-Code würde auch erkannt werden (sollen).

Hey Secure

ich hab mir vor einiger Zeit ein Dualboot mit Ubuntu 11.10 eingerichtet und jetzt frage ich mich, ob es möglich wäre, dein Programm auch in Ubuntu/Linux-Distributionen einzuführen. Ist das von deiner Seite durchführbar oder ist so etwas überhaupt nötig unter Ubuntu?
Danke

LG

@Jazzer (schöner Nick übrigens...)

Da Linux auf dem Desktop weltweit einen Anteil von nur etwa 1.3 % (D: etwa 1.6 %) hat lohnt es sich für die Trojanerschreiber noch nicht Browser unter Linux zu kapern. (Die meisten Leute haben Windows, da lohnt es sich sicher, die 10-15% Mac Benutzer haben in der Regel viel Geld.. da lohnt es sich auch..)

Das heißt dass du bis auf Weiteres unter Ubuntu mit brain.exe sicher genug bist.

Wenn du -wie ich- da ein wenig Paranoia hast kannst du unter Linux ein Internet Banking Programm so installieren dass die Nutzerdaten in einem Truecrypt / Realcrypt Container lagern. Da lohnt sich der Aufwand für einen Angriff (zumindest bei meinem Gehalt ) definitiv nicht.

Unter Rechtssprechungs-Gesichtspunkten könntest du darüber nachdenken zur Sicherheit ein freies AV Programm zu installieren. Das brauchst du zwar nicht, könnte aber wenn doch etwas passieren würde und wenn du vor Gericht mit einem Richter der Linux nicht kennt konfrontiert wärst helfen...

(Es gab einen Fall in dem eine Bank einen Schaden durch einen gekaperten Browser nicht ersetzen wollte weil der User unter XP mit einem Konto mit Admin Rechten im Internet "unterwegs" war.. da der User aber Windows und sein AV Programm aktuell gehalten hatte entschied das Gericht damals zu seinen Gunsten...)

Daher, und auch mit Rücksicht auf Windows User habe ich ein freies AV als "On Demand Scanner" auf meiner Linux Installation ....

OT

Zitat:

Zitat von W_Dackel

die 10-15% Mac Benutzer haben in der Regel viel Geld..

Das war mal. Aber heute ist ein Apple-Produkt inklusive (!) der Macs ein Lifestyle-Produkt welches viele Nutzer trotz relativ wenig Geld haben/kaufen, unbewusst wohl auch, weil sie dann glauben eben jener von dir postulierten Gruppe anzugehören. Also hier in der Gegend ist trotz und inklusive Geiz-ist-geil ein Mac auch bei Schüler und Studenten nicht nur reicher Eltern beliebt. Muss ein Mac sein, darf aber nichts kosten - obwohl zumindest in diesem jungen Jahr diese Gruppe subjektiv Mac inzwischen sogar ablehnt, vermutlich weil es eben das Lifestyle-Produkt der letzten Jahre ist. Dass die Kids und/oder Menschen allgemein anfangen zu denken bezweifle ich.

Zitat:

Zitat von W_Dackel

Da lohnt sich der Aufwand für einen Angriff (zumindest bei meinem Gehalt ) definitiv nicht.

Die ganz überwiegend allerwenigsten "Banking-Angriffe" sind gezielt auf eine Person, bei der es sich wirklich lohnt. Die Angriffe gehen gegen Nutzer bei denen es funktioniert.

Zitat:

Zitat von W_Dackel

Unter Rechtssprechungs-Gesichtspunkten könntest du darüber nachdenken zur Sicherheit ein freies AV Programm zu installieren.

Unter Rechtssprechungsgesichtspunkten (eher Nutzungsbedingungen) sage ich dir, dass dies meistens nicht legal wäre -zumindest nicht ohne ausdrückliche, schriftliche, vertraglich wasserfeste Einverständnis.
Nur weil ein Programm frei (unter bestimmten Voraussetzungen!) nutzbar ist, darfst du es nicht unbedingt verteilen, noch weniger als Bundle.

Zitat:

Zitat von W_Dackel

... entschied das Gericht damals ...

Außer "Grundsatzurteile" oberster Gerichte sind alle Gerichtsurteile in D immer Einzelentscheidungen. Im Gegensatz zum angelsächsischen Rechtssystem erschaffen Richter und Urteile bei uns kein allgemeines Recht, sie legen nur Gesetze aus.

Zitat:

Zitat von W_Dackel

allerdings besteht die Frage ob der Durchschnittsnutzer bereit wäre seine diversen Chat / Mail und sonstigen Netzprogramme zu schließen wenn er Internet Banking betreibt...

Ich finde nicht nur der Durchschnittsnutzer sollte dies immer machen bzw. diese Nutzungen sogar strikt und hart trennen. Ob ONU dazu bereit ist, ist natürlich immer die Frage.

Eine Bevormundung, selbst wenn sie sinnvoll ist, wird der Nutzer aber eher nicht akzeptieren.