|
Diskussionsforum: Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox?Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
07.08.2012, 16:48 | #1 |
| Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox? Hallo, ich hätte gerne auf das Topic "http://www.trojaner-board.de/118530-...en-https.html" geantwortet, darf das als Neuling aber leider nicht. Also versuche ich es mal hier... Ich hatte mit den Firefox Versionen ~ 11-13, jetzt (14.0.1) *** NICHT *** mehr, das vom Nutzer "hegel" beschriebene Phanömen mit den von Firefox sehr oft als "nicht vertrauenswürdig" eingestuften https Webseiten. Das Verhalten war sogar teilweise reproduzierbar: - https seite öffnen -> meistens Ok - in neuem Fenster / Tab weitere http Seite (NICHT https) öffnen -> immer ok - in erstem Tab/Fenster innerhalb der https-Sitzung zu andere Unterseite navigieren -> fast immer fehlermeldung "nicht vertrauenswürdig" Mit etwas Zeitversatz zueinander erhielt ich dann von CortalConsors und der DKB Hinweise, ich hätte vermutlich den Trojaner "hermes_V01" auf meiner Maschine. Ich darf anmerken, beruflich bedingt recht tief mit diesem Thema zu tun zu haben. Sämtliche "üblichen Sicherheitsempfehlungen" dürfen als beachtet betrachtet werden und die von mir für Online Banking verwendete Maschine, ein Firmenlaptop, ist sowohl bzgl. Win7 Updates als auch Security Software immer auf dem neuesten Stand. Nach Hinweis der beiden Banken habe ich zusätzlich zum kompletten Scan des vorhanden Virenscanners mit diversen, auch hier empfohlenen Tools, u.a. auch einen HijackThis Scan, den Rechner geprüft. Keine Funde. Zusätzlich über die Microsoft / Sysinternal.com Tools Monitoring des TCP/IP Traffics sowie der Prozessaktiviäten. KEINE Besonderheiten /Auffälligkeiten. Ich gehe also davon aus, der Rechner ist sauber. Und warte nebenbei seit heute in der Firefox Comunity auf Antwort, ob das beschriebene Verhalten ein Known Issue / Known Bug ist. Was mir aber auffällt, daß dieses Board die einzige (!!) Stelle (neben einem einzelnen sehr ähnlichen Eintrag in einem Pferde-Forum :-)) ist, wo man den Trojaner "hermes_V01" überhaupt erwähnt findet. Sowohl CortalConsors als auch die DKB sehen sich (leider!) außerstande, irgendwelche zusätzliche Informationen zum angeblichen "hermes_V01" Trojaner zu geben. Daher meine Fragen hier im Board: Kennt diesen Trojaner überhaupt jemand? Also kann konkret jemand sagen, Ja, ich habe einen Befall festgestellt, welcher sich so und so äußerte? Was tut dieser Trojaner? Welche Dateien verändert er, welche Prozeßnamen nutzt er / generiert er? Ich habe den Verdacht, daß hier bei den "erkennenden" Stellen wie den Banken / Sparkassen / WEB.DE irgendwelche heuristischen Erkennungsmechanismen zugeschlagen haben. Wie gesagt, da bei mir nichts gefunden wurde / zu finden war, konnte nichts bereinigt werden. Und jetzt, mit Firefox 14.X , ist das https Problem auch wieder weg und die Banken "zufrieden", also keine Rückmeldungen mehr..... ... ohne dass ich irgendeine Gefahr verharmlosen will...... |
07.08.2012, 17:07 | #2 |
/// Malware-holic | Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox? also, das https phenomen deutet auf jeden fall auf hermes hin, denn diese malware schläust gefälschte zertifikate ein.
__________________hermes ist die hauptkomponennte eines banking trojans, der ähnlich wie spyeye ein komponennten trojaner ist, du kannst also als angreifer, je nach dem was du benötigst, und warscheinlich auch geldbäutel, dir deinen trojaner zusammen bauen. diese malware hat es hauptsächlich auf deutsche kunden abgesehen, und ist kein sehr großes botnetz. wenn dir web.de und deine banken was melden, kannst du dir schon sicher sein, dass hier kein fehlalarm vor liegt. ich würde das system neu aufsetzen, ein solches befallenes system ist auch, wenn es jetzt keine meldung mehr gibt, nicht mehr vertrauenswürdig. zumal du onlinebanking machst, und es auch mal schief gehen kann, und die bank das problem nicht erkennt, dann ist das konto, wenn man pech hatt, leer.
__________________ |
07.08.2012, 19:14 | #3 | |
/// TB-Ausbilder | Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox?Zitat:
hxxp://blog.eset.com/2012/06/28/win32gataka-a-banking-trojan-ready-to-take-off hxxp://www.eset.eu/encyclopaedia/win32-gataka?lng=en Ich habe eben auch schnell die Forumssuche hier bemüht, um ein paar Threads anzuschauen, in welchen sich Leute mit hermes_v01 Warnungen gemeldet haben. Nun meine Stichprobe mag vielleicht nicht signifikant sein, aber bei allen, welche von web.de oder sonstwoher die Warnung erhalten haben, wurde auch tatsächlich dieser Banker (oder Reste davon) gefunden. Also von flächendeckenden Fehlalarmen würde ich eher nicht ausgehen... |
Themen zu Evtl. Fehlalarme bzgl. "hermes_V01" in Verbindung mit Firefox? |
befall, dateien, diverse, fehlermeldung, festgestellt, firefox, frage, hermes_v01, hijack, hijackthis, keine rückmeldungen, laptop, microsoft, online, online banking, problem, rechner, scan, security, seite, software, sparkasse, tab, trojaner?, updates, verbindung, win7 |