Habe Phishing-Virus beim OnlineBanking

Zitat von worel

mein PC wurde leider mit einem Phishing-Virus befallen, und der Virus macht sich
beim OnlineBanking wie folgt bemerkbar

Unabhängig weiterer Aktionen solltest du dringend dein Passwort etc. bei deiner Bank ändern denke ich mal, bzw. dein Konto überprüfen etc. :-??

Ganz einfach:

Setzte deinen Rechner neu auf, denn ein befallenes System kann nicht bereinigt/repariert werden.

Danach alle Passwörter ändern!
Lies diesen Artikel - wichtig ab Punkt #4
Säubern eines gefährdeten Systems [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

Malware - was nun?
* Daten sichern (Dokumente, Musik, Bilder usw. kopieren)
* Windows-CD/DVD einlegen, booten
* mit Windows-CD/DVD Systemlaufwerk formatieren
* Windows neu installieren
* alle Windows-Updates installieren
* sicheren Browser benutzen
* nur Programme aus sicheren Quellen installieren
* Sicherheitskonzept überdenken!
* nicht mehr als Admin surfen!

Du machst dir die falschen Gedanken! Setze deinen Rechner neu auf!

Wenn du das erledigt hast, kannst du dich immer noch mit dem Thema befassen.

Möglicherweise lädt der Trojaner noch Verwandte ein....

Denke über dein Sicherheitskonzept nach, denn der Trojaner kann nur in ein lückenhaftes System eindringen.

Abends!

Stimme ich zu.
Obschon mich eine gewisse Forensik interessiert.
worel :
Der Ansatz der Nachforschung ehrt Dich.
Er ist aber einigermaßen sinnfrei,denn Du kannst nicht ausschließen,das selbst einfacherere,gewohnte Operationen den
Bösling beeindrucken werden.
Wie Fox2Fox schon erwähnte :
Zu gerne laden die ungesehenen Gäste weitere ungebetene nach.
Wobei die Ersteren meist die Eigenschaft haben, die eigenen Türsteher zu überrreden.

Mein allererster Gedanke wäre,mich mit meiner Bank in Verbindung zu setzen.
Nebenbei:
Werden die Böslinge wirklich so faul,die dämlichen Lightboxes zu verwenden?

Schämt Euch!

:-??

Grrr.
P.

worel fragte u.A. Folgendes:

Zitat

[...]aber ich möchte wissen, was genau das Problem auf meinem Rechner ist[...]

Der von Dir beschriebene Trojan-Dropper.Win32.Mudrop.cxc erstellt – meinen bisherigen Informationen nach – u.A. einen Eintrag in einen der automatisch ausführbaren „Run-Schlüssel“ der Windows-Registry. Solche in die Ausführungsumgebung der Windows-Registry eingetragene „Services“ werden somit bei einem Windows-Neustart als ein im Taskmanager sichtbarer „Dienst“ ausgeführt. (u.A. signifikante Registry-Schlüssel s.u.).

Zitat

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Das Verfahren dieses Keyloggers lässt somit nicht gerade auf eine fortschrittlich (engl. sophisticated) technische Systemkompromittierung schliessen, da es noch nicht einmal eines Virenscanners bedarf, um die veränderte Windows-Ausführungsumgebung - also die veränderten Einträge der Windows-Registry - selber einzusehen, denn so eine Kontrolle liesse sich mit jedem kostenlosen Hilfsprogramm (z.B. CCleaner > Tools-Section) gleichermassen realisieren.

worel erklärte u.A. Folgendes:

Zitat

[...]Das Wegbleiben des Userinterfaces ist ein Beweis dafür dass die wlanmon.dll eine
"User-Interface-Blockierfunktionalität" besitzt.

Eine *.dll alleine kann dafür nicht verantwortlich sein. Vermutlich wurde eine neue wlanmon.* auf Deinem lokalen System in einem anderen Verzeichnis (Temp-Ordner) abgelegt und hat somit die ursprüngliche Datei unter gleichen Namen – jedoch unter anderer Suffix (*.exe) als ausführbaren Dienst „ersetzt“. Dienstmaskierung ist nichts Neues. Tatsache ist jedoch, das es keine zwei gleichnamigen Dienste mit der gleichen Endung auf einem System geben darf. Der ursprüngliche MS-Prozess (wlanmon.dll) ist dagegen als harmlos zu betrachten und beinhaltet bloss eine Überwachungsfunktion der Netzwerk-Funkstreckenwege.

Es würde – meiner Beurteilung nach – von daher bereits schon reichen, die entsprechenden verdächtigen Prozesse mit dem Taskmanager zu beenden, um im Anschluss daran die zugehörigen Einträge aus der Windows-Registry zu entfernen und das System schlussendlich neu zu starten.

Oliver

O.T
Der SAM (Security Account Manager) beinhaltet u.A. vertrauliche Einträge (z.B. Passwort-Zugänge etc.), die in einem gesondert geschützten Bereich zugriffssicher in den „HKEY_LOCAL_MACHINE“ Schlüsseln der lokalen Windows-Registry abgelegt sind. Mit dem zeitgesteuerten Aufruf „at.exe“ lässt sich jedoch vorübergehend ein uneingeschränkter Zugriff auf alle im System abgelegten und vertraulichen Daten erhalten, ohne dass erst umständliche Rechte-Änderungen oder Besitzübernahmen am System nötig wären.

Wer somit vertrauliche Daten hin und her „transportiert“ (z.B. Notebook etc.), wäre vielleicht gut beraten diesen Kommandozeilenaufruf zu löschen oder gar intern umzubenennen.

http://support.microsoft.com/kb/314866/de
http://technet.microsoft.com/de-de/library/cc737101(WS.10).aspx
http://support.microsoft.com/kb/313289

worel erklärte Folgendes:

Zitat

Die Datei dumprep.exe (11kB) scheint mir aber vertrauenswürdig, da sie eine
"Microsoft Windows" Signatur, und eine Versionsnummer hat.

Unter dem registrygeführten Aufruf "dumprep.exe" werden unter Windows XP Fehlermeldungen des Betriebssystems protokolliert, die u.U. zur einer erheblichen Verlangsamung (engl. slowdown) der Verarbeitungssequenzen führen können. Dieser MS-Prozess ist somit zwar als vertrauenswürdig – jedoch bezüglich einer wie auch immer gearteten Kompromittierungen – als irrelevant zu betrachten. Es müssten dennoch in den Run-Verfügungen Deiner Registry noch weitere „verdächtige Einträge“ existieren.

Ohne es böse zu meinen, aber gehe bitte auf die ursprünglich von Dir gestellte Grundthematik ein – sonst kommen wir hier nicht weiter.

a. Existiert auf Deinem System eine wie auch immer geartete und veränderte wlanmon.*?

b. Wird in den Run-Keys der Registry u.A. ein Prozess gestartet, der mit Zahlenzeichen beginnt und mit *. exe endet?

Nochmalig – Es können keine zwei gleichnamige Prozesse gleichzeitig auf einem lokalen System (also auf Deinem Computer) nebeneinander existieren. Bei dll Bibliotheken ist dies jedoch möglich.

worel erklärte darüberhinaus Folgendes:

Zitat

[...]Durch welchen fiesen Trick wird eigentlich erreicht, dass die Fake-DLL beim Start
des Firefoxbrowsers so fest eingebunden wird, und für den Start unentbehrlich ist?
-Eine DLL namens wlanmon.dll gehört von Haus aus **sicher nicht** zu Firefox dazu![...]

Nein. Applikationen sind standardmässig nicht fest an solche externen dll-Bibliotheken gebunden. Anwendung greifen bloss darauf zu. Somit kann der Firefox (wie jede andere Anwendung auch) über den sog. LoadLibrary-Aufruf auf eine bereits kompromittierte *.dll Datei zuzugreifen, sofern über das Betriebssystem der sog. safe DLL search mode im Vorfeld nicht aktiviert wurde. Dies ist eher eine alte Windows-Vererbung als eine neue Firefox-Geschichte.

Unter Windows XP (ohne SP2) ist diese gesicherte DLL-Einstellung z.B. standardmässig deaktiviert. Diese Einstellung liesse sich jedoch durch einen modifizierten Eintrag SafeDllSearchMode in der Windows-Registry nachträglich rehabilitieren.

Schaue Dir einmal die Werteausführungen des Process Monitors auf Deinem lokalen System an. (Downloadlink s.u.). Setze zur vereinfachte Veranschaulichung der Ausgabe die entsprechenden Filter.

Oliver

http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
http://download.sysinternals.com/Files/ProcessMonitor.zip