Habe Phishing-Virus beim OnlineBanking

    Hallo,

    mein PC wurde leider mit einem Phishing-Virus befallen, und der Virus macht sich
    beim OnlineBanking wie folgt bemerkbar: egal, welche der 15 Landes-Filialen
    (von psd-bank.de) ich aufrufe, und dort den Button "Onlinebanking Starten" drücke,
    und entweder ...

    A) die Demoversion von OnlineBanking, **ODER** ...
    B) die echte OnlineBanking -Version

    ...aufrufe, erscheint nach dem Klick auf "ANMELDEN" (anstatt dem Login) eine Tabelle
    mit einer TAN-Abfrage (siehe beigefügtes Bild, 194 kB), wo eine Aufforderung kommt,
    einhundert TAN's einzugeben.

    Was ich bereits zur Phishing-Deaktivierung unternommen habe, ist:
    1)PC im "Abgesicherten Modus mit Netzwerkzugang" starten. Ergebnis: Virus inaktiv.
    2)in Firefox (unter Extras\Einstellungen\Inhalt) Javascript deaktivieren. Ergebnis: Virus inaktiv.
    3)im Windows-Taskmanager alle unnötigen Applikationen + Prozesse schließen. Ergebnis: Virus aktiv.
    4)alle Firefox-Erweiterungen + Plugins deaktivieren, FF neustarten. Ergebnis: Virus aktiv.
    5)einen anderen Browser (Chrome) benutzen. Ergebnis: Virus inaktiv.
    6)Statt Firefox.exe einen "Portablen" Firefox (FirefoxPortable.exe), der in einem anderem
    Verzeichnis liegt, starten. Ergebnis: Virus aktiv.

    meine FRAGE:
    welche Malware schafft es, die zwei Scripts, bezeichnet mit "x1 / x2"
    Download hier (32kB) http://www13.zippyshare.com/v/62522464/file.html
    in den "Head" des Firefox einzubauen, genau in dem Moment, wo der Button
    "ANMELDEN" geklickt wird, und der Einlogversuch gestartet wird ?
    -Kann der Virus vielleicht etwas mit den Firefox Datenbank Files zu tun haben, welche
    im Firefox-Verzeichnis liegen, und die die Endung .sqlite haben ?

    Anhang: Bild (955 x 1200 pixel , 194kB)
    Download http://www13.zippyshare.com/v/62522464/file.html

    Zitat von worel

    1)PC im "Abgesicherten Modus mit Netzwerkzugang" starten. Ergebnis: Virus inaktiv.
    3)im Windows-Taskmanager alle unnötigen Applikationen + Prozesse schließen. Ergebnis: Virus aktiv.

    Einen Prozess vor dem Taskmanager zu verstecken gehört zur Grundausbildung eines Bösewichts.

    Zitat von worel

    "x1 / x2"

    x1 ist die JQuery Laufzeitumgebung.
    In x2 (Zeile 514) liegt der Hund begraben.

    Zitat von worel

    genau in dem Moment, wo der Button "ANMELDEN" geklickt wird,

    Da wird nichts nachgeladen. Zeile 514 entfacht seine Wirkung.

    Für die Behandlung des PC werden sich erfahrene Mitglieder melden.

    Ganz einfach:

    Setzte deinen Rechner neu auf, denn ein befallenes System kann nicht bereinigt/repariert werden.

    Danach alle Passwörter ändern!
    Lies diesen Artikel - wichtig ab Punkt #4
    Säubern eines gefährdeten Systems [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Malware - was nun?
    * Daten sichern (Dokumente, Musik, Bilder usw. kopieren)
    * Windows-CD/DVD einlegen, booten
    * mit Windows-CD/DVD Systemlaufwerk formatieren
    * Windows neu installieren
    * alle Windows-Updates installieren
    * sicheren Browser benutzen
    * nur Programme aus sicheren Quellen installieren
    * Sicherheitskonzept überdenken!
    * nicht mehr als Admin surfen!

    Hallo,
    danke für die Antworten. Ich wußte schon etwas länger vor meinem ersten Posting, dass man Windows neu
    aufsetzen muss, aber ich möchte wissen, was genau das Problem auf meinem Rechner ist,
    und ich wende mich an camp-firefox, weil es hier Experten gibt.

    Soweit ich es bisher herausfand hat der Virus den PC gescannt.
    Er suchte sich von dem (gesunden) Programm "Wlan-Monitor", was zu meinem
    "D-Link" WLAN USB-Stick gehört, die "wlanmon.dll" heraus. Die Dll
    kopierte er nach C:\WINDOWS\System32\wlanmon.dll, sodaß
    anschließend auf dem PC zwei "wlanmon.dll" vorhanden waren.
    1)"wlanmon.dll" (die originale 96kB grosse Datei, im normalen Verzeichnis) und...
    2)"wlanmon.dll" (die verseuchte 222kB grosse Datei) im WINDOWS\System32-Verzeichnis

    Erkennbar war die neue DLL-Datei daran, dass sie keinen Herstellernamen/keine Signatur hatte,
    und sehr jung war (Erstellungsdatum 22.01.2011, gegenüber der originalen DLL von 2005.

    Die infizierte Datei war 222 kB gross. Ich unterzog sie einem online-Exetest
    (http://support.kaspersky.com/viruses/online). Dieser meldete, dass die Dll mit dem
    "Trojan-Dropper.Win32.Mudrop.cxc" infiziert ist.

    Momentan wird die Virus-DLL immer beim Start von Firefox gestartet (ich kann die dll
    im ProzessMonitor Programm "Iarsn TaskInfo" sehen).

    Hier ein Beweis:
    benenne ich die Datei...
    C:\WINDOWS\System32\wlanmon.dll um in...
    C:\WINDOWS\System32\wlanmon.txt
    ...und starte Firefox, dann ist Firefox zwar in Taskmonitor Programmen sichtbar,
    aber es erscheint keinerlei Symbol in der Taskleiste, und es erscheint
    ABSOLUT KEIN USERINTERFACE, was bedeutet, dass man so überhaupt nicht mehr surfen kann.

    Nach der Umbenennung von...
    C:\WINDOWS\System32\wlanmon.txt in
    C:\WINDOWS\System32\wlanmon.dll
    ...kann Firefox wieder normal gestartet werden!

    Das Wegbleiben des Userinterfaces ist ein Beweis dafür dass die wlanmon.dll eine
    "User-Interface-Blockierfunktionalität" besitzt.

    Die Blockierfunktion ist in x2.txt (siehe Download Link im ersten Thread) insofern bewiesen
    und dokumentiert, weil in x2.txt eine Funktion namens ".blockUI" enthalten ist, wobei blockUI wohl für
    BLOCK(u)SER(i)NTERFACE steht.

    Frage:
    Durch welchen fiesen Trick wird eigentlich erreicht, dass die Fake-DLL beim Start
    des Firefoxbrowsers so fest eingebunden wird, und für den Start unentbehrlich ist?
    -Eine DLL namens wlanmon.dll gehört von Haus aus **sicher nicht** zu Firefox dazu!

    Abends!

    Stimme ich zu.
    Obschon mich eine gewisse Forensik interessiert.
    worel :
    Der Ansatz der Nachforschung ehrt Dich.
    Er ist aber einigermaßen sinnfrei,denn Du kannst nicht ausschließen,das selbst einfacherere,gewohnte Operationen den
    Bösling beeindrucken werden.
    Wie Fox2Fox schon erwähnte :
    Zu gerne laden die ungesehenen Gäste weitere ungebetene nach.
    Wobei die Ersteren meist die Eigenschaft haben, die eigenen Türsteher zu überrreden.
    ;)
    Mein allererster Gedanke wäre,mich mit meiner Bank in Verbindung zu setzen.
    Nebenbei:
    Werden die Böslinge wirklich so faul,die dämlichen Lightboxes zu verwenden?

    Schämt Euch!

    :-??

    Grrr.
    P.

    worel fragte u.A. Folgendes:

    Zitat

    [...]aber ich möchte wissen, was genau das Problem auf meinem Rechner ist[...]


    Der von Dir beschriebene Trojan-Dropper.Win32.Mudrop.cxc erstellt – meinen bisherigen Informationen nach – u.A. einen Eintrag in einen der automatisch ausführbaren „Run-Schlüssel“ der Windows-Registry. Solche in die Ausführungsumgebung der Windows-Registry eingetragene „Services“ werden somit bei einem Windows-Neustart als ein im Taskmanager sichtbarer „Dienst“ ausgeführt. (u.A. signifikante Registry-Schlüssel s.u.).


    Zitat

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce


    Das Verfahren dieses Keyloggers lässt somit nicht gerade auf eine fortschrittlich (engl. sophisticated) technische Systemkompromittierung schliessen, da es noch nicht einmal eines Virenscanners bedarf, um die veränderte Windows-Ausführungsumgebung - also die veränderten Einträge der Windows-Registry - selber einzusehen, denn so eine Kontrolle liesse sich mit jedem kostenlosen Hilfsprogramm (z.B. CCleaner > Tools-Section) gleichermassen realisieren.


    worel erklärte u.A. Folgendes:

    Zitat

    [...]Das Wegbleiben des Userinterfaces ist ein Beweis dafür dass die wlanmon.dll eine
    "User-Interface-Blockierfunktionalität" besitzt.


    Eine *.dll alleine kann dafür nicht verantwortlich sein. Vermutlich wurde eine neue wlanmon.* auf Deinem lokalen System in einem anderen Verzeichnis (Temp-Ordner) abgelegt und hat somit die ursprüngliche Datei unter gleichen Namen – jedoch unter anderer Suffix (*.exe) als ausführbaren Dienst „ersetzt“. Dienstmaskierung ist nichts Neues. Tatsache ist jedoch, das es keine zwei gleichnamigen Dienste mit der gleichen Endung auf einem System geben darf. Der ursprüngliche MS-Prozess (wlanmon.dll) ist dagegen als harmlos zu betrachten und beinhaltet bloss eine Überwachungsfunktion der Netzwerk-Funkstreckenwege.

    Es würde – meiner Beurteilung nach – von daher bereits schon reichen, die entsprechenden verdächtigen Prozesse mit dem Taskmanager zu beenden, um im Anschluss daran die zugehörigen Einträge aus der Windows-Registry zu entfernen und das System schlussendlich neu zu starten.


    Oliver


    O.T
    Der SAM (Security Account Manager) beinhaltet u.A. vertrauliche Einträge (z.B. Passwort-Zugänge etc.), die in einem gesondert geschützten Bereich zugriffssicher in den „HKEY_LOCAL_MACHINE“ Schlüsseln der lokalen Windows-Registry abgelegt sind. Mit dem zeitgesteuerten Aufruf „at.exe“ lässt sich jedoch vorübergehend ein uneingeschränkter Zugriff auf alle im System abgelegten und vertraulichen Daten erhalten, ohne dass erst umständliche Rechte-Änderungen oder Besitzübernahmen am System nötig wären.

    Wer somit vertrauliche Daten hin und her „transportiert“ (z.B. Notebook etc.), wäre vielleicht gut beraten diesen Kommandozeilenaufruf zu löschen oder gar intern umzubenennen.


    http://support.microsoft.com/kb/314866/de
    http://technet.microsoft.com/de-de/library/cc737101(WS.10).aspx
    http://support.microsoft.com/kb/313289

    die folgenden zwei Schlüssel haben keinen Eintrag, sind also leer:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    bei den anderen zwei Schlüsseln gibt es einen Eintrag in "Run".
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (1 Eintrag)
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce (kein Eintrag)

    Der Run-Eintrag lautet: C:\WINDOWS\SYSTEM32\dumprep 0 -k
    Die Datei dumprep.exe (11kB) scheint mir aber vertrauenswürdig, da sie eine
    "Microsoft Windows" Signatur, und eine Versionsnummer hat.

    worel erklärte Folgendes:

    Zitat

    Die Datei dumprep.exe (11kB) scheint mir aber vertrauenswürdig, da sie eine
    "Microsoft Windows" Signatur, und eine Versionsnummer hat.


    Unter dem registrygeführten Aufruf "dumprep.exe" werden unter Windows XP Fehlermeldungen des Betriebssystems protokolliert, die u.U. zur einer erheblichen Verlangsamung (engl. slowdown) der Verarbeitungssequenzen führen können. Dieser MS-Prozess ist somit zwar als vertrauenswürdig – jedoch bezüglich einer wie auch immer gearteten Kompromittierungen – als irrelevant zu betrachten. Es müssten dennoch in den Run-Verfügungen Deiner Registry noch weitere „verdächtige Einträge“ existieren.

    Ohne es böse zu meinen, aber gehe bitte auf die ursprünglich von Dir gestellte Grundthematik ein – sonst kommen wir hier nicht weiter.


    a. Existiert auf Deinem System eine wie auch immer geartete und veränderte wlanmon.*?

    b. Wird in den Run-Keys der Registry u.A. ein Prozess gestartet, der mit Zahlenzeichen beginnt und mit *. exe endet?


    Nochmalig – Es können keine zwei gleichnamige Prozesse gleichzeitig auf einem lokalen System (also auf Deinem Computer) nebeneinander existieren. Bei dll Bibliotheken ist dies jedoch möglich.


    worel erklärte darüberhinaus Folgendes:

    Zitat

    [...]Durch welchen fiesen Trick wird eigentlich erreicht, dass die Fake-DLL beim Start
    des Firefoxbrowsers so fest eingebunden wird, und für den Start unentbehrlich ist?
    -Eine DLL namens wlanmon.dll gehört von Haus aus **sicher nicht** zu Firefox dazu![...]


    Nein. Applikationen sind standardmässig nicht fest an solche externen dll-Bibliotheken gebunden. Anwendung greifen bloss darauf zu. Somit kann der Firefox (wie jede andere Anwendung auch) über den sog. LoadLibrary-Aufruf auf eine bereits kompromittierte *.dll Datei zuzugreifen, sofern über das Betriebssystem der sog. safe DLL search mode im Vorfeld nicht aktiviert wurde. Dies ist eher eine alte Windows-Vererbung als eine neue Firefox-Geschichte. ;)

    Unter Windows XP (ohne SP2) ist diese gesicherte DLL-Einstellung z.B. standardmässig deaktiviert. Diese Einstellung liesse sich jedoch durch einen modifizierten Eintrag SafeDllSearchMode in der Windows-Registry nachträglich rehabilitieren.

    Schaue Dir einmal die Werteausführungen des Process Monitors auf Deinem lokalen System an. (Downloadlink s.u.). Setze zur vereinfachte Veranschaulichung der Ausgabe die entsprechenden Filter.


    Oliver


    http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
    http://download.sysinternals.com/Files/ProcessMonitor.zip