Firefox und iStealer/Trojaner

  • Hallo zusammen,

    ein aktueller Anlass hat mich veranlasst mich mal näher mit dem Thema iStealer und Trojaner insgesamt zu befassen. Genauer geht es um einen gecrackten Knuddels-Account (Oh, ich seh schon eure schmunzelnden Gesichter :lol: )

    Vorweg: Ich kenne mich mit der Funktionsweise dieser Schädliche nicht sonderlich aus. Bei der ersten Recherche, wie so ein Knuddels-Account gehackt werden kann, bin ich auf ein Tutorial über iStealer gestolpert. Ist der Trojaner einmal ausgeführt, verschickt er sofort alle "gespeicherten Passwörter". Jetzt die Fragen:

    Was heißt gespeicherte Passwörter? Die im Firefox?
    Sind diese nicht verschlüsselt oder liegen diese nach Eingabe des Masterpassworts offen?

    Wisst ihr wie es in dem Fall um die Sicherheit beschehrt ist?
    Habt ihr Tipps?
    Wie sieht es mit Thunderbird und E-Mail-Konten aus?

    Viele Grüße und Danke für eure Antworten.

  • Ohne Master-PW wird die Datenbank ausgelesen und peng.
    Mit Master wird das bruteforce, dauert also.

    Aber wer knackt schon Kinder-Knuddels-Konten? :mrgreen::roll:

    Eigentlich ist es egal, was als Ergebnis rauskommt.
    Wichtiger wäre es doch, den Weg der Infektion zu wissen und dagegen zu wirken.
    Wo nämlich einmal passiert, ist die Wahrscheinlichkeit für zweimal recht hoch.

  • Ich findes es bedenklich, dass es wohl zu einem Volkssport geworden ist Knuddels-Konten zu hacken. Immerhin ist es um die Konten von Minderjährigen nicht gerade gut bestellt. Naja, das Thema werde ich aber an anderer Stelle weiter diskutieren.

    Infektionsweg

    Da gebe ich dir recht, nur wird es nahezu unmöglich das herauszufinden. Es scheint übrigens auch so, dass zusätzlich das zuständige E-Mail Postfach bei einem Anbieter direkt mitgehackt wurde.

    Wie sieht es eigentlich mit dem Masterpasswort bei Firefox aus: Wenn es einmal eingegeben wurde während einer Session, liegt die Datenbank dann nicht offen? Wie sieht es bei Thunderbird aus?

    Als Reaktion wurde erstmal Betriebssystem und Virenprogramm ausgetauscht. Bei iStealer wäre es doch auch ratsam via Firewall das FTP zu sperren, oder? Ich meine verstanden zu haben, dass gerade iStealer die Daten direkt an einen FTP-Server sendet.

  • Zitat von rolf11

    Heisst das , ohne Master PW kann der Ordner Passwörter von angreifern jederzeit ausgelesen werden ?

    Würde mich auch sehr interessieren!

    Zitat von rolf11

    was ist der Nachteil von Master PW ? Längerer Start ?


    Öffnest du eine Webseite, bei der im Speicher von FF ein Passwort hinterlegt ist, meldet sich Firefox automatisch und fragt das Masterpasswort ab. Zeitaufwand ist das kaum.

    :-??? Ich schätze, und das wäre interessant zu erfahren, dass die URLs nicht verschlüsselt im FF Profil liegen. Wenn dann eine URL aus der Passworttabelle geöffnet wird, wird das Master-PW nur noch abgefragt um die verschlüsselten Passwörter freizugeben. :-??? Weiterhin vermute ich, und auch das wäre sehr interessant zu erfahren, das nach der Entschlüsselung der Schutz von FF unwirksam wird. Das Master-PW wird ja nur einmal pro Session abgefragt.

    Ich weiß von anderen Verschlüsselungsdatenbanken, dass es Einstellungen gibt, dass sich nach einer bestimmten Zeit die Datenbank selbstständig schliesst.

    Haben wir nicht ein paar Coder hier, die das Wissen?

  • Zitat

    dass es wohl zu einem Volkssport geworden ist Knuddels-Konten zu hacken


    Warum wohl...!? :mrgreen::P
    Ist und bleibt ne Kiddie-Seite - und hacken ist Kiddie-Volkssport - laaangweiliger kram.
    Die sind nicht cool, sondern einfach nur dämlich.

    Zitat

    Das Master-PW wird ja nur einmal pro Session abgefragt.


    Allerdings ist die Datenbank immer noch verschlüsselt, daran ändert sich ja nichts!

    Zitat

    ohne Master PW kann der Ordner Passwörter


    Zum einen kein Ordner, sondern eine sqlite-Datenbank.
    Zum anderen - ja, wenn der Trojaner es kann.

    Und selbst wenn - wenn der Trojaner gut gemacht ist, dann lauert der im Hintergrund
    und wartet, bis ein Kennwort eingetippt wird. Dann nützt KEIN Master-PW, auch
    nicht bei einer externen PW-Verwaltung.

  • Zitat von ctnrw

    Wisst ihr wie es in dem Fall um die Sicherheit beschehrt ist?

    De facto sehr schlecht!

    Ohne jedoch Logfiles gesehen zu haben, lässt sich ohnehin nicht zuverlässig sagen, von welcher Qualität der Schädling ist. Somit wäre es reine Spekulation, über dessen Schadpotential nachzudenken.

    Auch wenn bei oberflächlicher Betrachtung derzeit "nur" ein Knuddels-Account betroffen ist, heißt das nicht, dass nicht schon wesentlich schädlichere Kaliber unter der Bettdecke schlummern. Nur mal angenommen, dass dieser Trojaner einen Downloader oder einen Keylogger nachgeladen hat, wäre das System nicht mehr vertrauenswürdig und müsste aufgegeben werden.

    Bis das abschließend geklärt ist, darf von diesem Rechner kein Onlinebanking betrieben werden.

    gruss
    docc

  • Das ist aber wirklich eine schwierige Materie.

    Jetzt nochmal eine Frage:
    Wäre es ein Sicherheitsgewinn, wenn ich in der Hardware Firewall den FTP-Port sperren würde? Würde ich damit das FTP-Türchen schonmal sicher schließen?

  • Zitat von ctnrw

    Wäre es ein Sicherheitsgewinn, wenn ich in der Hardware Firewall den FTP-Port sperren würde? Würde ich damit das FTP-Türchen schonmal sicher schließen?

    Das Sperren von Ports macht nur Sinn, wenn es prophylaktisch gemacht wird. Da du dir sehr wahrscheinlich schon Malware eingefangen hast, ist eine selektive Portsperre im Nachhinein sinnlos. Es sei denn, du setzt den Rechner offline.

    Wie bereits gesagt: Bevor nicht geklärt ist, was definitiv im Busch ist, ist es sinnlos an den Symptomen herumzudoktern.

    Hat in der Vergangenheit dein Virenscanner mal Alarm geschlagen? Wenn ja, poste bitte den Fundreport.

    Auch ein paar Worte zum OS und zum aktuellen Patchlevel wären erhellend.

    gruß
    docc

  • @ ctnrw:
    Gehe der Sache auf den Grund:
    1. Führe bitte mit Admin Rechten HiJackThis 2.0.4 aus, damit wir mehr über dein System wissen.
    Download über:
    http://free.antivirus.com/hijackthis/
    Kurzanleitung [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]
    Den Inhalt der Log.-Datei hier in einem neuen Beitrag in der Klammer
    [Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg
    einfügen und auf http://hijackthis.de/ selbst schon auswerten.

    2. Durchsuche deinen Computer auch mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png].
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen.
    Mache mit Admin-Rechten einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier in der Klammer
    [Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg] .

    3. Wird etwas gefunden, freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    4. Sichere vorher deine persönlichen Daten.

    5. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

  • Eine gute Idee von Boersenfeger. Nur Logs liefern hier Klarheit über den Systemzustand.

    Stelle das HijackThis-Log bitte hier in den Thread.

    Die automatische Logfileauswertung ist wenig bis gar nicht aussagekräftig. Das liegt zum einen daran, dass HJT nicht Signaturen prüft, sondern lediglich Dateinamen mit einer Userdatenbank abgleicht.

    Dieses Manko machen sich die Malwareautoren zunutze, indem sie ihren Schadcode in Dateien verpacken, deren Namen nach dem Zufallsprinzip (z. B.: 75bd83d0l5pz8294kj.exe) generiert werden. Wenn dieser zufällige Dateinamen nicht in der HJT-Datenbank aufscheint, wird HJT den Schädling nicht erkennen. - Darum ist nur eine manuelle Auswertung aussagekräftig.

    Wenn HJT oder MBAM etwas finden: den Fund keinesfalls löschen, sondern in Quarantäne verschieben.

  • Zitat von Boersenfeger

    In der Regel hilft nur Punkt 3. meines Posts...

    Da gebe ich dir völlig Recht.

    Um aber eine Neuinfektion vermeiden zu können, macht es Sinn, den Schädling zu analysieren. Nur so lässt sich der Infektionsweg nachvollziehen und eine erneute Infektion lässt sich vermeiden.

    Sollte sich bei der Analyse herausstellen, dass es sich nicht um einen einfach gestrickten Trojaner, sondern z. B. um ein Rootkit handelt, wäre die Neuinstallation für die Katz, wenn nicht gleichzeitig auch der MBR neu geschrieben würde.

  • Hallo zusammen,

    erstmal danke, dass ihr euch so in das Thema reinhängt. Jetzt gibt es erstmal einige Ergänzungen.

    Der Account ist zum Glück nicht von mir, sondern von meiner Frau. Sie hat einen eigenen Rechner. Das Knuddels Ereignis fiel glücklicherweise mit dem Plan zusammen den Rechner neu aufzusetzen. Wir haben die Zeit nach dem gehackten Account erstmal dazu genutzt das System neu aufzusetzen.

    Vorher: Windows Vista SP3 (32) mit AntiVir
    Nachher: Windows 7 (64) SP1 mit Norton 360

    Sollte ich jetzt trotzdem noch irgendwelche Scans durchführen?

    Passwörter von Ihr sind vor einigen Tagen schon komplett erneuert worden (auf sicheren Standard).

    Die einzigen Dinge die Aufgefallen sind:
    Knuddels Account gehackt, E-Mail geändert aber Account nicht leergeräumt. Normalerweise werden hier ja Knuddels usw. auf andere Konten verschoben.
    Es schneint, als ob auch der dazugehörige GMX-Account geknackt wurde. Kann aber gut sein, das er das gleiche Passwort hatte. War ein alter Account der sonst nicht genutzt wurde.

  • Zitat von ctnrw

    erstmal danke, dass ihr euch so in das Thema reinhängt.

    Gern geschehen.

    Zitat

    Wir haben die Zeit nach dem gehackten Account erstmal dazu genutzt das System neu aufzusetzen.

    Das ist gut so. - Aber wie ich bereits sagte: einen einfach gestrickter Trojaner wirst du damit los. Komplexer kodierte Malware würde weiterhin aktiv bleiben.

    Zitat


    Vorher: Windows Vista SP3 (32) mit AntiVir
    Nachher: Windows 7 (64) SP1 mit Norton 360

    Wenn dir klar ist, dass die kommerzielle Software "Norton 360" kein nennenswert höheres Sicherheitspotential bietet als eine kostenlose Antivirenlösung, ist nichts dagegen einzuwenden. Die Norton-Firewall solltest du aber zugunsten der Windows-Firewall deaktivieren. Eine systemnahe Firewall wie die von Windows7 arbeitet deutlich zuverlässiger, als eine systemferne, die dem System von außen aufoktroyiert wird. Zudem geht Letzteres massiv zulasten der Performance.


    Zitat

    Sollte ich jetzt trotzdem noch irgendwelche Scans durchführen?

    Nein, dass hat sich jetzt erledigt.


    Zitat

    Passwörter von Ihr sind vor einigen Tagen schon komplett erneuert worden (auf sicheren Standard).

    Die Passwörter müssen von einem nachweislich sauberen System aus geändert werden.


    Zitat

    Die einzigen Dinge die Aufgefallen sind:
    Knuddels Account gehackt, E-Mail geändert aber Account nicht leergeräumt. Normalerweise werden hier ja Knuddels usw. auf andere Konten verschoben.
    Es schneint, als ob auch der dazugehörige GMX-Account geknackt wurde. Kann aber gut sein, das er das gleiche Passwort hatte. War ein alter Account der sonst nicht genutzt wurde.

    Wenn du Glück hast, waren es nur ein paar Sextaner, die sich als Script-Kiddies einen Schabernack erlaubt haben.

    Aber ohne dir zu nahe treten zu wollen: Du hast ein grundsätzliches Problem mit dem verantwortungsvollen Umgang mit deinen sicherheitsempfindlichen Daten. Wenn nämlich entsprechend starke Passwörter vergeben werden, ist ein Account nicht ohne unverhältnismäßigen Aufwand zu knacken.

    PS
    Hast du im Zuge der Neuinstallation daran gedacht, auch alle Wechselmedien (USB-Sticks, Speicherkarten etc.) ebenfalls zu formatieren? Eine Infektion beschränkt sich nämlich in den seltensten Fällen auschließlich auf den Rechner.

    gruß
    docc

  • Hallo, habe zu diesem Thread eine passende frage:

    Wenn ich also das master pw eingebe, ist die DB immer noch verschlüsselt und niemand kommt an meine passwörter ran? Aber das master-password muss ja jetzt auch bereits irgendwo abgespeichert sein,.. denn firefox merkt es sich ja? Also könnte man das stehlen, damit die sqlite datei entschlüsseln und hat dann die pw's ?

    Funktioniert thunderbird genauso wie firefox?

    Wäre es sicherer einen portable firefox zu benutzten damit die passwörter nicht im standart %appdata% ordner liegen?

    Wäre keepass mit keefox sicherer?

    Ich denke es gibt auch keine richtige lösung um die sqlite datei auf einem usb stick zu encrypten und beim login auf einer seite kurz zu decrypten, auslesen, encrypten ?

    danke

  • * Master-PW einmal pro Firefox-Session!
    * DB ist dennoch verschlüsselt
    * Passworte sind an das Profil gebunden
    * Nicht sicherer, eher das Gegenteil
    * die Passworte stehen nicht in einer sqlite!

  • und welche verschlüsselung wird mit dem master pw benutzt?

    wie kann es funktionieren, dass ich das master pw nur einmal eingebe, es aber die ganze zeit über gespeichert wird und dabei nicht ausgelesen werden kann?