Da sich ja schon ein paar gefragt haben, wie wohl das Bankingplugin von G Data arbeitet, habe ich das heute mal ausprobiert. Testkonfiguration:
- XP SP3 (virtuell)
- IE8 / Firefox (noch V4)
- G Data 2012 mit aktuellstem Softwarestand und Updatestand vom 29.10.2011 (also alt)
- und drei Samples:
Sample 1: zeusv2 - http://www.virustotal.com/file-scan/report.html?id=cd70f9a656391a8334bbb68c2e774900267025330fd7b66d94e2902a061715c6-1322078226 - wurde vom AV per Signatur gelöscht
Sample 2: zeusv1 - http://www.virustotal.com/file-scan/report.html?id=3993df2cd3381b1611fe30a68115e92704f29e4ed4f811b21a0d2b67e86ee342-1322078233 - wurde vom AV per Verhaltensblocker gelöscht
Sample 3: laut mdl "trojan banker" ... was der auch immer genau macht http://www.virustotal.com/file-scan/report.html?id=9107694b23523de355d480aad73ae0b0e68204a05207497cef7f83b77d4df6ed-1322078240 - wurde vom AV per Signatur gelöscht
Für meinen Test habe ich den Wächter, den Webschutz, den BB und die Firewall deaktiviert. Jedes Sample wurde einzeln in einer frischen VM gestartet mit folgendem Ergebnis...
Sample 1
Die Malware wurde ausgeführt und hatte kurz Zeit sich auszubreiten. Ich habe dann den Firefox gestartet und bin mal auf www.volksbank.at (btw: Bin kein VB-Kunde ) und dann kam bereits der erste Warnhinweis:
(Fingerprint: [9c17a0bd])
entdeckt.
Die Schadfunktionen wurden deaktiviert.
Trotzdem empfehlen wir Ihnen dringend, bis zur dauerhaften Entfernung des Schädlings keine Passwörter mehr im Browser einzugeben und insbesondere auf empfindliche Vorgänge, wie z.B. Online-Banking, zu verzichten.
Zur vollständigen Behebung des Sicherheits-Problems empfehlen wir, den Schädling mit der "G Data BootCD" zu entfernen. Sollte der Schädling wider Erwarten mit der BootCD nicht entfernt werden können: G Data arbeitet ständig mit Hochdruck an der Erkennung und Entfernung neuester Computer-Schädlinge und wird voraussichtlich innerhalb kürzester Zeit ein entsprechendes Update bereitstellen können.
Für weitere Informationen steht Ihnen der G Data Support zur Verfügung.
Ich hab den Browser dann mal zwischendurch geschlossen und neu geöffnet. Dieses mal kam dann folgende Meldung:
[ZeuS]
(Fingerprint: [9c17a0bd])
entdeckt.
Die Schadfunktionen wurden deaktiviert und der Schädling entfernt.
Um den Entfernungsprozess vollständig abzuschließen, ist ein Neustart des Rechners zwingend erforderlich!
Bitte starten Sie Ihren Rechner jetzt neu!
Ich habe wie aufgefordert die VM neu gestartet und nach kurzer Wartezeit wieder den Browser (IE und FF) geöffnet. Dieses mal kam keine Meldung mehr vom AV. Ob man beim Onlinebanking jetzt sicher ist, kann ich nicht sagen, denn so genau habe ich die VM nicht analysiert.
Sample 2:
Malware wurde ausgeführt -> Nach dem Start von Firefox und der Eingabe von volksbank.at kam wieder wie bei Sample 1 eine Meldung:
http://666kb.com/i/byx8insiun58fnks7.png (diesmal ein Screenshot)
Beim zweiten Start vom Browser kam wiederum wie bei Sample 1 die Meldung mit der Bitte um Neustart (nur ohne [zeus]). Nach einem Neustart war Ruhe und G Data hat nichts mehr gemeldet.
Sample 3
Nach einem Doppelklick auf das Sample wurde als erstes eine enable.exe entpackt... danach passierte nichts, also habe ich die mal ausgeführt. Es tauchten daraufhin eine start und eine wab.exe im Verzeichnis aus. Es wurde wieder still in der VM, also habe ich mal ein paar Bankenseiten im Browser (IE/FF) geöffnet, aber es kam keine Meldung von G Data. Es lief auch laut Windows-Taskmanager kein verdächtiger Prozess im Hintergrund. Daraufhin habe ich die VM neugestartet und einen weiteren Versuch gewagt. Es wurde wieder nichts gemeldet, daher gehe ich davon aus, dass die Malware entweder nicht funktioniert hat oder nicht geblockt wurde. Als dritte Möglichkeit bleibt noch, dass es sich um keinen Onlinebanking-Trojaner handelt.
Allgemeine Info:
- Es hat keinen Unterschied gemacht, ob ich nach dem Ausführen der Samples einen Neustart gemacht habe oder nicht.
- Nach der Bitte von G Data um einen Neustart kam weder im IE noch im Firefox eine Meldung, wenn ich diverse Seiten von Banken geöffnet habe.
- Die Funde vom Bankingplugin scheinen nicht im Log von G Data auf. (da könnte man etwas dagegen machen )
netter test, danke. wäre interessant gewesen da noch einmal tiefer im system nachzuschauen, was da wirklich abläuft. ich halte von solchen plugins generell nichts, da gibt es viel sicherere und komfortablere lösungen. egal wie gut das teil von gdata auch sein mag oder auch nicht. es suggeriert häufig narrenfreiheit. im prinzip reicht der wächter aber auch aus.
für mich sind das reinste marketing-module. du schreibst ja selbst vom wächter bzw. vb erkannt. was macht da noch den unterschied aus?
Es ist halt noch ein zusätzlicher Schutz. In der Regel decken neue Module doch immer gewisse Lücken noch besser ab (egal ob Wächter, Mailschutz, Webschutz, Verhaltensüberwachung, etc.). Erst die Kombination gewisser Module bringt den gewünschten Schutz.
Früher hat auch die reine Virensuche mit Signaturen (ohne die oben genannten Module) noch gereicht. Heute ist das leider etwas anders.
Hier etwas Aktuelles zum Thema G Data BankGuard:
http://www.gdata.de/ueber-g-data/pressecenter/pressemeldungen/pressemeldung/article/2414-g-data-bankguard-macht-online.html
warum nicht mit spyeye getestet?
denke das währe interessant da davon viele betroffen sind
@markusg
Die verwendeten Malware URLs waren tagesaktuell. Leider war kein Spyeye Trojaner dabei und die 2-3 Wochen alten Links, die ich gefunden habe, wollten irgendwie nicht. Ich werde aber noch einmal Ausschau nach einem Sample halten.
Ich war allerdings überrascht, dass zwei von drei per Signatur erkannt wurden, denn G Data wurde ~ 1 Monat lang nicht aktualisiert. Bei den Zeus Trojanern ist aber wie schon in einem anderen Thread erwähnt, der Verhaltensblocker von G Data recht gut. Der löscht sie immer sehr zuverlässig.
Sorry für den Doppelpost. Heute hat ein älterer Link von Spyeye funktioniert, wobei das Malwarefile ebenfalls wieder via Signatur erkannt wurde. Ich habe wie oben G Data so gut wie deaktiviert und das Verhalten war identisch zu den Zeus-Samples. Nach dem zweiten Start vom Browser kam eine Meldung, dass die Malware entfernt wurde, nur dass dieses mal [Spyeye] dabei stand.
Mich wundert es aber irgendwie, dass die "Malware entfernt, bitte neustarten"-Meldung immer erst bei einem zweiten Browserstart kommt.
also bei mir ist definiert, welche prozesse starten dürfen und welche verzeichnisse auf "read only" stehen.
Wenn nur der Browser starten darf - sind Keylogger funktionsunfähig. Natürlich nur, wenn nicht schon auf dem System aktiv sind.
Daneben gibt es weitere Rechtebeschränkungen, viel KeyLogger benötigen Treiber, die sie in der Sandbox nicht installieren können etc..
Für Sandboxie hat es Tzuk http://www.sandboxie.com/index.php?DetectingKeyLoggers ganz gut erklärt.
Daneben kommt es auch immer darauf an, über welchen Prozess die Daten gesendet werden sollen. Streng genommen hab ihr also beide Unrecht.
Eine gescheite HIPS/BB Lösung sollte aber in der Lage sein das laden manipulierter dlls zu erkennen. Da muss man dann den Leuten nicht noch extra ~20€ aus der Tasche ziehen.
na dann würd ich mir lieber nen cardreader mit tastatur hohlen, ich persönlich halte das für sicherer als virtuelle tastaturen. aber ich glaub das hatten wir an anderer stelle schon mal :-)
ja, da hast du recht.
:-) aber da wir grad über technische möglichkeiten reden wollte ich das zur bank gehen einfach mal außer acht lassen :p
@markus17
wo hast du denn nach spyeye gesucht auf dem spyeye tracker? da gibts eig genug urls
Ich habe nur die URLs der MDL verwendet, da man hier nach einem Malwaretyp suchen kann.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)