G Data 2012 vs. Onlinebanking-Malware, kleiner Test des Browserplugins "Bankguard" Einstellungen

[markus17]

Da sich ja schon ein paar gefragt haben, wie wohl das Bankingplugin von G Data arbeitet, habe ich das heute mal ausprobiert. Testkonfiguration:
- XP SP3 (virtuell)
- IE8 / Firefox (noch V4)
- G Data 2012 mit aktuellstem Softwarestand und Updatestand vom 29.10.2011 (also alt)
- und drei Samples:
Sample 1: zeusv2 - http://www.virustotal.com/file-scan/report...15c6-1322078226 - wurde vom AV per Signatur gelöscht
Sample 2: zeusv1 - http://www.virustotal.com/file-scan/report...e342-1322078233 - wurde vom AV per Verhaltensblocker gelöscht
Sample 3: laut mdl "trojan banker" ... was der auch immer genau macht http://www.virustotal.com/file-scan/report...f6ed-1322078240 - wurde vom AV per Signatur gelöscht

Für meinen Test habe ich den Wächter, den Webschutz, den BB und die Firewall deaktiviert. Jedes Sample wurde einzeln in einer frischen VM gestartet mit folgendem Ergebnis...

Sample 1
Die Malware wurde ausgeführt und hatte kurz Zeit sich auszubreiten. Ich habe dann den Firefox gestartet und bin mal auf www.volksbank.at (btw: Bin kein VB-Kunde ) und dann kam bereits der erste Warnhinweis:

In Ihrem Browser wurde ein unbekannter Schädling
(Fingerprint: [9c17a0bd])
entdeckt.

Die Schadfunktionen wurden deaktiviert.

Trotzdem empfehlen wir Ihnen dringend, bis zur dauerhaften Entfernung des Schädlings keine Passwörter mehr im Browser einzugeben und insbesondere auf empfindliche Vorgänge, wie z.B. Online-Banking, zu verzichten.

Zur vollständigen Behebung des Sicherheits-Problems empfehlen wir, den Schädling mit der "G Data BootCD" zu entfernen. Sollte der Schädling wider Erwarten mit der BootCD nicht entfernt werden können: G Data arbeitet ständig mit Hochdruck an der Erkennung und Entfernung neuester Computer-Schädlinge und wird voraussichtlich innerhalb kürzester Zeit ein entsprechendes Update bereitstellen können.

Für weitere Informationen steht Ihnen der G Data Support zur Verfügung.

Ich hab den Browser dann mal zwischendurch geschlossen und neu geöffnet. Dieses mal kam dann folgende Meldung:

In Ihrem Browser wurde der Schädling
[ZeuS]
(Fingerprint: [9c17a0bd])
entdeckt.

Die Schadfunktionen wurden deaktiviert und der Schädling entfernt.

Um den Entfernungsprozess vollständig abzuschließen, ist ein Neustart des Rechners zwingend erforderlich!

Bitte starten Sie Ihren Rechner jetzt neu!

Ich habe wie aufgefordert die VM neu gestartet und nach kurzer Wartezeit wieder den Browser (IE und FF) geöffnet. Dieses mal kam keine Meldung mehr vom AV. Ob man beim Onlinebanking jetzt sicher ist, kann ich nicht sagen, denn so genau habe ich die VM nicht analysiert.

Sample 2:
Malware wurde ausgeführt -> Nach dem Start von Firefox und der Eingabe von volksbank.at kam wieder wie bei Sample 1 eine Meldung:
http://666kb.com/i/byx8insiun58fnks7.png (diesmal ein Screenshot)
Beim zweiten Start vom Browser kam wiederum wie bei Sample 1 die Meldung mit der Bitte um Neustart (nur ohne [zeus]). Nach einem Neustart war Ruhe und G Data hat nichts mehr gemeldet.

Sample 3
Nach einem Doppelklick auf das Sample wurde als erstes eine enable.exe entpackt... danach passierte nichts, also habe ich die mal ausgeführt. Es tauchten daraufhin eine start und eine wab.exe im Verzeichnis aus. Es wurde wieder still in der VM, also habe ich mal ein paar Bankenseiten im Browser (IE/FF) geöffnet, aber es kam keine Meldung von G Data. Es lief auch laut Windows-Taskmanager kein verdächtiger Prozess im Hintergrund. Daraufhin habe ich die VM neugestartet und einen weiteren Versuch gewagt. Es wurde wieder nichts gemeldet, daher gehe ich davon aus, dass die Malware entweder nicht funktioniert hat oder nicht geblockt wurde. Als dritte Möglichkeit bleibt noch, dass es sich um keinen Onlinebanking-Trojaner handelt.

Allgemeine Info:
- Es hat keinen Unterschied gemacht, ob ich nach dem Ausführen der Samples einen Neustart gemacht habe oder nicht.
- Nach der Bitte von G Data um einen Neustart kam weder im IE noch im Firefox eine Meldung, wenn ich diverse Seiten von Banken geöffnet habe.
- Die Funde vom Bankingplugin scheinen nicht im Log von G Data auf. (da könnte man etwas dagegen machen )

Der Beitrag wurde von markus17 bearbeitet: 23.11.2011, 22:32