Windows-Schädling spioniert Online-Banking aus

denn dort kann er sich so richtig austoben. IT-Entscheidern sei dank. Alleine dass Windows zb bei der Polizei und der Justiz in Österreich verwendet wird, zeigt die Kompetenz gewisser Leute.

TEIL 1: Dieses Rootkit bzw. von chinesischen Hackern umgeschriebenes Subvirt infiziert fast jeden Windows Rechner.

Egal ob man eine aktuelle Internet Security hat, regelmässig Updates einspielt, keine illegalen Sachen herunterlädt, ....... oder eben Windows 7 hat.

Da genügt ein Klick auf einen Link, auf der Website ist dann ein manipulierter Werbebanner, flash oder java exploit etc..... und man hat es auf den Rechner.

Die Infektion wird seit 2006 von keinem AV Programm verhindert, weil es derzeit einfach keine aktive Abwehr dagegen gibt.

Einzig Kaspersky & Trend Micro IS 2010/2011 melden beschädigte Datenbanken, wenn der PC/Laptop offline ist.

Viele surfen Monate lang mit diesem Schädling auf dem Laptop oder PC, bis sie es bemerken.

Dass sie die Polizei vor Viren schuetzt/Viren entfernt, oder dass die oesterreichische Justiz gegen chinesische Hacker vorgeht & ihnen ihr Schaden ersetzt wird?
Schuetzen muessen sie sich schon selbst. Noetigenfalls eben kein Windows verwenden.

welche Homepage es war, kenne die Person selber gut, die die österr. Homepage registriert hat. (wir waren früher befreundet.....)

Und dass diese Person die Homepage wissentlich für den Hackerangriff zur Verfügung gestellt hat (und teilweise auch warum.... und die daraus resultierenden Folgen) ist mir auch bekannt.

Mein Vorwurf ansich bei der ganzen Thematik ist, dass diese Bedrohung (das virtuelle HackerOS) seit 2006 existiert und bis heute nichts wirklich effektiv dagegen unternommen wird, weder von den AV Herstellern, noch hat MS etwas zur aktiven Abwehr bereitgestellt.

Wenn man eine Anzeige macht, wartet man 6 Monate, obwohl wir viele Beweise & Indizien zusammengetragen haben. Die 2000 € Hardwareschaden sind dagegen eine Kleinigkeit.

Sogar fast alle Stand-PCs haben WLAN, bei den meisten lässt es sich nichtmal im BIOS deaktivieren, was eben bei Subvirt fatal ist.. Und sobald das BIOS vom Hacker geflasht wurde können den Laptop wegwerfen, weil ein erneutes Flashen mit dem Hersteller BIOS unterbunden wird.

Und dass sind nicht irgendwelche Theorien, bei uns zuhause ist dass so passiert.

Habe einen Link angeklickt, von einer österreichischen Homepage, die von einer österreichischen Person, die mir sehr gut bekannt ist, registriert wurde. Und schon war der Rechner infiziert, hab zwar alles gleich geschlossen, weil mir diese Website mit nur einem Werbebanner & Animation usw.. suspekt vorkam, jedoch lud sich im Hintergrund schon Subvirt herunter während die AV aktiv scannte.

gekommen auf die Infektion, weil zum Glück das Nachbar WLAN kurz ausgefallen ist und so beschädigte Datenbanken von Kaspersky gemeldet wurden, haben dann div. Rootkitscanner drüber laufen lassen usw.... (u.a. der Inhalt der Infektions-Homepage war weg bzw.... sie war nicht mehr erreichbar)

Haben einen EDV Spezialisten vorbeikommen lassen, um die PCs zu analysieren und um die Infektion zu bestätigen, damit wir bei der Polizei etwas in der Hand haben, dies hat uns aber nichts genützt, weil es besteht in Österreich eine Wartezeit von 6 Monaten bei einer Anzeigen wegen eines Hackerangriffes!!!

Da nützt es auch nichts, wenn man Beweisen konnte, dass diese Person die Homepage wissentlich zur Verfügung gestellt hat und daran beteiligt war.

d.h.: wurde von uns über 3 Monate nicht mehr ans Internet angeschlossen.

Dann kam ca. 1 Monat nach der Infektion ein neuer Laptop ins Haus (mit Windows Vista), garantiert sauber, wir haben auch gleichzeitig einen neuen ADSL WLAN Router von der TA bekommen, dann haben wir nur Office 2010 und den ADSL Router installiert übers eingeschränkte Benutzerkonto mit Passworteingabe. Auch infiziert, es sind nämlich keine laufenden Admin Rechte nötig.

Am besten ist es, wenn man 1x in der Woche auch einen Rootkitscanner laufen lässt.

Unter www.antirootkit.com gratis zum Download.

Gmer, Trend Micro Haousecall 7.1, Radix Anti Rootkit usw.... (diese können zwar vom Hacker auch manipuliert werden, aber was besseres gibt es derzeit eben nicht)

subvirt = rootkit für VIRTUELLE MASCHINEN

Ihr Laptop ist keine VM und kann somit von keiner Variante des subvirt betroffen sein.

Vorallem die Spekulation dass es sich um einen chinesischen Virus handelt der quasi alle PCs infiziert hat halte ich für dubios.
Gibt es dazu irgendwelche Quellen ?

es geht um die Java-VM, das ist die Schnittstelle, auf der der plattformunabhängige Javacode aufsetzt, also bloß um "Java selbst", um es vereinfacht auszudrücken.

Wenn die Java-VM "verseucht" ist, kann die Schadsoftware sämtlichen Javacode kontrollieren, also auch z.B. die Passworteingabe an vielen Webseiten.

Das hat nichts mit einer Virtualisierung eines Betriebssystems mit Virtualbox, VMWare, Windows VirtualPC, KVM, QEMU usw. zu tun!

es wurde aber dann von chinesischen Hackern umgeschrieben.

Der Grund warum ich meinen Fall so ausführlich hier beschreibe, ist gerade, weil es nur sehr wenige offene Informationen im Internet über diese VMBRs gibt.

Wir selbst haben einen EDV Experten dafür bezahlt, dass nachzuweisen, uns zu erklären was da passiert und welche weiteren Manipulation er vorgenommen hat.

Hier wird das Problem genauer erklärt (Grafik Seite 5):

http://www.eecs.umich.edu/~pmchen/p... king06.pdf

oder:

http://citeseer.ist.psu.edu/viewdoc/s... 1.1.77.957

hab das mal von 2011 gegoogelt:
http://www.ceilers-news.de/serendipi... erung.html

http://research.microsoft.com/apps/pubs... x?id=67911

ich denke, sie haben da was missverstanden. subvirt ist nur ein hypothetischer prototyp, der etwa 2006 von einer uni vorgesetllt wurde, um zukünftige bedrohungen zu skizzieren. meines wissens nach gibt es glücklicherweise bis jetzt keine reale implementierung dazu. subvirt wäre durch die standard-rootkit/viren scanner nicht zu entdecken.

Experte bestätigt der unsere PCs analysierte und uns die Situation erklärt hat. (habe es hier natürlich sehr verkürzt dargestellt)

Missverstanden habe ich da nichts, bei uns ist es ja so abgelaufen, wie oben geschildert, diese Angriffsmethode ist derzeit zwar selten (im Vergleich zu Viren, Trojanern, usw....), aber für gezielte Angriffe wird dieses System gerne verwendet.

Denn sobald der Hacker auch das BIOS des PCs manipuliert/geflasht hat, ist eine Erkennung umso schwieriger (für den Laien).

Genauere Details aus der Praxis dieses Programms sind auch heute noch nur in der Hackerszene selbst zu bekommen.

Hier noch ein paar öffentlichen Links zur Bedrohung Subvirt:

http://www.eecs.umich.edu/~pmchen/p... king06.pdf

den Trojaner Java.Agent.e habe ich in allen meinen Mails von der Östereichischen Botschaft in Bejing gefunden mit welcher ich vor einiger Zeit einigen E-Mail-Verkehr hatte; also nicht nur Brasilien ist betroffen und auch sensible Bereiche von denen man meinen sollte, dass sie ausreichend abgesichert sind, sind davon betroffen!

In brasilianischen Firmen ist es sowieso an der Tagesordnung, dass deren Rechner stark verseucht sind (selbst mehrfach gesehen!).

Dort herrscht eher die Meinung vor, dass ein Virenscanner ausreicht und (Security-)Updates unnötig sind.
Die Folgen sieht man dann...

Jetzt gibt's schon einen Artikel, sofern es mal einen relevanten Schädling für Win gibt, wie sich die Zeiten ändern!...

Ganz ehrlich: Wer hatte unter Win7 schon Probleme mit Viren etc.?

MS hat da wirklich gute Arbeit geleistet!

englisches PDF zum Thema Subvirt:
http://www.eecs.umich.edu/~pmchen/p... king06.pdf

kurzgefasstes deutsches PDF:
www.wireless-forum.ch/forum/dow... hp?id=1908

BUCH:
http://www.fruehwarnung.at/home.html

oder ein Asschnitt zum Thema Subvirt / Rootkits aus Wikipedia:

Auf der Konferenz Black Hat im Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Reinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er das ACPI („Advanced Configuration and Power Interface“) manipuliert oder sich im PC-BIOS festsetzt.

Keine Theorie, mir ist dass passiert, es war zwar ein gezielter Angriff und ist deswegen auch eher selten in Verwendung, aber geben tut es diese Bedrohung schon seit 2006.
mfg

Für Spezialisten zum Austesten: Die umfangreiche "Bürgerkartensoftware" von ASign, die E-Banking mehr schlecht als recht möglich macht, stellt ein erhebliches Sicherheitsrisiko für jeden Windows-Rechner dar.

... dass die Bürgerkarte samt den dazu gehörigen Lesern praktisch uneingeschränkt auch unter Linux funktioniert.

Vermutlich braucht man da die so genannte "Bürgerkartensoftware" nicht... Das ist ja so wie die ach so tolle Backup- und sonstige SW auf externen Festplatten (nur für Windows, eh klar), oder die ach so tollen Installations-CDs diverser Internetbetreiber.

Bei Linux machst du damit eines: Mistkübel auf, CD rein, Mistkübel zu bzw. Festplatte neu partitionieren und formatieren, was auf's selbe rauskommt.

Komischerweise funktioniert trotzdem alles...

(Ist natürlich nicht komisch, sondern logisch.)

gibts dazu mehr?

Ich verwende die Bürgerkarte zum Abfrage der SV Daten meiner Klienten. Inwieweit gefärdet die ASign Software die Sicherheit?