Bitcoin Forum

Während der Aktualisierung taucht wie aus dem Nichts eine Überweisung auf:

http://img36.imageshack.us/img36/4903/zco2.jpg

Ich hielt mein System für sicher. Gibt es zum Aufspüren auf Wallets spezialisierter Schadsoftware Tools?

Kann überhaupt jemand erklären, was da genau vorgegangen ist?

Der Vorgang soll ja vor zwei Tagen stattgefunden haben. Ich kann das nicht nachvollziehen.

Am unteren Rand des Fensters steht "Syncronisiere mit Netzwerk ..." (34 Stunden im Rückstand). Das bedeutet, die Wallet liest noch die letzten Stunden der Blockchain (Überweisungsliste) aus dem Internet. Warte ab, bis der Prozess beendet ist, dann sollte der Saldo stimmen.

Ach so, also wenn du die Überweisung nicht selbst ausgelöst hast, hast du wohl einen Keylogger oder andere Schadsoftware auf deinem Rechner.

Inzwischen ist die Aktualisierung abgeschlossen. Ich habe diese Transaktion nicht getätigt. Der Betrag ist weg, und als Endstand ist nur vorhanden, was danach als Miningertrag neu dazu kam. Hier muss irgendeine Schadsoftware meinen Key ausgelesen haben.

Installiert wurde in den letzten Wochen nichts außer bekannten Wallets. Das ist ein aktuelles W7 Ultimate mit AVG.

Ich benutze aus Sicherheitsgründen kein Windows. Aber wenn du so vorsichtig agiert hast, ist es schon merkwürdig. Fällt mir grad nichts zu ein.

Sieht tatsächlich nach Schadsoftware aus. 0.2 BTC ist zwar nicht die Welt, aber schon ziemlich ärgerlich.
AVG (oder andere AV-Software) ist für verbreitete Viren ok, aber spezialisierte Software erwischt man damit kaum - und eine Software, die dir zum Hacken deines Wallets untergeschoben wird, ist vermutlich zu speziell.
Betrachte deine Wallet als kompromittiert, richte eine neue ein, sende den aktuellen Bestand dorthin und leite die Mining-Auszahlungen dahin um (da du nicht dumm bist, vermute ich fast, dass du das schon gemacht hast...)
Der allgemeine Rat ist ja, für die Bitcoin-Wallet einen Rechner zu benutzen, mit dem man nicht ins Internet geht und der auch ansonsten gut abgeschottet ist.
Die meisten Leute haben doch noch einen alten Laptop in irgendeiner Schublade rumliegen, auf dem man ein Linux mit bitcoin-qt installieren könnte, das wäre schon eine Stufe sicherer.

Onkel Paul

Alte Kisten habe ich nicht. Hier laufen ein Hauptsystem und ein Miningsystem vernetzt. Neuinstallation des Hauptsystems wäre enorm aufwendig. Eine neue Wallet war mein erster Gedanke, aber: Solange der Schädling unbemerkt aktiv ist, dürfte die neue Wallet ebenso ausgespäht werden, sobald ich sie hier nur einrichte. D. h. dazu muss ich erst eine alte HD anklemmen, darauf ohne Netzwerkzugang ein System einrichten und die Adresse über Papier übertragen. Problem ist: die Wallet wird nur für Miningerträge genutzt, die dann zwecks Trading versendet werden. D. h. ich werde nun wohl dann ständig für jeden Transfer hoch und runter fahren müssen, bis ich beide Systeme komplett neu eingerichtet habe und dazu komme ich die nächsten zwei Monate nicht, da ich im Dauerstress stehe.

Ich gehe davon aus, der Schädling läuft hier ständig mit, denn der Vorgang fand einen Tag nach der vorletzten und vor der letzten Aktualisierung statt. Dazwischen war die Wallet nicht aktiv. Es ist zum k... (ich werde sicher auf die eine oder andere Weise selbst schuld sein).

Dann weißt Du ja, wo Du suchen musst.

Falls es sich um einen Schädling handelt, vermute ich aufgrund der Summe nichts massgeschneidertes. Damit sollte sich das Leck etwas leichter finden lassen. Vielleicht bringt die Verfolgung der Transaktionen auch noch neue Erkenntnisse?

Rechne im schlimmsten Fall damit, dass deine privaten Schlüssel samt Kennwort abhanden gekommen sind.

Davon gehe ich aus.

Inwieweit kann ich mit den Transaktionsdaten etwas anfangen?

Betrüger sind manchmal Dumm und nutzen Adressen mehrfach und im Web. Eine Suchmaschine kann diese dann finden und so Beziehung deutlich machen.

http://www.golem.de/news/pony-botnet-fahndet-nach-unverschluesselten-bitcoin-wallets-1402-104798.html

Trifft das möglicherweise auf Dich zu?
Da steht auch ein Link über den Du prüfen kannst, ob Du zu den Opfern gehörst...

Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen.

Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key?

So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden.

Status: 355 Bestätigungen
Datum: 24.02.2014 16:13
An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE
Belastung: -0.20556365 BTC
Transaktionsgebühr: -0.0002 BTC
Nettobetrag: -0.20576365 BTC
Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Ja

Aber man weiss ja nie, wozu es gut ist. Falls es dein erster und einziger Verlust ist, bleibt dir schlimmeres womöglich erspart.

Nein, deine BTC Adresse ist nur der Hash deines PK´s

So entstehen Missverständnisse. Mit der Abkürzung PK meinst du "Public Key". Normalerweise wird die Abkürzung PK aber mit "Private Key" gleichgesetzt. Korrigiert mich, wenn ich falsch liege. Auf jeden Fall bevorzuge ich ausgeschriebene Texte in diesem Fall.

 ;D Hast Recht

Leider wird nicht erklärt wie sich Zugang zum Rechner verschafft wurde. Weiß jemand welche Lücke ausgenutzt wird?

D. h. die verlinkte Seite mit der Adresse zu füttern, um zu prüfen, ob ich betroffen bin ist:

a) falsch und mein Ergebnis ebenso, weswegen ich was genau eingebe?
b) richtig, weswegen auch das Ergebnis stimmt, was aber auch nicht bei der Suche nach möglichem Befall hilft?

a) - weil die Seite einen public key und nicht eine Adresse will.

Wie man an den public key kommt? Wusste ich auch nicht auswendig, deswegen habe ich gegoogelt und das gefunden:
http://bitcoin.stackexchange.com/questions/20718/how-to-export-public-key-for-an-address-in-bitcoin-qt

Onkel Paul

Danke dafür. Immer noch negativ. Allerdings zeigt die Ergebnisseite den nicht gefundenen Public Key um 16 Stellen verkürzt an.

Nun nehme ich an, entweder ist ein Ableger dieses oder eines ähnlichen Botnetz auf meiner Kiste. Mal sehen, was ich finde :/

Ah, ich seh schon, du hattest die Adresse 1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt mehrfach benutzt? Das macht einen k Angriff in polynomialer Zeit möglich. (Dafür ist kein Trojaner notwendig, sondern die können direkt von der Blockchain abbuchen, weil dein Privkey offen liegt).

Trotzdem macht das noch nicht ganz Sinn, weil derjenige ja auch hätte alles abbuchen können. Nach meiner Info sollten da aber noch 0.03140806 BTC drauf sein!

Auch vom Aufwand her komplett sinnlos. Niemand würde sich die Mühe wegen 0,2 BTC machen!  ;D Das ist ja praktisch gar nix. Gefährdet sind eher Guthaben ab 1000BTC, alles andere ist Peanuts.

Wieso sollte der Hacker nur einen Teil abbuchen?

Irgendwie kommt mir das eher nach einem Bedienungsfehler vor! Sicher, dass es nicht andere Erklärungsmöglichkeiten gibt, irgendwelche im Hintergrund laufende Schnittstellen oder so?

Oder ein vielleicht ein Softwarefehler, weil laut Blockchain hast du ja noch Guthaben! Die Bitcoinsoftware ist ja so ein Schrott, habe mir den Sourcecode angesehen, übel, übel. Von Informatikstudenten im ersten Semester zusammengeschustert.  ;)

Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.

Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.

Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.

Kannst du das mal für einfache Leute-Sprache erklären.
Weshalb soll mein Privatkey offen liegen?

Na, das ist eigentlich ganz einfach! Ich versuch es mal laienhaft zu erklären.

Mit jeder Auszahlung lieferst du Informationen über deinen Privkey, also es wird jedesmal mathematisch "einfacher", weil du Korrelationen ermöglichst. Das soll aber nicht heißen, dass es insgesamt einfach wäre oder schnell ginge. Es ist trotzdem mathematisch nicht wirklich einfach und mit viel Rechenaufwand verbunden.

Hierbei zählen aber nur die Auszahlungen, d.h. mit jeder Auszahlung wird das Ganze unsicherer, daher verwenden manche Leute Einmaladressen für größere Beträge bzw. Adressen, auf die nur Bitcoins einfließen, aber keine ausgezahlt werde.

Für den Fall des James Bolivar spielt es eher keine Rolle, da sich das für so winzige Beträge nicht lohnen würde.

Könnte natürlich auch nur ein gewöhnlicher Trojaner sein. Eher sogar!

----------------------

Mathematisch funktioniert das Ganze nach dem Prinzip:



Quelle:

P. Nguyen and I. Shparlinski. The insecurity of the elliptic curve signature algorithm with
partially known nonces. (http://scholar.google.de/scholar_url?hl=de&q=http://www.researchgate.net/publication/2406712_The_Insecurity_of_the_Elliptic_Curve_Digital_Signature_Algorithm_with_Partially_Known_Nonces/file/d912f50d93f7ac2275.pdf&sa=X&scisig=AAGBfm07BihUg-zLnnMY8baBF1Pk7tyfIA&oi=scholarr&ei=sH0OU5uwGsPo4gTxlYDADg&ved=0CC4QgAMoADAA)

Uralter Artikel zwar, aber der Unterschied zwischen Einmaladressen und mehrfach benutzbaren dürfte klar geworden sein!?

Ok, mal eine direkte Frage: Du hattest das wallet verschlüsselt, oder? Ich meine mit einer Passphrase versehen!

Hat er nicht. Steht oben im Thread schon.

Das scheint mir auf eine Backdoor hinzuweisen:

http://img547.imageshack.us/img547/7623/kqkh.jpg

Google liefert eine Reihe von Threads aus Januar in diversen Trojaner-Boards, die dieselbe Proxy-Einstellung zum Thema haben. Selbstredend ist das nicht von mir so eingerichtet worden. Empfehle jedem, die Verbindungseinstellungen seines Systems zu kontrollieren. Möglicherweise ist da was ganz neues unterwegs, mit dem u. a. aus dem Netzwerktraffic PWs und dergleichen abgefischt werden.

Kenne mich nicht so gut mit Windows aus, aber das sieht danach aus, als hätte der Trojaner einen Proxy auf deinem eigenen Rechner installiert, über den dein Internetverkehr abgegriffen wird. Das heißt aber auch, dass der Trojaner dauerhaft als Prozess laufen muss, sonst geht dein Internet nicht mehr. Ergo muss der Trojaner in deinem Taskmanager zu sehen sein.

Der Trojaner ist in der Taskliste nicht zu sehen aber definitiv aktiv. Die Proxy-Einstellung wird nach manuellen Veränderungen erneut verbogen. Ich gehe als nächstes alle Threads in den Trojaner-Boards sorgfältig durch, bevor ich mich an die Behebung wage. Werde in jedem Fall hier berichten, was dabei heraus kam.

Lade Dir mal den Process-Explorer runter ( http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx (http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx) )

Damit findest Du schnell raus welcher Prozess auf den 127'er Ports lauscht.

Gruss Carsten.

EDIT: Prüfe auch auf jeden Fall die Add-Ons, es kann auch sein dass der Schädling sich direkt im IE als Add-On eingeklingt hat.
Hast Du evtl. auch FF, dann dort auch mal die Internet-Proxy prüfen.

Nur sichere Addons wie VLC, WMP und die MS-Klamotten. Auf Localhost lauschen einige svhost, aber keiner auf diesem Port. Gibts einen Weg, die Anzeige vom Prozess Explorer so zu erweitern, dass man nicht erst zu jedem Prozess die Eigenschaften aufrufen muss?

per rechtsklick kannst du glaube ich unwichtiges exkludieren

wie /wo überprüft man sowas denn? Einfach mal in google sein System und "proxyeinstellungen" suchen, und dann findet man ne Anleitung, oder ist das komplizierter?

Ist ganz einfach... Systemsteuerung aufrufen --> "Netzwerk und Internet" aufrufen (dieser Schritt fällt weg bei Windows XP) --> Internetoptionen anklicken --> Registerkarte "Verbindungen" --> Button "LAN-Einstellungen" anklicken und dort darf das Häkchen "Proxyserver für LAN verwenden..." nicht gesetzt sein (es sei denn, Du benutzt bewusst einen Proxyserver).

Für die Konsolenfreunde  :D

unter xp gibt es den befehl

unter win7 ist das alles unter netsh gewandert


liest beides die Registry nach konfigurierten Proxys aus, soweit ich mich erinner

Ja.  ;D

1. Klicke oben auf "Show Process of all user"
2. Unter "View" Hacken setzen bei "Show Unnamed Handles and Mappings"
3. Unter "View" ganz unten auf "Select Columns..." klicken.
4. Im neuen Fenster auf den Reiter "Process Network"
5. Dort Hacken bei "Receives", "Sends" & "Other" setzen, mit "Okay" raus.

Nun werden Dir in der Übersicht zu jedem Prozess die Anzahl der gesendeten / empfangenen Netzwerkpakete angezeigt.

Das gibt Dir schon mal einen guten Überblick welche Prozesse überhaupt in Frage kommen.

Jetzt einfach mal mit dem aktiven Proxy sufen "Heise ... Bild ... etc."

Dann solltest Du recht schnell sehen welcher Prozess Traffic hat und kannst diesen dann genauer untersuchen.


Eine Alternative wäre die Verwendung von Wireshark ... das ist aber deutlich komplizierter und setzt umfangreiche Kenntnise der TCP/IP Protokolle & Layer vorraus.


Gruss Carsten.

Du benutzt seit 5 Tagen ein offensichtlich kompromittiertes System. Man sollte eigentlich meinen, dass ein (wenn auch verkraftbarer) finanzieller Verlust ein gewisses Sicherheitsbewusstsein schafft. Stattdessen planst du sogar, es weiterhin zu benutzen.


Kompetent programmierte Malware wirst du niemals mit 100%-iger Sicherheit von deinem System entfernen können. Mach die Kiste platt! Damit sparst du definitiv Zeit und vielleicht auch den nächsten finanziellen Ausfall. Zu glauben, dass Du das Problem als Laie zuverlässig beheben kannst, ist äußerst naiv!

Würde ich auch meinen. Spricht den etwas dagegen den PC einfach neu aufzusetzen mit und dann mit einem frischen System zu beginnen?