Bitcoin Forum
December 13, 2024, 04:10:56 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Warnung vor btc_333_de Verdacht auf Malware (Java Applet Malware Downloader)  (Read 1271 times)
Zicore47 (OP)
Sr. Member
****
Offline Offline

Activity: 473
Merit: 263


View Profile
December 05, 2013, 05:43:12 PM
Last edit: December 06, 2013, 12:26:10 PM by Zicore47
 #1

Hallo Zusammen,

bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Aussehen der Seite am 2013-12-05:
.

Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.

Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq

Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.

Cointracking und Steuertool - Cointracking and tax reports: Cointracking.info
Spare 10% mit diesem link. Save 10% on purchases with this link.
phantastisch
Legendary
*
Offline Offline

Activity: 2271
Merit: 1363



View Profile
December 05, 2013, 06:16:54 PM
 #2

Hallo Zusammen,

bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Aussehen der Seite am 2013-12-05:
http://imgur.com/kfwN0KC.png

Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.

Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq

Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.

Vielen Dank , habe die Sperrung schon eingeleitet.

Edit : Ist jetzt gesperrt.

HOWEYCOINS   ▮      Excitement and         ⭐  ● TWITTER  ● FACEBOOK   ⭐       
  ▮    guaranteed returns                 ●TELEGRAM                         
  ▮  of the travel industry
    ⭐  ●Ann Thread ●Instagram   ⭐ 
✅    U.S.Sec    ➡️
✅  approved!  ➡️
hankyman
Newbie
*
Offline Offline

Activity: 19
Merit: 0


View Profile
December 05, 2013, 07:25:49 PM
 #3

Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
Cruel6
Member
**
Offline Offline

Activity: 99
Merit: 10


WTB WoW unmerged EU Account with Gladiator.. PN me


View Profile
December 05, 2013, 07:54:59 PM
 #4

Linux ftw *hust*

BTC: 1FUCKedeTa71svzx5YQNNYUjduE2fEjnKW
Ricke
Full Member
***
Offline Offline

Activity: 164
Merit: 100


View Profile
December 05, 2013, 11:18:05 PM
 #5

Ich surfe nie mit einem System, wo man eine wesentliche Anzahl von BTC klauen könnte.

Es mag zwar gut gemeint sein, wenn man andere vor einer bestimmten Seite warnt, aber bekämpft man damit nicht nur die Symptome? Es könnte irgendwann genauso bitcointalk.org, heise.de, spiegel.de oder wetter.com treffen, es muss nichmals böse Absicht des Betreibers dahinterstehen. Es reicht, wenn eine Sicherheitslücke ausgenutzt wird, die es den Angreifern erlaubt, über eine fremde Website per Exploit weitere Bitcoin-Klausoftware auszuliefern.

Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.

Verkaufe Bitcoin gegen Bargeld (Wuppertal und Düsseldorf, Handel im öffenlichen Raum, z.B. bei McDonalds), privat zu privat und völlig anonym. Konditionen im Thread; Individualabsprachen möglich
(Ich mache mit Erstkontakten nur kleinere Handel, weiteres ja nach Kurs, Vertrauen, mein Bedarf, Ermessen und Situation)
elitenoob
Hero Member
*****
Offline Offline

Activity: 728
Merit: 500



View Profile
December 05, 2013, 11:37:49 PM
 #6


Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
Sukrim
Legendary
*
Offline Offline

Activity: 2618
Merit: 1007


View Profile
December 06, 2013, 12:30:22 AM
 #7

Linux ftw *hust*
Java...

https://www.coinlend.org <-- automated lending at various exchanges.
https://www.bitfinex.com <-- Trade BTC for other currencies and vice versa.
Ricke
Full Member
***
Offline Offline

Activity: 164
Merit: 100


View Profile
December 06, 2013, 12:33:01 AM
 #8

Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
Hoffentlich. "Idiotensicher" schon im Anfangsstadium wage ich zu bezweifeln.

Das Projekt ist ein Schritt in die richtige Richtung. Ich hoffe, das es mal irgendwann so weit ist, das jeder, der sich für Bitcoin interessiert, mit nur minimalen Vorkenntnisse sich eine Wallet anlegen und sicher halten kann.

Verkaufe Bitcoin gegen Bargeld (Wuppertal und Düsseldorf, Handel im öffenlichen Raum, z.B. bei McDonalds), privat zu privat und völlig anonym. Konditionen im Thread; Individualabsprachen möglich
(Ich mache mit Erstkontakten nur kleinere Handel, weiteres ja nach Kurs, Vertrauen, mein Bedarf, Ermessen und Situation)
Cruel6
Member
**
Offline Offline

Activity: 99
Merit: 10


WTB WoW unmerged EU Account with Gladiator.. PN me


View Profile
December 06, 2013, 07:45:53 AM
 #9


Quote
werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Das mit den .jars hab ich überlesen, sorry  Grin. Aber gegen die Registry Änderungen und die Taskmanager und UAC deaktivierung bist du ja als Linux User geschützt, da es die schlichtweg nicht gibt. Das Target ist allerdings mit Sicherheit immernoch Windows. Ich denke nicht, dass da irgendwelche Funktionen drin sind, die nach deinen Dateien greppen um diese zu ändern, zu ersetzen, oder zu klauen. Da die Wallet.dat in Linux ganz wo anders liegt, wird er diese somit nicht finden. - Aber ich kenn mich mit Java jetzt auch nicht ausreichend aus, dass ich letzteres belegen könnte. Mit Linux wirst du dennoch auf der sichereren Seite sein, auch wenn die .jar geöffnet und der Inhalt ausgeführt werden kann.

BTC: 1FUCKedeTa71svzx5YQNNYUjduE2fEjnKW
OnkelPaul
Legendary
*
Offline Offline

Activity: 1039
Merit: 1005



View Profile
December 06, 2013, 07:57:00 AM
 #10

Bezüglich der Sicherheit von Linux "durch Unwissenheit" wäre ich mir nicht so sicher. Da es genügend lohnende Ziele (Linux-Server) gibt, gibt es auch genügend Linux-Know-How in der kriminellen Szene. Wenn die davon ausgehen, dass ein guter Teil der Bitcoin-Nutzer Linux benutzt, wird es sicher auch Exploits für Linux-Desktops geben, unter Umständen auch Multi-Platform-Exploits (das mit Java ist schon mal ein Ansatz in die Richtung, es ist überhaupt kein Problem, da eine kleine Fallunterscheidung zum Finden der Bitcoin-Wallet zu machen).
Ich persönlich habe nicht genug BTC, um einen Riesen-Aufwand zum Sichern meiner Wallet zu treiben (Wallet-Passphrase muss reichen). Aber wenn da mehr als 1-2 BTC drauf wären, würde ich mir schon ein paar Gedanken machen, wie ich das absichern kann.

Onkel Paul

Zicore47 (OP)
Sr. Member
****
Offline Offline

Activity: 473
Merit: 263


View Profile
December 06, 2013, 08:01:25 AM
 #11

Das Applet was versucht wird auszuführen, führt die registry Einträge aus und lädt eine zweite .jar herunter um diese dann auszuführen.
Zudem wird noch PEExplorerR6.exe versucht herunterzuladen und versucht zu starten.

Wie bereits gesagt die zweite .jar war nicht mehr auf dem Hoster zu finden und konnte daher nicht weiter analysieren.

Cointracking und Steuertool - Cointracking and tax reports: Cointracking.info
Spare 10% mit diesem link. Save 10% on purchases with this link.
LiteCoinGuy
Legendary
*
Offline Offline

Activity: 1148
Merit: 1014


In Satoshi I Trust


View Profile WWW
December 06, 2013, 11:34:26 AM
 #12

Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.

so siehts aus...oder eben linux Smiley

Zicore47 (OP)
Sr. Member
****
Offline Offline

Activity: 473
Merit: 263


View Profile
December 06, 2013, 12:21:46 PM
 #13

Es wird ganz schön Aufwand für die Seite betrieben: https://www.facebook.com/pages/Bitcoin-Win-Bitcoin-Easily-at-wwwbtc-333de/575340985869049 über 10k likes vermutlich gekauft.
Ist es möglich den echten Domainnamen hier im Thread so einzufügen, dass nur Suchmaschinen ihn finden?
Dann werden Leute die danach googlen direkt gewarnt.

Nochmal die Warnung: Nicht auf die bei Facebook verlinkte Seite klicken  Wink

Cointracking und Steuertool - Cointracking and tax reports: Cointracking.info
Spare 10% mit diesem link. Save 10% on purchases with this link.
Evil-Knievel
Legendary
*
Offline Offline

Activity: 1260
Merit: 1168



View Profile
December 07, 2013, 10:45:31 AM
Last edit: April 17, 2016, 09:27:20 PM by Evil-Knievel
 #14

This message was too old and has been purged
OnkelPaul
Legendary
*
Offline Offline

Activity: 1039
Merit: 1005



View Profile
December 07, 2013, 11:11:53 AM
 #15

Da ist nix zu dekompilieren - die Datei ist nicht mehr da (vermutlich vom Hoster entfernt), du bekommst unter der Adresse nur eine Fehlerseite.

Onkel Paul

Pages: [1]
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!