|
Zicore47 (OP)
|
 |
December 05, 2013, 05:43:12 PM
Last edit: December 06, 2013, 12:26:10 PM by Zicore47 |
|
Hallo Zusammen, bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt. Aussehen der Seite am 2013-12-05:  . Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht. Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0VfxxhqHinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen. Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist. |
Cointracking und Steuertool - Cointracking and tax reports: Cointracking.infoSpare 10% mit diesem link. Save 10% on purchases with this link. |
|
|
|
|
|
Be very wary of relying on JavaScript for security on crypto sites. The site can change the JavaScript at any time unless you take unusual precautions, and browsers are not generally known for their airtight security.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
phantastisch
Legendary
 Offline
Activity: 2270
Merit: 1363
|
|
December 05, 2013, 06:16:54 PM |
|
Hallo Zusammen, bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt. Aussehen der Seite am 2013-12-05: http://imgur.com/kfwN0KC.pngVermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht. Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0VfxxhqHinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen. Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist. Vielen Dank , habe die Sperrung schon eingeleitet. Edit : Ist jetzt gesperrt. |
|
|
|
hankyman
Newbie
Offline
Activity: 19
Merit: 0
|
|
December 05, 2013, 07:25:49 PM |
|
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
|
|
|
|
|
Cruel6
Member
Offline
Activity: 99
Merit: 10
WTB WoW unmerged EU Account with Gladiator.. PN me
|
|
December 05, 2013, 07:54:59 PM |
|
Linux ftw *hust*
|
BTC: 1FUCKedeTa71svzx5YQNNYUjduE2fEjnKW
|
|
|
|
Ricke
|
|
December 05, 2013, 11:18:05 PM |
|
Ich surfe nie mit einem System, wo man eine wesentliche Anzahl von BTC klauen könnte.
Es mag zwar gut gemeint sein, wenn man andere vor einer bestimmten Seite warnt, aber bekämpft man damit nicht nur die Symptome? Es könnte irgendwann genauso bitcointalk.org, heise.de, spiegel.de oder wetter.com treffen, es muss nichmals böse Absicht des Betreibers dahinterstehen. Es reicht, wenn eine Sicherheitslücke ausgenutzt wird, die es den Angreifern erlaubt, über eine fremde Website per Exploit weitere Bitcoin-Klausoftware auszuliefern.
Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
|
Verkaufe Bitcoin gegen Bargeld (Wuppertal und Düsseldorf, Handel im öffenlichen Raum, z.B. bei McDonalds), privat zu privat und völlig anonym. Konditionen im Thread; Individualabsprachen möglich
(Ich mache mit Erstkontakten nur kleinere Handel, weiteres ja nach Kurs, Vertrauen, mein Bedarf, Ermessen und Situation)
|
|
|
|
elitenoob
|
|
December 05, 2013, 11:37:49 PM |
|
Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben. |
|
|
|
|
Sukrim
Legendary
Offline
Activity: 2618
Merit: 1006
|
|
December 06, 2013, 12:30:22 AM |
|
|
|
|
|
|
Ricke
|
|
December 06, 2013, 12:33:01 AM |
|
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
Hoffentlich. "Idiotensicher" schon im Anfangsstadium wage ich zu bezweifeln. Das Projekt ist ein Schritt in die richtige Richtung. Ich hoffe, das es mal irgendwann so weit ist, das jeder, der sich für Bitcoin interessiert, mit nur minimalen Vorkenntnisse sich eine Wallet anlegen und sicher halten kann. |
Verkaufe Bitcoin gegen Bargeld (Wuppertal und Düsseldorf, Handel im öffenlichen Raum, z.B. bei McDonalds), privat zu privat und völlig anonym. Konditionen im Thread; Individualabsprachen möglich
(Ich mache mit Erstkontakten nur kleinere Handel, weiteres ja nach Kurs, Vertrauen, mein Bedarf, Ermessen und Situation)
|
|
|
Cruel6
Member
Offline
Activity: 99
Merit: 10
WTB WoW unmerged EU Account with Gladiator.. PN me
|
|
December 06, 2013, 07:45:53 AM |
|
werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt. Das mit den .jars hab ich überlesen, sorry  . Aber gegen die Registry Änderungen und die Taskmanager und UAC deaktivierung bist du ja als Linux User geschützt, da es die schlichtweg nicht gibt. Das Target ist allerdings mit Sicherheit immernoch Windows. Ich denke nicht, dass da irgendwelche Funktionen drin sind, die nach deinen Dateien greppen um diese zu ändern, zu ersetzen, oder zu klauen. Da die Wallet.dat in Linux ganz wo anders liegt, wird er diese somit nicht finden. - Aber ich kenn mich mit Java jetzt auch nicht ausreichend aus, dass ich letzteres belegen könnte. Mit Linux wirst du dennoch auf der sichereren Seite sein, auch wenn die .jar geöffnet und der Inhalt ausgeführt werden kann. |
BTC: 1FUCKedeTa71svzx5YQNNYUjduE2fEjnKW
|
|
|
OnkelPaul
Legendary
Offline
Activity: 1039
Merit: 1003
|
|
December 06, 2013, 07:57:00 AM |
|
Bezüglich der Sicherheit von Linux "durch Unwissenheit" wäre ich mir nicht so sicher. Da es genügend lohnende Ziele (Linux-Server) gibt, gibt es auch genügend Linux-Know-How in der kriminellen Szene. Wenn die davon ausgehen, dass ein guter Teil der Bitcoin-Nutzer Linux benutzt, wird es sicher auch Exploits für Linux-Desktops geben, unter Umständen auch Multi-Platform-Exploits (das mit Java ist schon mal ein Ansatz in die Richtung, es ist überhaupt kein Problem, da eine kleine Fallunterscheidung zum Finden der Bitcoin-Wallet zu machen).
Ich persönlich habe nicht genug BTC, um einen Riesen-Aufwand zum Sichern meiner Wallet zu treiben (Wallet-Passphrase muss reichen). Aber wenn da mehr als 1-2 BTC drauf wären, würde ich mir schon ein paar Gedanken machen, wie ich das absichern kann.
Onkel Paul
|
|
|
|
|
Zicore47 (OP)
|
|
December 06, 2013, 08:01:25 AM |
|
Das Applet was versucht wird auszuführen, führt die registry Einträge aus und lädt eine zweite .jar herunter um diese dann auszuführen.
Zudem wird noch PEExplorerR6.exe versucht herunterzuladen und versucht zu starten.
Wie bereits gesagt die zweite .jar war nicht mehr auf dem Hoster zu finden und konnte daher nicht weiter analysieren.
|
Cointracking und Steuertool - Cointracking and tax reports: Cointracking.infoSpare 10% mit diesem link. Save 10% on purchases with this link. |
|
|
LiteCoinGuy
Legendary
Offline
Activity: 1148
Merit: 1010
In Satoshi I Trust
|
|
December 06, 2013, 11:34:26 AM |
|
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
so siehts aus...oder eben linux  |
|
|
|
|
Zicore47 (OP)
|
|
December 06, 2013, 12:21:46 PM |
|
Es wird ganz schön Aufwand für die Seite betrieben: https://www.facebook.com/pages/Bitcoin-Win-Bitcoin-Easily-at-wwwbtc-333de/575340985869049 über 10k likes vermutlich gekauft. Ist es möglich den echten Domainnamen hier im Thread so einzufügen, dass nur Suchmaschinen ihn finden? Dann werden Leute die danach googlen direkt gewarnt. Nochmal die Warnung: Nicht auf die bei Facebook verlinkte Seite klicken  |
Cointracking und Steuertool - Cointracking and tax reports: Cointracking.infoSpare 10% mit diesem link. Save 10% on purchases with this link. |
|
|
Evil-Knievel
Legendary
Offline
Activity: 1260
Merit: 1168
|
|
December 07, 2013, 10:45:31 AM
Last edit: April 17, 2016, 09:27:20 PM by Evil-Knievel |
|
This message was too old and has been purged
|
|
|
|
|
OnkelPaul
Legendary
Offline
Activity: 1039
Merit: 1003
|
|
December 07, 2013, 11:11:53 AM |
|
Da ist nix zu dekompilieren - die Datei ist nicht mehr da (vermutlich vom Hoster entfernt), du bekommst unter der Adresse nur eine Fehlerseite.
Onkel Paul
|
|
|
|
|
