Diebstahl aus Wallet

[JamesBolivar]

Während der Aktualisierung taucht wie aus dem Nichts eine Überweisung auf:



Ich hielt mein System für sicher. Gibt es zum Aufspüren auf Wallets spezialisierter Schadsoftware Tools?

Kann überhaupt jemand erklären, was da genau vorgegangen ist?

Der Vorgang soll ja vor zwei Tagen stattgefunden haben. Ich kann das nicht nachvollziehen.

[kneim]

Am unteren Rand des Fensters steht "Syncronisiere mit Netzwerk ..." (34 Stunden im Rückstand). Das bedeutet, die Wallet liest noch die letzten Stunden der Blockchain (Überweisungsliste) aus dem Internet. Warte ab, bis der Prozess beendet ist, dann sollte der Saldo stimmen.

[kneim]

Ach so, also wenn du die Überweisung nicht selbst ausgelöst hast, hast du wohl einen Keylogger oder andere Schadsoftware auf deinem Rechner.

[JamesBolivar]

Inzwischen ist die Aktualisierung abgeschlossen. Ich habe diese Transaktion nicht getätigt. Der Betrag ist weg, und als Endstand ist nur vorhanden, was danach als Miningertrag neu dazu kam. Hier muss irgendeine Schadsoftware meinen Key ausgelesen haben.

Installiert wurde in den letzten Wochen nichts außer bekannten Wallets. Das ist ein aktuelles W7 Ultimate mit AVG.

[kneim]

Inzwischen ist die Aktualisierung abgeschlossen. Ich habe diese Transaktion nicht getätigt. Der Betrag ist weg, und als Endstand ist nur vorhanden, was danach als Miningertrag neu dazu kam. Hier muss irgendeine Schadsoftware meinen Key ausgelesen haben.

Installiert wurde in den letzten Wochen nichts außer bekannten Wallets. Das ist ein aktuelles W7 Ultimate mit AVG.

Ich benutze aus Sicherheitsgründen kein Windows. Aber wenn du so vorsichtig agiert hast, ist es schon merkwürdig. Fällt mir grad nichts zu ein.

[OnkelPaul]

Sieht tatsächlich nach Schadsoftware aus. 0.2 BTC ist zwar nicht die Welt, aber schon ziemlich ärgerlich.
AVG (oder andere AV-Software) ist für verbreitete Viren ok, aber spezialisierte Software erwischt man damit kaum - und eine Software, die dir zum Hacken deines Wallets untergeschoben wird, ist vermutlich zu speziell.
Betrachte deine Wallet als kompromittiert, richte eine neue ein, sende den aktuellen Bestand dorthin und leite die Mining-Auszahlungen dahin um (da du nicht dumm bist, vermute ich fast, dass du das schon gemacht hast...)
Der allgemeine Rat ist ja, für die Bitcoin-Wallet einen Rechner zu benutzen, mit dem man nicht ins Internet geht und der auch ansonsten gut abgeschottet ist.
Die meisten Leute haben doch noch einen alten Laptop in irgendeiner Schublade rumliegen, auf dem man ein Linux mit bitcoin-qt installieren könnte, das wäre schon eine Stufe sicherer.

Onkel Paul

[JamesBolivar]

Alte Kisten habe ich nicht. Hier laufen ein Hauptsystem und ein Miningsystem vernetzt. Neuinstallation des Hauptsystems wäre enorm aufwendig. Eine neue Wallet war mein erster Gedanke, aber: Solange der Schädling unbemerkt aktiv ist, dürfte die neue Wallet ebenso ausgespäht werden, sobald ich sie hier nur einrichte. D. h. dazu muss ich erst eine alte HD anklemmen, darauf ohne Netzwerkzugang ein System einrichten und die Adresse über Papier übertragen. Problem ist: die Wallet wird nur für Miningerträge genutzt, die dann zwecks Trading versendet werden. D. h. ich werde nun wohl dann ständig für jeden Transfer hoch und runter fahren müssen, bis ich beide Systeme komplett neu eingerichtet habe und dazu komme ich die nächsten zwei Monate nicht, da ich im Dauerstress stehe.

Ich gehe davon aus, der Schädling läuft hier ständig mit, denn der Vorgang fand einen Tag nach der vorletzten und vor der letzten Aktualisierung statt. Dazwischen war die Wallet nicht aktiv. Es ist zum k... (ich werde sicher auf die eine oder andere Weise selbst schuld sein).

[twbt]

Installiert wurde in den letzten Wochen nichts außer bekannten Wallets.

Dann weißt Du ja, wo Du suchen musst.

[mezzomix]

Falls es sich um einen Schädling handelt, vermute ich aufgrund der Summe nichts massgeschneidertes. Damit sollte sich das Leck etwas leichter finden lassen. Vielleicht bringt die Verfolgung der Transaktionen auch noch neue Erkenntnisse?

[kneim]

Alte Kisten habe ich nicht. Hier laufen ein Hauptsystem und ein Miningsystem vernetzt. Neuinstallation des Hauptsystems wäre enorm aufwendig. Eine neue Wallet war mein erster Gedanke, aber: Solange der Schädling unbemerkt aktiv ist, dürfte die neue Wallet ebenso ausgespäht werden, sobald ich sie hier nur einrichte. D. h. dazu muss ich erst eine alte HD anklemmen, darauf ohne Netzwerkzugang ein System einrichten und die Adresse über Papier übertragen. Problem ist: die Wallet wird nur für Miningerträge genutzt, die dann zwecks Trading versendet werden. D. h. ich werde nun wohl dann ständig für jeden Transfer hoch und runter fahren müssen, bis ich beide Systeme komplett neu eingerichtet habe und dazu komme ich die nächsten zwei Monate nicht, da ich im Dauerstress stehe.

Ich gehe davon aus, der Schädling läuft hier ständig mit, denn der Vorgang fand einen Tag nach der vorletzten und vor der letzten Aktualisierung statt. Dazwischen war die Wallet nicht aktiv. Es ist zum k... (ich werde sicher auf die eine oder andere Weise selbst schuld sein).

Rechne im schlimmsten Fall damit, dass deine privaten Schlüssel samt Kennwort abhanden gekommen sind.

[JamesBolivar]

Davon gehe ich aus.

Inwieweit kann ich mit den Transaktionsdaten etwas anfangen?

[mezzomix]

Inwieweit kann ich mit den Transaktionsdaten etwas anfangen?

Betrüger sind manchmal Dumm und nutzen Adressen mehrfach und im Web. Eine Suchmaschine kann diese dann finden und so Beziehung deutlich machen.

[scranagar]

http://www.golem.de/news/pony-botnet-fahndet-nach-unverschluesselten-bitcoin-wallets-1402-104798.html

Trifft das möglicherweise auf Dich zu?
Da steht auch ein Link über den Du prüfen kannst, ob Du zu den Opfern gehörst...

[JamesBolivar]

Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen.

Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key?

So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden.

Status: 355 Bestätigungen
Datum: 24.02.2014 16:13
An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE
Belastung: -0.20556365 BTC
Transaktionsgebühr: -0.0002 BTC
Nettobetrag: -0.20576365 BTC
Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

[kneim]

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Ja

[kneim]

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Ja

Aber man weiss ja nie, wozu es gut ist. Falls es dein erster und einziger Verlust ist, bleibt dir schlimmeres womöglich erspart.

[stiftmaster]

Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen.

Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key?

So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden.

Status: 355 Bestätigungen
Datum: 24.02.2014 16:13
An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE
Belastung: -0.20556365 BTC
Transaktionsgebühr: -0.0002 BTC
Nettobetrag: -0.20576365 BTC
Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Nein, deine BTC Adresse ist nur der Hash deines PK´s

[kneim]

Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen.

Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key?

So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden.

Status: 355 Bestätigungen
Datum: 24.02.2014 16:13
An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE
Belastung: -0.20556365 BTC
Transaktionsgebühr: -0.0002 BTC
Nettobetrag: -0.20576365 BTC
Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Nein, deine BTC Adresse ist nur der Hash deines PK´s

So entstehen Missverständnisse. Mit der Abkürzung PK meinst du "Public Key". Normalerweise wird die Abkürzung PK aber mit "Private Key" gleichgesetzt. Korrigiert mich, wenn ich falsch liege. Auf jeden Fall bevorzuge ich ausgeschriebene Texte in diesem Fall.

[stiftmaster]

Laut https://www3.trustwave.com/support/labs/check-compromised-bitcoin.asp bin ich nicht betroffen.

Soweit ich das nicht falsch verstanden habe. Die Standard-Adresse (1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt) ist doch mein Public Key?

So sehen die Transaktionsdaten aus. Die Empfängeradresse ist über Google mehrfach zu finden.

Status: 355 Bestätigungen
Datum: 24.02.2014 16:13
An: 1Knd3XwyDcVKFHLKd67kSyXnPGnTtq7BeE
Belastung: -0.20556365 BTC
Transaktionsgebühr: -0.0002 BTC
Nettobetrag: -0.20576365 BTC
Transaktions-ID: 9bc8129723b750005381134d46715240d04e5430d84db5c79888e5bd35220925

Dass ich versäumte meinen Private Key zu verschlüsseln, ist ein klassisches Eigentor.

Nein, deine BTC Adresse ist nur der Hash deines PK´s

So entstehen Missverständnisse. Mit der Abkürzung PK meinst du "Public Key". Normalerweise wird die Abkürzung PK aber mit "Private Key" gleichgesetzt. Korrigiert mich, wenn ich falsch liege. Auf jeden Fall bevorzuge ich ausgeschriebene Texte in diesem Fall.

  Hast Recht

[funkenschuster]

http://www.golem.de/news/pony-botnet-fahndet-nach-unverschluesselten-bitcoin-wallets-1402-104798.html

Trifft das möglicherweise auf Dich zu?
Da steht auch ein Link über den Du prüfen kannst, ob Du zu den Opfern gehörst...

Leider wird nicht erklärt wie sich Zugang zum Rechner verschafft wurde. Weiß jemand welche Lücke ausgenutzt wird?