Pages:
Author

Topic: Diebstahl aus Wallet (Read 2617 times)

sr. member
Activity: 432
Merit: 250
March 02, 2014, 03:05:44 PM
#41
Kompetent programmierte Malware wirst du niemals mit 100%-iger Sicherheit von deinem System entfernen können. Mach die Kiste platt! Damit sparst du definitiv Zeit und vielleicht auch den nächsten finanziellen Ausfall. Zu glauben, dass Du das Problem als Laie zuverlässig beheben kannst, ist äußerst naiv!

Würde ich auch meinen. Spricht den etwas dagegen den PC einfach neu aufzusetzen mit und dann mit einem frischen System zu beginnen?
full member
Activity: 224
Merit: 100
March 02, 2014, 01:11:50 PM
#40
Das scheint mir auf eine Backdoor hinzuweisen

Du benutzt seit 5 Tagen ein offensichtlich kompromittiertes System. Man sollte eigentlich meinen, dass ein (wenn auch verkraftbarer) finanzieller Verlust ein gewisses Sicherheitsbewusstsein schafft. Stattdessen planst du sogar, es weiterhin zu benutzen.

Quote
Ich gehe als nächstes alle Threads in den Trojaner-Boards sorgfältig durch, bevor ich mich an die Behebung wage.

Kompetent programmierte Malware wirst du niemals mit 100%-iger Sicherheit von deinem System entfernen können. Mach die Kiste platt! Damit sparst du definitiv Zeit und vielleicht auch den nächsten finanziellen Ausfall. Zu glauben, dass Du das Problem als Laie zuverlässig beheben kannst, ist äußerst naiv!
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
March 02, 2014, 05:10:50 AM
#39
Gibts einen Weg, die Anzeige vom Prozess Explorer so zu erweitern, dass man nicht erst zu jedem Prozess die Eigenschaften aufrufen muss?

Ja.  Grin

1. Klicke oben auf "Show Process of all user"
2. Unter "View" Hacken setzen bei "Show Unnamed Handles and Mappings"
3. Unter "View" ganz unten auf "Select Columns..." klicken.
4. Im neuen Fenster auf den Reiter "Process Network"
5. Dort Hacken bei "Receives", "Sends" & "Other" setzen, mit "Okay" raus.

Nun werden Dir in der Übersicht zu jedem Prozess die Anzahl der gesendeten / empfangenen Netzwerkpakete angezeigt.

Das gibt Dir schon mal einen guten Überblick welche Prozesse überhaupt in Frage kommen.

Jetzt einfach mal mit dem aktiven Proxy sufen "Heise ... Bild ... etc."

Dann solltest Du recht schnell sehen welcher Prozess Traffic hat und kannst diesen dann genauer untersuchen.


Eine Alternative wäre die Verwendung von Wireshark ... das ist aber deutlich komplizierter und setzt umfangreiche Kenntnise der TCP/IP Protokolle & Layer vorraus.


Gruss Carsten.
sr. member
Activity: 245
Merit: 250
After Hack Now User 5tift
March 01, 2014, 07:59:12 AM
#38
Für die Konsolenfreunde  Cheesy

unter xp gibt es den befehl
Code:
proxycfg

unter win7 ist das alles unter netsh gewandert

Code:
netsh winhttp show proxy

liest beides die Registry nach konfigurierten Proxys aus, soweit ich mich erinner
full member
Activity: 210
Merit: 100
March 01, 2014, 07:48:48 AM
#37

wie /wo überprüft man sowas denn? Einfach mal in google sein System und "proxyeinstellungen" suchen, und dann findet man ne Anleitung, oder ist das komplizierter?

Ist ganz einfach... Systemsteuerung aufrufen --> "Netzwerk und Internet" aufrufen (dieser Schritt fällt weg bei Windows XP) --> Internetoptionen anklicken --> Registerkarte "Verbindungen" --> Button "LAN-Einstellungen" anklicken und dort darf das Häkchen "Proxyserver für LAN verwenden..." nicht gesetzt sein (es sei denn, Du benutzt bewusst einen Proxyserver).
legendary
Activity: 2968
Merit: 1133
March 01, 2014, 07:17:02 AM
#36
Empfehle jedem, die Verbindungseinstellungen seines Systems zu kontrollieren. Möglicherweise ist da was ganz neues unterwegs, mit dem u. a. aus dem Netzwerktraffic PWs und dergleichen abgefischt werden.
wie /wo überprüft man sowas denn? Einfach mal in google sein System und "proxyeinstellungen" suchen, und dann findet man ne Anleitung, oder ist das komplizierter?
sr. member
Activity: 245
Merit: 250
After Hack Now User 5tift
March 01, 2014, 06:56:06 AM
#35
per rechtsklick kannst du glaube ich unwichtiges exkludieren
full member
Activity: 196
Merit: 100
March 01, 2014, 05:10:05 AM
#34
Nur sichere Addons wie VLC, WMP und die MS-Klamotten. Auf Localhost lauschen einige svhost, aber keiner auf diesem Port. Gibts einen Weg, die Anzeige vom Prozess Explorer so zu erweitern, dass man nicht erst zu jedem Prozess die Eigenschaften aufrufen muss?
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
March 01, 2014, 04:05:13 AM
#33
Lade Dir mal den Process-Explorer runter ( http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx )

Damit findest Du schnell raus welcher Prozess auf den 127'er Ports lauscht.

Gruss Carsten.

EDIT: Prüfe auch auf jeden Fall die Add-Ons, es kann auch sein dass der Schädling sich direkt im IE als Add-On eingeklingt hat.
Hast Du evtl. auch FF, dann dort auch mal die Internet-Proxy prüfen.

full member
Activity: 196
Merit: 100
March 01, 2014, 03:47:11 AM
#32
Der Trojaner ist in der Taskliste nicht zu sehen aber definitiv aktiv. Die Proxy-Einstellung wird nach manuellen Veränderungen erneut verbogen. Ich gehe als nächstes alle Threads in den Trojaner-Boards sorgfältig durch, bevor ich mich an die Behebung wage. Werde in jedem Fall hier berichten, was dabei heraus kam.
qwk
donator
Activity: 3542
Merit: 3413
Shitcoin Minimalist
March 01, 2014, 03:28:35 AM
#31
Das scheint mir auf eine Backdoor hinzuweisen:
[ windows proxyeinstellungen ]
Kenne mich nicht so gut mit Windows aus, aber das sieht danach aus, als hätte der Trojaner einen Proxy auf deinem eigenen Rechner installiert, über den dein Internetverkehr abgegriffen wird. Das heißt aber auch, dass der Trojaner dauerhaft als Prozess laufen muss, sonst geht dein Internet nicht mehr. Ergo muss der Trojaner in deinem Taskmanager zu sehen sein.
full member
Activity: 196
Merit: 100
March 01, 2014, 03:13:56 AM
#30
Das scheint mir auf eine Backdoor hinzuweisen:



Google liefert eine Reihe von Threads aus Januar in diversen Trojaner-Boards, die dieselbe Proxy-Einstellung zum Thema haben. Selbstredend ist das nicht von mir so eingerichtet worden. Empfehle jedem, die Verbindungseinstellungen seines Systems zu kontrollieren. Möglicherweise ist da was ganz neues unterwegs, mit dem u. a. aus dem Netzwerktraffic PWs und dergleichen abgefischt werden.
hero member
Activity: 1232
Merit: 516
February 27, 2014, 01:21:12 AM
#29
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.

Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.

Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.

Ok, mal eine direkte Frage: Du hattest das wallet verschlüsselt, oder? Ich meine mit einer Passphrase versehen!

Hat er nicht. Steht oben im Thread schon.
full member
Activity: 294
Merit: 100
February 26, 2014, 07:26:01 PM
#28
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.

Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.

Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.

Ok, mal eine direkte Frage: Du hattest das wallet verschlüsselt, oder? Ich meine mit einer Passphrase versehen!
full member
Activity: 294
Merit: 100
February 26, 2014, 07:09:59 PM
#27

Kannst du das mal für einfache Leute-Sprache erklären.
Weshalb soll mein Privatkey offen liegen?

Na, das ist eigentlich ganz einfach! Ich versuch es mal laienhaft zu erklären.

Mit jeder Auszahlung lieferst du Informationen über deinen Privkey, also es wird jedesmal mathematisch "einfacher", weil du Korrelationen ermöglichst. Das soll aber nicht heißen, dass es insgesamt einfach wäre oder schnell ginge. Es ist trotzdem mathematisch nicht wirklich einfach und mit viel Rechenaufwand verbunden.

Hierbei zählen aber nur die Auszahlungen, d.h. mit jeder Auszahlung wird das Ganze unsicherer, daher verwenden manche Leute Einmaladressen für größere Beträge bzw. Adressen, auf die nur Bitcoins einfließen, aber keine ausgezahlt werde.

Für den Fall des James Bolivar spielt es eher keine Rolle, da sich das für so winzige Beträge nicht lohnen würde.

Könnte natürlich auch nur ein gewöhnlicher Trojaner sein. Eher sogar!

----------------------

Mathematisch funktioniert das Ganze nach dem Prinzip:

Quote
Nguyen and Shparlinski have recently presented a polynomial-time algorithm that provably recovers the signer’s secret DSA key when a few consecutive bits of the random nonces k (used at each signature generation) are known for a number of DSA signatures at most linear in log q (q denoting as usual the small prime of DSA), under a reasonable assumption on the hash function used in DSA. The number of required bits is about log1/2q, but can be decreased to log log q with a running time qO(1/log log q) subexponential in log q, and even further to two in polynomial time if one assumes access to ideal lattice basis reduction, namely an oracle for the lattice closest vector problem for the infinity norm. All previously known results were only heuristic, including those of Howgrave-Graham and Smart who introduced the topic. Here, we obtain similar results for the elliptic curve variant of DSA (ECDSA).

....

Our attack has been validated experimentally. Using a standard
workstation, we can most of the time recover in a few minutes the
signer's ECDSA 160-bit secret key when only l = 3 least significant
bits of the nonces are known for about 100 signatures.


Quelle:

P. Nguyen and I. Shparlinski. The insecurity of the elliptic curve signature algorithm with
partially known nonces.


Uralter Artikel zwar, aber der Unterschied zwischen Einmaladressen und mehrfach benutzbaren dürfte klar geworden sein!?
hero member
Activity: 871
Merit: 1000
February 26, 2014, 05:16:43 PM
#26
Ah, ich seh schon, du hattest die Adresse 1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt mehrfach benutzt? Das macht einen k Angriff in polynomialer Zeit möglich. (Dafür ist kein Trojaner notwendig, sondern die können direkt von der Blockchain abbuchen, weil dein Privkey offen liegt).

Kannst du das mal für einfache Leute-Sprache erklären.
Weshalb soll mein Privatkey offen liegen?
full member
Activity: 196
Merit: 100
February 26, 2014, 03:37:04 PM
#25
Das Guthaben ist jünger. Zum Zeitpunkt der Transaktion war exakt der übertragene Betrag verfügbar. Der Rest kam erst danach.

Ein Bedienfehler ist ausgeschlossen, da die Wallet zuletzt am Sonntag aktiv war, und nach dem Start zunächst mehr als zehn Stunden zu syncronisieren hatte, bevor sie auf die Transaktion stieß. Es sind auch nur drei Adressen von Exchanges erfasst und die Zieladresse ist völlig unbekannt. Am Montag habe ich am PC gearbeitet, und hätte bemerkt, wenn die Wallet gestartet worden wäre.

Die Adresse wird täglich von Middlecoin genutzt, um die Miningerträge zu transferieren und sie ist über deren Website mit statistischen Daten öffentlich einsehbar. Bei Middlecoin werden Walletadressen anstelle von Benutzeraccounts verwendet.
full member
Activity: 294
Merit: 100
February 26, 2014, 03:11:05 PM
#24
Ah, ich seh schon, du hattest die Adresse 1BSC7CZKr1WmzasWw3dwkoAMsihcJKsJxt mehrfach benutzt? Das macht einen k Angriff in polynomialer Zeit möglich. (Dafür ist kein Trojaner notwendig, sondern die können direkt von der Blockchain abbuchen, weil dein Privkey offen liegt).

Trotzdem macht das noch nicht ganz Sinn, weil derjenige ja auch hätte alles abbuchen können. Nach meiner Info sollten da aber noch 0.03140806 BTC drauf sein!

Auch vom Aufwand her komplett sinnlos. Niemand würde sich die Mühe wegen 0,2 BTC machen!  Grin Das ist ja praktisch gar nix. Gefährdet sind eher Guthaben ab 1000BTC, alles andere ist Peanuts.

Wieso sollte der Hacker nur einen Teil abbuchen?

Irgendwie kommt mir das eher nach einem Bedienungsfehler vor! Sicher, dass es nicht andere Erklärungsmöglichkeiten gibt, irgendwelche im Hintergrund laufende Schnittstellen oder so?

Oder ein vielleicht ein Softwarefehler, weil laut Blockchain hast du ja noch Guthaben! Die Bitcoinsoftware ist ja so ein Schrott, habe mir den Sourcecode angesehen, übel, übel. Von Informatikstudenten im ersten Semester zusammengeschustert.  Wink
full member
Activity: 196
Merit: 100
February 26, 2014, 02:13:31 PM
#23
Danke dafür. Immer noch negativ. Allerdings zeigt die Ergebnisseite den nicht gefundenen Public Key um 16 Stellen verkürzt an.

Nun nehme ich an, entweder ist ein Ableger dieses oder eines ähnlichen Botnetz auf meiner Kiste. Mal sehen, was ich finde :/
legendary
Activity: 1039
Merit: 1005
February 26, 2014, 11:46:38 AM
#22
D. h. die verlinkte Seite mit der Adresse zu füttern, um zu prüfen, ob ich betroffen bin ist:

a) falsch und mein Ergebnis ebenso, weswegen ich was genau eingebe?
b) richtig, weswegen auch das Ergebnis stimmt, was aber auch nicht bei der Suche nach möglichem Befall hilft?

a) - weil die Seite einen public key und nicht eine Adresse will.

Wie man an den public key kommt? Wusste ich auch nicht auswendig, deswegen habe ich gegoogelt und das gefunden:
http://bitcoin.stackexchange.com/questions/20718/how-to-export-public-key-for-an-address-in-bitcoin-qt

Onkel Paul
Pages:
Jump to: