Da ist nix zu dekompilieren - die Datei ist nicht mehr da (vermutlich vom Hoster entfernt), du bekommst unter der Adresse nur eine Fehlerseite.
Onkel Paul
Topic: Warnung vor btc_333_de Verdacht auf Malware (Java Applet Malware Downloader) (Read 1249 times)
December 07, 2013, 07:11:53 AM
December 07, 2013, 06:45:31 AM
This message was too old and has been purged
December 06, 2013, 08:21:46 AM
Es wird ganz schön Aufwand für die Seite betrieben: https://www.facebook.com/pages/Bitcoin-Win-Bitcoin-Easily-at-wwwbtc-333de/575340985869049 über 10k likes vermutlich gekauft.
Ist es möglich den echten Domainnamen hier im Thread so einzufügen, dass nur Suchmaschinen ihn finden?
Dann werden Leute die danach googlen direkt gewarnt.
Nochmal die Warnung: Nicht auf die bei Facebook verlinkte Seite klicken
Ist es möglich den echten Domainnamen hier im Thread so einzufügen, dass nur Suchmaschinen ihn finden?
Dann werden Leute die danach googlen direkt gewarnt.
Nochmal die Warnung: Nicht auf die bei Facebook verlinkte Seite klicken
December 06, 2013, 07:34:26 AM
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
so siehts aus...oder eben linux
December 06, 2013, 04:01:25 AM
Das Applet was versucht wird auszuführen, führt die registry Einträge aus und lädt eine zweite .jar herunter um diese dann auszuführen.
Zudem wird noch PEExplorerR6.exe versucht herunterzuladen und versucht zu starten.
Wie bereits gesagt die zweite .jar war nicht mehr auf dem Hoster zu finden und konnte daher nicht weiter analysieren.
Zudem wird noch PEExplorerR6.exe versucht herunterzuladen und versucht zu starten.
Wie bereits gesagt die zweite .jar war nicht mehr auf dem Hoster zu finden und konnte daher nicht weiter analysieren.
December 06, 2013, 03:57:00 AM
Bezüglich der Sicherheit von Linux "durch Unwissenheit" wäre ich mir nicht so sicher. Da es genügend lohnende Ziele (Linux-Server) gibt, gibt es auch genügend Linux-Know-How in der kriminellen Szene. Wenn die davon ausgehen, dass ein guter Teil der Bitcoin-Nutzer Linux benutzt, wird es sicher auch Exploits für Linux-Desktops geben, unter Umständen auch Multi-Platform-Exploits (das mit Java ist schon mal ein Ansatz in die Richtung, es ist überhaupt kein Problem, da eine kleine Fallunterscheidung zum Finden der Bitcoin-Wallet zu machen).
Ich persönlich habe nicht genug BTC, um einen Riesen-Aufwand zum Sichern meiner Wallet zu treiben (Wallet-Passphrase muss reichen). Aber wenn da mehr als 1-2 BTC drauf wären, würde ich mir schon ein paar Gedanken machen, wie ich das absichern kann.
Onkel Paul
Ich persönlich habe nicht genug BTC, um einen Riesen-Aufwand zum Sichern meiner Wallet zu treiben (Wallet-Passphrase muss reichen). Aber wenn da mehr als 1-2 BTC drauf wären, würde ich mir schon ein paar Gedanken machen, wie ich das absichern kann.
Onkel Paul
December 06, 2013, 03:45:53 AM
Quote
werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.
Das mit den .jars hab ich überlesen, sorry
. Aber gegen die Registry Änderungen und die Taskmanager und UAC deaktivierung bist du ja als Linux User geschützt, da es die schlichtweg nicht gibt. Das Target ist allerdings mit Sicherheit immernoch Windows. Ich denke nicht, dass da irgendwelche Funktionen drin sind, die nach deinen Dateien greppen um diese zu ändern, zu ersetzen, oder zu klauen. Da die Wallet.dat in Linux ganz wo anders liegt, wird er diese somit nicht finden. - Aber ich kenn mich mit Java jetzt auch nicht ausreichend aus, dass ich letzteres belegen könnte. Mit Linux wirst du dennoch auf der sichereren Seite sein, auch wenn die .jar geöffnet und der Inhalt ausgeführt werden kann. December 05, 2013, 08:33:01 PM
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
Hoffentlich. "Idiotensicher" schon im Anfangsstadium wage ich zu bezweifeln.Das Projekt ist ein Schritt in die richtige Richtung. Ich hoffe, das es mal irgendwann so weit ist, das jeder, der sich für Bitcoin interessiert, mit nur minimalen Vorkenntnisse sich eine Wallet anlegen und sicher halten kann.
December 05, 2013, 08:30:22 PM
Linux ftw *hust*
Java... 
December 05, 2013, 07:37:49 PM
Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
December 05, 2013, 07:18:05 PM
Ich surfe nie mit einem System, wo man eine wesentliche Anzahl von BTC klauen könnte.
Es mag zwar gut gemeint sein, wenn man andere vor einer bestimmten Seite warnt, aber bekämpft man damit nicht nur die Symptome? Es könnte irgendwann genauso bitcointalk.org, heise.de, spiegel.de oder wetter.com treffen, es muss nichmals böse Absicht des Betreibers dahinterstehen. Es reicht, wenn eine Sicherheitslücke ausgenutzt wird, die es den Angreifern erlaubt, über eine fremde Website per Exploit weitere Bitcoin-Klausoftware auszuliefern.
Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
Es mag zwar gut gemeint sein, wenn man andere vor einer bestimmten Seite warnt, aber bekämpft man damit nicht nur die Symptome? Es könnte irgendwann genauso bitcointalk.org, heise.de, spiegel.de oder wetter.com treffen, es muss nichmals böse Absicht des Betreibers dahinterstehen. Es reicht, wenn eine Sicherheitslücke ausgenutzt wird, die es den Angreifern erlaubt, über eine fremde Website per Exploit weitere Bitcoin-Klausoftware auszuliefern.
Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
December 05, 2013, 03:54:59 PM
Linux ftw *hust*
December 05, 2013, 03:25:49 PM
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
December 05, 2013, 02:16:54 PM
Hallo Zusammen,
bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.
Aussehen der Seite am 2013-12-05:
http://imgur.com/kfwN0KC.png
Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.
Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq
Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.
bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.
Aussehen der Seite am 2013-12-05:
http://imgur.com/kfwN0KC.png
Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.
Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq
Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.
Vielen Dank , habe die Sperrung schon eingeleitet.
Edit : Ist jetzt gesperrt.
December 05, 2013, 01:43:12 PM
Hallo Zusammen,
bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.
Aussehen der Seite am 2013-12-05:
.
Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.
Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq
Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.
bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.
Aussehen der Seite am 2013-12-05:
.Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.
Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq
Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.
Jump to: