Author

Topic: Warnung vor btc_333_de Verdacht auf Malware (Java Applet Malware Downloader) (Read 1273 times)

legendary
Activity: 1039
Merit: 1005
Da ist nix zu dekompilieren - die Datei ist nicht mehr da (vermutlich vom Hoster entfernt), du bekommst unter der Adresse nur eine Fehlerseite.

Onkel Paul
legendary
Activity: 1260
Merit: 1168
This message was too old and has been purged
sr. member
Activity: 471
Merit: 262
Es wird ganz schön Aufwand für die Seite betrieben: https://www.facebook.com/pages/Bitcoin-Win-Bitcoin-Easily-at-wwwbtc-333de/575340985869049 über 10k likes vermutlich gekauft.
Ist es möglich den echten Domainnamen hier im Thread so einzufügen, dass nur Suchmaschinen ihn finden?
Dann werden Leute die danach googlen direkt gewarnt.

Nochmal die Warnung: Nicht auf die bei Facebook verlinkte Seite klicken  Wink
legendary
Activity: 1148
Merit: 1014
In Satoshi I Trust
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.

so siehts aus...oder eben linux Smiley
sr. member
Activity: 471
Merit: 262
Das Applet was versucht wird auszuführen, führt die registry Einträge aus und lädt eine zweite .jar herunter um diese dann auszuführen.
Zudem wird noch PEExplorerR6.exe versucht herunterzuladen und versucht zu starten.

Wie bereits gesagt die zweite .jar war nicht mehr auf dem Hoster zu finden und konnte daher nicht weiter analysieren.
legendary
Activity: 1039
Merit: 1005
Bezüglich der Sicherheit von Linux "durch Unwissenheit" wäre ich mir nicht so sicher. Da es genügend lohnende Ziele (Linux-Server) gibt, gibt es auch genügend Linux-Know-How in der kriminellen Szene. Wenn die davon ausgehen, dass ein guter Teil der Bitcoin-Nutzer Linux benutzt, wird es sicher auch Exploits für Linux-Desktops geben, unter Umständen auch Multi-Platform-Exploits (das mit Java ist schon mal ein Ansatz in die Richtung, es ist überhaupt kein Problem, da eine kleine Fallunterscheidung zum Finden der Bitcoin-Wallet zu machen).
Ich persönlich habe nicht genug BTC, um einen Riesen-Aufwand zum Sichern meiner Wallet zu treiben (Wallet-Passphrase muss reichen). Aber wenn da mehr als 1-2 BTC drauf wären, würde ich mir schon ein paar Gedanken machen, wie ich das absichern kann.

Onkel Paul
member
Activity: 99
Merit: 10
WTB WoW unmerged EU Account with Gladiator.. PN me

Quote
werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Das mit den .jars hab ich überlesen, sorry  Grin. Aber gegen die Registry Änderungen und die Taskmanager und UAC deaktivierung bist du ja als Linux User geschützt, da es die schlichtweg nicht gibt. Das Target ist allerdings mit Sicherheit immernoch Windows. Ich denke nicht, dass da irgendwelche Funktionen drin sind, die nach deinen Dateien greppen um diese zu ändern, zu ersetzen, oder zu klauen. Da die Wallet.dat in Linux ganz wo anders liegt, wird er diese somit nicht finden. - Aber ich kenn mich mit Java jetzt auch nicht ausreichend aus, dass ich letzteres belegen könnte. Mit Linux wirst du dennoch auf der sichereren Seite sein, auch wenn die .jar geöffnet und der Inhalt ausgeführt werden kann.
full member
Activity: 164
Merit: 100
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
Hoffentlich. "Idiotensicher" schon im Anfangsstadium wage ich zu bezweifeln.

Das Projekt ist ein Schritt in die richtige Richtung. Ich hoffe, das es mal irgendwann so weit ist, das jeder, der sich für Bitcoin interessiert, mit nur minimalen Vorkenntnisse sich eine Wallet anlegen und sicher halten kann.
legendary
Activity: 2618
Merit: 1007
hero member
Activity: 728
Merit: 500

Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
Irgendwann soll ja "Trezor" kommen, eine hardware wallet die idiotensicher sein soll, sprich einfach zu handhaben.
full member
Activity: 164
Merit: 100
Ich surfe nie mit einem System, wo man eine wesentliche Anzahl von BTC klauen könnte.

Es mag zwar gut gemeint sein, wenn man andere vor einer bestimmten Seite warnt, aber bekämpft man damit nicht nur die Symptome? Es könnte irgendwann genauso bitcointalk.org, heise.de, spiegel.de oder wetter.com treffen, es muss nichmals böse Absicht des Betreibers dahinterstehen. Es reicht, wenn eine Sicherheitslücke ausgenutzt wird, die es den Angreifern erlaubt, über eine fremde Website per Exploit weitere Bitcoin-Klausoftware auszuliefern.

Ich empfehle daher, Wallets mit größeren Summen von Grund auf so sicher wie möglich zu organisieren, das heißt, nicht drauf zu vertrauen, das irgendjemand anders schon seine Arbeit richig macht.
member
Activity: 99
Merit: 10
WTB WoW unmerged EU Account with Gladiator.. PN me
newbie
Activity: 19
Merit: 0
Solche Seiten sind für mich einer der Gründe, warum ich nur noch im Firefox mit installiertem NoScript-Addon surfe. Da kann man auch mal auf so einen Link klicken, es werden grundsätzlich erstmal alle Scripte verboten bis man sie manuell zulässt.
legendary
Activity: 2271
Merit: 1363
Hallo Zusammen,

bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Aussehen der Seite am 2013-12-05:
http://imgur.com/kfwN0KC.png

Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.

Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq

Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.

Vielen Dank , habe die Sperrung schon eingeleitet.

Edit : Ist jetzt gesperrt.
sr. member
Activity: 471
Merit: 262
Hallo Zusammen,

bei ausführen der Java Anwendung auf der Seite von btc_333 werden versucht diverse Registry Einträge zu setzen die u.a. Taskmanager und UAC deaktivieren und es werden diverse .jars nachgeladen und ausgeführt.

Aussehen der Seite am 2013-12-05:
.

Vermutlich wurde die Domain unter falschem Namen registriert und nun für Bitcoin Klau missbraucht.

Edit: Hier ein Ausschnitt des Codes: http://pastebin.com/U0Vfxxhq

Hinter dem Base64 verbirgt sich eine update2.jar, die versucht wird herunterzuladen und auszuführen.
Möglicherweise hat der Hoster schon reagiert, da die .jar nicht mehr zu finden ist.
Jump to: