Brauche Computerhilfe

Penthesilea · 19. Juni 2013, 09:42:09

Suche wirklich gewieften IT-Sicherheitsexperten/Expertin für ein paar kniffelige Fragen bezüglich Citadel.
Bitte Nachricht im Spiel - Danke sehr!

TheLightPrince · 22. Juni 2013, 15:59:05

citadel? .de oder .org xD

das wäre in einem forum für die entsprechende Software besser aufgehoben!

Lg TLP

Penthesilea · 24. Juni 2013, 14:03:03

Sorry, da habe ich mich falsch ausgedrückt. Ich habe mir den Citadel Trojaner eingefangen und müsste wissen, wie man den am einfachsten wieder loskriegt.

TheLightPrince · 24. Juni 2013, 15:17:31

ahh okay.
Also was ich dir sagen kann ist, dass citadel ein banking trojaner ist (was du schon wissen wirst).Also würde ich von online-banking momentan abraten

Es ist ein Toolkit welches angepasst werden kann, somit ist es nicht so einfach möglich ihn automatisch zu entfernen.
Wenn du im Netz dazu googlest wirst du oft auf SpyHunter verwiesen. Bitte nicht nutzen. SpyHunter ist ein pseudoScanner und wird dir nicht viel bringen.
Citadel ist unglaublich clever programmiert, wenn ich mich recht erinnere. Es ist in sich mehrfach verschlüsselt, zerlegt und wird erst bei der Ausführung zusammengesetzt und dekodiert. Eine nähere Analyse wird durch lustige fehlerhafte Sprungziele nahezu unmöglich gemacht. Höchstens eine live-analyse wäre möglich, ist aber ebenfalls nicht trivial.

Wenn du ihn entfernen willst (wovon ich mal ausgehe) schaffst du das auf Windowsebene nicht. Der Kern wird (nehme ich an, wenn der schreiber es nicht umkonfiguriert hat) ein tdl-4 oder tdl-5 kern sein, was heißt, dass er sämtliche Betriebssystemfunktionen hooked. Ein Virenscanner, der nun Verzeichnisse durchsucht, kann gewisse Dateien nicht finden, weil das Directorylisting übernommen / manipuliert wird.

Mindestens eine live-dvd wie knoppicillin oder knoppix wirst du also benötigen. Ich würde dir raten, deine wichtigen Daten zu sichern und dein System neu aufzusetzten. Bei Viren, Trojanern, etc ist dies immer der beste weg, da wirklich alle Spuren zu erwischen nicht immer ganz einfach ist.

Wenn dies nicht geht, aus welchem Grund auch immer, würde ich dich, aufgrund, dass hier meine Kenntnisse über citadel enden, an bessere Leute verweisen. Geh mal auf http://www.trojaner-board.de und poste dort dein Problem, die werden dich dann Schritt für Schritt guiden, wie du OTL, combofix und Co zu nutzen hast.

Lg TLP

Penthesilea · 25. Juni 2013, 15:18:24

Vielen Dank! Ich habe es fast befürchtet, dass es nicht einfacher zu machen geht. Wäre ja auch zu schön gewesen. Das einzig Gute daran: Ich werde wieder mehr über PCs lernen bei der Aktion.

Feyan · 25. Juni 2013, 15:42:55

Wie merkt man denn, dass man so was hat?

Noctifer · 26. Juni 2013, 12:44:05

Natürlich nur durch passende Schutzprogramme und Aufspürungsprogramme wie Anti-Maleware, Virenschutz, Firewall und vieles mehr.

Der Citadel genannte Trojaner basiert auf der Malware ZeuS, einer der ältesten und beliebtesten Online-Banking-Trojaner, deswegen hat zum Beispiel McAfee schnell ausgelöst, da ähnlich bekannte bereits vorhanden waren.

Unter anderem helfen auch Virtualisierungstechniken, Hardware-Firewalls, Linux Distribution im RAM laufen lassen, demilitarisierte Zonen im Vpn, eigene Programme "hardcoden" ... es gibt viele Möglichkeiten... Die frage ist nur, ob sich der Aufwand für denn Heimbedarf wirklich lohnt.

Zu beachten ist jedoch das kein Schutz Perfekt ist, man kann nur das für sich selbst beste herauszuschöpfen.

Feyan · 26. Juni 2013, 12:54:07

also gar nicht, ,gut zu wissen :D

Oshun · 26. Juni 2013, 13:23:58

Naja Penthe hats ja auch irgendwie rausgefunden, dass ihr Computer besessen ist.

Penthesilea · 26. Juni 2013, 14:13:18

Das erste Anzeichen war ein Schreibfehler: Wenn man versucht, einen Accent zu schreiben, kam dieser immer doppelt ´´ also statt dass man ihn nicht sieht, bis man den Buchstaben geschrieben hat, wo er drauf gehört. Ich habe danach gegoogelt und erfahren, dass das für einen Keylogger spricht. Antivir drüber laufen lassen, ein paar Dinger wurden auch entdeckt, die ich aus der Quarantäne gelöscht habe. Aber der Fehler bestand weiter.
Dann bekam ich Post von meinem Provider, dass unser Zugang gehackt wurde. Auf Nachfrage erfuhr ich dann, dass es sich um Citadel handeln muss. Jetzt suche ich jemanden, der den infizierten Rechner ausfindig macht und mir dann Windows neu aufspielt. Ich habe ja den Rechner mit dem Accent-Fehler im Verdacht, aber es kann auch jeder andere sein, der zu dem Zeitpunkg, den mir mein Provider mitgeteilt hat, online war. Vielleicht war das mit dem Schreibfehler nur ein Zufall.
Zum Glück machen wir kein Homebanking. Keine Ahnung, was jemand mit einem Account anfangen will, von dem nur privat gemailt, gespielt und in Foren geschrieben wird und hin und wieder bei Amazon bestellt (auf Rechnung :P)

TheLightPrince · 26. Juni 2013, 14:42:26

Zitat von: Noctifer am 26. Juni 2013, 12:44:05
Natürlich nur durch passende Schutzprogramme und Aufspürungsprogramme wie Anti-Maleware, Virenschutz, Firewall und vieles mehr.

*lach* ne Software gegen Männer? :D
BTT: Gibt noch nen viel einfacheren Weg, bzw ein gutes indiez: Citadel verhindert normalerweise den Zugriff auf bekannte Sicherheits- / Anti-Malware-Seiten. virustotal.com ist beispielsweise gesperrt durch Citadel. Allerdings nur hardcoded durch sperren der IP. Ein Tunneln nach Virustotal sollte also weiterhin funktionieren.

Zitat von: Noctifer am 26. Juni 2013, 12:44:05Unter anderem helfen auch Virtualisierungstechniken, Hardware-Firewalls, Linux Distribution im RAM laufen lassen, demilitarisierte Zonen im Vpn, eigene Programme "hardcoden" ... es gibt viele Möglichkeiten... Die frage ist nur, ob sich der Aufwand für denn Heimbedarf wirklich lohnt.

Das hilft aber nicht bei der Entfernung von citadel, höchstens gegen die Infektion durch Citadel. Auch wenn ich die Aufzählung ein wenig quatschig finde.
Virtualisierung: Da kann dein virtualisiertes System trotzdem befallen werden. Nur eben dein System im Hintergrund nicht. Das bringt dir vornehmlich etwas, wenn du weißt wann du ein Risiko eingehst und wann nicht. Das wissen die meisten aber nicht.
Hardware-Firewall: gibt es in der Realität nicht. Reine HW-FW sind nicht existent. Was du wahrscheinlich meinst, sind externe Firewalls. Aber die muss trotzdem den Virus erkennen können. Es ist trotzdem Software die da läuft.
Linux Distribution im RAM? Ich weiß nicht was du damit meinst?! Wenn du Linux auf deinem System laufen hast, dann wird dir ein Windows-Trojaner nicht viel anhaben.
Demilitarisierte Zone: Ja bringt etwas, wenn es nicht mal wieder an der "Dummheit" des Users scheitert (@penthe ich unterstelle dir das nicht^^ nicht falsch verstehen)
Programme hardcoden bringt nix, da sich citadel kein Wurm ist. Wenn dann müsstest du dein gesamtes System härten.
Ob sich der Aufwand lohnt, da stimme ich dir zu: Wohl kaum. Zumal die neue Citadel Version nicht mehr auf die Menge setzt, sondern sehr gezielt auf Großfirmen und Institutionen setzt und kleine Systeme eigentlich gar nicht mehr attakiert.

Noch ein Wort zum Abschluss: Was wirklich hohe Sicherheit bietet (hinter so einem System sitze ich momentan zum Beispiel) ist ein fireeye system. Fireeye ist extrem mächtig und kann auch Erstlingsviren, trojaner, etc erkennen. Also selbst Viren die gerade zum ersten mal auftauchen (private Virenscanner können nur jene Viren erkennen, die aufgrund ihrer Sigantur bereits bekannt sind. Neue werden, egal bei welchem Virenscanner, nicht entdeckt.). Aber wie gesagt: ob man wirklich das Geld für Fireeye ausgeben will... Ich wage es für den normalen User zu bezweifeln.

Lg TLP

Feyan · 26. Juni 2013, 14:43:47

Da will jemand Modrechte für Arthoria haben Penthe xD

TheLightPrince · 26. Juni 2013, 14:50:16

Zitat von: Penthesilea am 26. Juni 2013, 14:13:18
Antivir drüber laufen lassen, ein paar Dinger wurden auch entdeckt, die ich aus der Quarantäne gelöscht habe. Aber der Fehler bestand weiter.

Kleiner Tipp: Das bringt nur wirklich was, wenn du es im abgesicherten Modus machst. Im normalen Betrieb ist es heute standard, dass sich ein Virus, selbst nach dem löschen wieder herstellt.

Zitat von: Penthesilea am 26. Juni 2013, 14:13:18Zum Glück machen wir kein Homebanking. Keine Ahnung, was jemand mit einem Account anfangen will, von dem nur privat gemailt, gespielt und in Foren geschrieben wird und hin und wieder bei Amazon bestellt (auf Rechnung :P)

Daten. Userdaten sind Geld wert. Wenn du etwas im Internet bestellst gibst du ja meistens schon, name, geburtstag, etc an. Also weiß man schonmal wer du bist. Citadel hat außerdem ein Botnetz im Hintergrund, jeder infizierte Rechner wird automatisch in das Botnetz aufgenommen. Je nachdem wie du deine sachen bei Amazon bezahlst, kann man damit auch was anfangen, nach was suchst du im internet, etc etc profiling eben. Du mailst von dem computer aus? Gut darüber kann man sich gut verbreiten

etc
Accountübernahmen werden auch immer gerne mal gemacht. Citadel hat (ich hab ja kA welche Version du drauf hast) auch nen kompletten Fernzugriff eingebaut: Bildschirmübertragung und allem drum und dran

Lg TLP

Noctifer · 27. Juni 2013, 11:50:29

@TheLightPrince zweck's Linux; Google hilft & schön das immer jeder auf alle Einzelheiten eingehen muss, aber seht die Kombinationen mal als Gesamtbild, dann sieht das schon ganz anders aus

Das es Hardware-Firewall in der Praxis nicht gibt, ist mir auch bekannt -> wer's nicht weißt, Google hilft hier ebenfalls. Der Begriff wird nun mal immer "moderner".

Dann mal weiter zum gequatsche ...

Zur Erkennung des Virus an sich:

Name der letzten Version [2012] XDocCrypt/Dorifel.
Benutzt vemutlich als Einfallstor einen mit dem Botnetz-Trojaner Citadel verseuchten Rechner.
Erkennbar bei doppelten Dateinamenserweiterungen.
Wird über Spam-Mails verbreitet, vorzugsweise in Office-Doc's.

Nun eine kleine Enttäuschung, wenn du dich gut auskennst, kannst du diesen mit viel Zeitaufwand und Können beseitigen, jedoch ist eine Neuaufsetzung schneller und einfacher.

Hinweis!

Sei vorsichtig mit Backup's, der Bootnetz-Trojaner hat in seiner neusten Fassung Rootkit-Funktion eingebaut bekommen, so dass der Schädling sich in die DriverStartIO-Routine einklinkt und die Schreib-Operationen steuert, nicht umsonst wurde er als Office Trojaner benannt. Wenn du also ein Backup machst, pass gut auf, ob dir bei denn Dokumenten irgendetwas seltsames auffällt wie Unpassende Dateigrößen, Dateinamenserweiterungen, Umformatierungen ...

Das heißt natürlich auch, das er in Boot-Sektoren verankert ist, ähnlich wie ein älterer Trojaner namens "Popureb"
Das hat zur Folge das eine Beseitigung im live Betrieb fast unmöglich ist und selbst wenn die Sicherheitssoftware nicht auslöst, dies eine Täuschung sein könnte.

Nützliche Hilfsquellen http://blog.fox-it.com/2013/02/21/writeup-on-nbc-com-distributing-citadel-malware/ // Englisch!

Wenn du dich mit solchen Materien weiter auseinander setzen möchtest, beschaffe ich dir gerne noch Infomaterial.

Schönen Tag noch

Edit: Ergänzung.

TheLightPrince · 27. Juni 2013, 12:36:04

Zitat von: Noctifer am 27. Juni 2013, 11:50:29
@TheLightPrince zweck's Linux; Google hilft & schön das immer jeder auf alle Einzelheiten eingehen muss, aber seht die Kombinationen mal als Gesamtbild, dann sieht das schon ganz anders aus

Nach gelabber? :D Natürlich

wenn du dir die Arbeit machst Sachen aufzuzählen, dann geh ich als freundlicher Leser auch auf alles ein und Frage nach der Absicht des geposteten, wenn es sich mir nicht erschließt.

Zitat von: Noctifer am 27. Juni 2013, 11:50:29
Dann mal weiter zum gequatsche ...

[...]

Nun eine kleine Enttäuschung, wenn du dich gut auskennst, kannst du diesen mit viel Zeitaufwand und Können beseitigen, jedoch ist eine Neuaufsetzung schneller und einfacher.

eine Enttäuschung für wen? Ist doch gut... Falls du dich auf mich beziehst: Ich schrieb über den livebetrieb (s. oben) und das hast du ja im Hinweis auch selbst festgestellt.

ZitatDas hat zur Folge das eine Beseitigung im live Betrieb fast unmöglich ist und selbst wenn die Sicherheitssoftware nicht auslöst, dies eine Täuschung sein könnte.

ZitatWenn du dich mit solchen Materien weiter auseinander setzen möchtest, beschaffe ich dir gerne noch Infomaterial.

Ist das an mich oder penthe? *lach*

Lg TLP