Limbo 2: Der ultimative Trojaner?

[gullinews]

Die IT-Sicherheitsfirma Prevx aus Großbritannien hat einen neuartigen Trojaner ausfindig gemacht. Programmiert wurde der Schädling speziell darauf, sensible Informationen von großen Kreditinstitutionen zu entwenden. Mehrere Sicherheitsexperten haben die Machenschaften des Trojaners unter die Lupe genommen und sind zu Erkenntnis gekommen, dass Limbo 2 einer der ausgeklügeltesten Schädlinge überhaupt ist.

Jacques Erasmus, Direktor der Forschungsabteilung von Prevx, sagt: "Limbo 2 ist ein heiß begehrter Trojaner. Wer Interesse an Kontoinformationen und sonstigen Daten aus einer Bank hat, wird einiges daran setzen, den Schädling in die Finger zu bekommen". Umfassende Fähigkeiten und ausgefeilte Funktionalität machen den Virus zu einem der beliebtesten Trojaner im Untergrund. Einen Eindruck der Beliebtheit von Limbo 2 konnte sich der Forscher in einem russischen Forum machen.


weiterlesen

[suppaman2]

Nein, kein ultimativer trojaner. Was sollen diese übertriebenen Überschriften? Wir sind hier doch nicht bei BILD

[AluMiez]

stimme suppaman2 zu..

woran erkennt man eigentlich, dass man den auf dem System hat? erst wenn das bankkonto leichter ist?

[Novgorod]

interessant wirds, wenn er sich zwischen deinen bank-server und deinen browser einklinkt - so bist du tatsächlich bei deiner bank eingeloggt und siehst deine eigenen kontoinformationen, aber währenddessen wird alles an den bösen russen "gestreamt" (inkl. logindaten natürlich).. und sobald du eine überweisung mit einer TAN bestätigst, wird die TAN abgefangen und dir eine fake "überweisung erfolgreich" meldung angezeigt.. bei der bank kommt aber die überweisungsbestätigung nie an und je nachdem wie gut er programmiert ist, kriegst du das nicht mit (kann ja durchaus sein, dass bei einem erneuten login der kontostand vom trojaner manipuliert angezeigt wird und die vermeintlich getätigte überweisung mit aufgeführt wird, das wird für 99% der leute reichen

bei modernen TAN-verfahren muss der russe, an den das alles geht, allerdings sehr schnell sein, denn sowas wie mobileTAN o.ä. sind nur 5 minuten gültig.. wenn er das konto leer räumen will, muss er quasi daneben sitzen, sonst kriegt er nix weiter als die logindaten und kann deinen kontostand sehen, mehr nicht..

auf jeden fall ein hübsch aufwendiges system, das sich jedoch mit jedem sniffer zurückverfolgen lässt.. allerdings führt das in der regel zu irgendwelchen anonymen (bzw. ebenfalls gehackten) "zwischenservern", die keine logs machen
aber wie bei jedem virus gilt: erstmal kriegen.. brain 1.0 bietet rundumschutz..

[ADI64]

wenn er das konto leer räumen will, muss er quasi daneben sitzen, sonst kriegt er nix weiter als die logindaten und kann deinen kontostand sehen, mehr nicht..

Wozu so viel Aufwand?
Es wäre doch viel einfacher, wenn der Trojaner einfach die Kontoadresse ändert, im Bestätigungsfenster aber die eigentlich gewünschte anzeigt.
Schneller, sauberer und effektiver

Nein, kein ultimativer trojaner. Was sollen diese übertriebenen Überschriften? Wir sind hier doch nicht bei BILD

Word.

[gummibaer74]

stimme suppaman2 zu..

woran erkennt man eigentlich, dass man den auf dem System hat? erst wenn das bankkonto leichter ist?

..Na ist doch ganz einfach!

Wenn sich auf Deinem Desktop ein Überweisungsbeleg öffnet, mit den Kontodaten der russichen "Mafia" und Du nur noch den gewünschten Betrag eingeben musst, der von Deinem Konto angewiesen werden soll, dann kannst Du Dir 100 Prozent sicher sein, dass meine Beschreibung und dieser Script ein Scherzartikel war!

Nee! Nun mal ehrlich... Wenn se jetzt den Quellcode haben, wirds auch bald ein Update für Deine Anti-Virensoftware geben. ((sofern Du eine vernünftige hast))

[dirt-devil]

ich bezweifel das die den quellcode kriegen, weil wenn er zum beispiel in C++ programmiert wurde, ist es nichtmehr möglich den source zu bekommen.

[hoppla3000]

Nennt mich paranoid, aber wenn mir irgendwas spanisch vorkommt, gebe ich zunächst in die eingabemaske meiner bank phantasiekontodaten ein.
wenn ich da akzeptiert werde, heißt es over and out.
die zweite prüfung führe ich durch, indem ich absichtlich zuerst eine falsche tan eingebe.
erst wenn beide prüfungen gut laufen, also meine tans abgelehnt werden, ist alles ok.
damit brauche ich zwar doppelt soviele tans wie normale leute, bin aber zu 99,99% sicher, eine sichere verbindung zu haben.

[t-master]

und ich scnapp mir einfach meine überweisungen und geh direkt zur bank meines vertrauens
den trojaner will ich sehn, der da an irgendwelche Kontodaten kommen will

[DukeMan999]

Nennt mich paranoid, aber wenn mir irgendwas spanisch vorkommt, gebe ich zunächst in die eingabemaske meiner bank phantasiekontodaten ein.
wenn ich da akzeptiert werde, heißt es over and out.
die zweite prüfung führe ich durch, indem ich absichtlich zuerst eine falsche tan eingebe.
erst wenn beide prüfungen gut laufen, also meine tans abgelehnt werden, ist alles ok.
damit brauche ich zwar doppelt soviele tans wie normale leute, bin aber zu 99,99% sicher, eine sichere verbindung zu haben.

Noe isses net ^^ Programmierer sind net doof Die bedenken so sachen ^^

[Dieselhorst]

wow was für news...

ein paar absätze voll NICHT informationen..

kein link zum russischen forum.. kein link zu mc affee.. dürftiger quellennachweiß ... übersetzen kann ich mir solche news selber auch.... die überschrift wär im englischen wenigsten dramatisch..

sorry dass ich so hart bin.. aber news schlecht kopieren ohne recherche iss bissl..arg.. wenn man bedenkt dass doch einige den news hier vertrauen..

btw..

Ein Punkt, der für die Attraktivität des Trojaners spricht, ist sein Verhalten gegenüber Virenscannern. Schenkt man den Berichten Glauben, so ist es bisher keinem Anti-Viren-Scanner möglich gewesen, Limbo 2 zu identifizieren.

Dabei bedienen sich die Autoren einem eigenen Verschlüsselungsmechanismus, durch den es offensichtlich unmöglich gemacht wird, den Trojaner virtuell zu erkennen.

ähm...

Part of the attraction of this trojan is its stealth characteristics. It offers its own cryptor that obfuscates the trojan, making it virtually impossible to detect. Erasmus said that the Limbo 2 trojan has been able to bypass anti-virus software.

stealth characteristics:
* obfuscation ( pe crypter )

ok das wars..
toll sowas...richtig "ultimativ"... nimm dir nen virus.. pack ihn mit einem PE-Packer (google se word) deiner wahl und du erhältst einen ähnlichen schutz.. und viele von den pe-cryptern können sogar schon etwas an polymorphism dazupacken (siehe execrypor.. pespin)

und das tolle umleit feature war auch schon mal da.. also auch nicht ultimativ.. früher... ne batch datei mit /con/con.. das war ultimativ

nur als tipp..und hinweis auf die qualität deiner quelle.. es wird nie etwas geben, das "virtuell" kaum zu entdecken iss (sogar nen rootkit kann man mitunter aufspüren!) .. sogar polymorphe viren lassen sich aufspüren..da sogar die einem muster unterliegen na no na ned..sonst müsste man jeden virus per hand umschreiben und verändern..


*hust*
It offers its own cryptor that obfuscates the trojan, making it virtually impossible to detect.

einen kleinen englisch ausflug noch.... meine lehrerin hat mir immer gesagt.. "virtually impossible" = praktisch unmöglich ...
(btw. hardly possible.. wär dann kaum möglich)

aja..der ganze satz (englisch) spricht schon wieder für die qualität des sc maga ins .. sind die sowas wie die IT-Abteilung der bild ? .. am besten du streichst die in sachen malware von deiner liste.. oder sammelst informationen an der quelle

grauenhaft..

PS: sorry nochmal für das gemotze..aber falsche informationen und schlecht recherchierte lieblose news .. ich mein.. bin anderes gewohnt .. nichts gegen dich nur lösch am besten die scmagazin seite :-p

[Novgorod]

Wozu so viel Aufwand?
Es wäre doch viel einfacher, wenn der Trojaner einfach die Kontoadresse ändert, im Bestätigungsfenster aber die eigentlich gewünschte anzeigt.
Schneller, sauberer und effektiver .

das dürfte für sie weniger praktikabel sein.. zum einen ist ein fest einprogrammiertes zielkonto nicht allzu lange nutzbar (wird ja recht schnell hochgenommen, denk ich mal) und zum anderen ist es nach wie vor viel aufwand, dem browser eine falsche kontonummer und BLZ (und wenn man schon dabei ist, auch den betrag) vorzugaukeln.. hätte natürlich den vorteil, dass man nix senden muss (wobei ein russischer remote-server vor verfolgung sicherer sein dürfte als ein zielkonto) und dass man nicht "live" dabei sein muss..
der nachteil ist aber, dass man die daten nicht "für später" sammeln kann und das zielkonto nicht jedes mal vorgeben kann (das ist wohl das ausschlag gebende)..

[hoppla3000]

und ich scnapp mir einfach meine überweisungen und geh direkt zur bank meines vertrauens
den trojaner will ich sehn, der da an irgendwelche Kontodaten kommen will

Ich habe mir das mal erklären lassen:
Manuelle Überweisungen per Briefeinwurf sollte verboten werden. Jeder Anus kann Deine Unterschrift fälschen und einen Betrag bis 2000 Euro überweisen, ohne dass die Überweisung überhaupt geprüft wird.
Da ist Onlinebanking tatsächlich sicherer.

[hoppla3000]

Noe isses net ^^ Programmierer sind net doof Die bedenken so sachen ^^

Quatsch. Auch Hacker kommen nicht an die echte TAN, wenn ich absichtlich die falsche eingebe.
Und wenn meine falsche TAN akzeptiert wird (sie brauchen sie ja schließlich), weiß ich, dass da was nicht stimmt.

[DukeMan999]

Quatsch. Auch Hacker kommen nicht an die echte TAN, wenn ich absichtlich die falsche eingebe.
Und wenn meine falsche TAN akzeptiert wird (sie brauchen sie ja schließlich), weiß ich, dass da was nicht stimmt.

Tja dan nwird sie absichtlich als falsch gekennzeichnet und du mußt sie nochmal neu eingeben... dadrauf fallen viele rein...

[hoppla3000]

Tja dan nwird sie absichtlich als falsch gekennzeichnet und du mußt sie nochmal neu eingeben... dadrauf fallen viele rein...

Nützt nicht viel beim iTAN-Verfahren.
Die haben dann höchstens zum Beispiel meine TAN-Nummer 37... Die Wahrscheinlichkeit, dass diese bei der nächsten Überweisung abgefragt wird, ist gering.
Bei 3 Fehleingabeversuchen wird die TAN-Liste gesperrt, also liegt die Trefferquote dann bei 1:30.
Bei den Banken, die ich benutze, ist es noch dazu so, dass ich ja sofort überprüfen kann, ob die Überweisung richtig abgegangen ist und meinen Kontostand habe ich ungefähr im Kopf.
Mir da ein X für ein U vorzumachen, wird schwer.

Aber ich kann mir vorstellen, dass es Leute gibt, die 5-stellige Beträge auf ihren Konten haben... Da triffts dann aber wiederum auch nicht die Falschen.

[Greenpower]

und zum anderen ist es nach wie vor viel aufwand, dem browser eine falsche kontonummer und BLZ (und wenn man schon dabei ist, auch den betrag) vorzugaukeln..

Nein, man muss lediglich nur die TCP-Packete abfangen und manipulieren. D.h. der Trojaner muss sich zwischen Browser und Netzwerkschnittstelle einklinken und HTML-Packete abfangen und abändern. Aufwendig ist es nur versch. Suchmuster für jede einzelne Bank zu erstellen.

[nyr0x]

Mich würde doch gerne Interessieren auf welchem OS der Trojaner läuft.

[hoppla3000]

Nein, man muss lediglich nur die TCP-Packete abfangen und manipulieren. D.h. der Trojaner muss sich zwischen Browser und Netzwerkschnittstelle einklinken und HTML-Packete abfangen und abändern. Aufwendig ist es nur versch. Suchmuster für jede einzelne Bank zu erstellen.

Wenn Du keine Ahnung hast, lass es! Es gibt keine HTML-Pakete und via SSL-Verbindung übertragene Pakete zu entschlüsseln kannste versuchen. Vielleicht schaffst Du es ja in einem Jahr nach der Session oder nach dem Zertifikate-Ablauf.

[miniprint]

Mit ettercap und dem passenden Plugin stellen https und viele andere Security-Protokolle kein echtes Hindernis dar. Die vermeintlich sicheren Protokolle gaukeln die Sicherheit nur vor und verhindern noch nicht einmal "man-in-the-middle" Attacken.

Geh doch einfach mal auf einen Flughafen mit WLAN, knacke WEP oder WPA (WPA dauert meist etwas), häng Dich mit ettercap zwischen die Notebooks der Fluggäste und den Knoten und dann kannst Du Visa-Karten-Daten und andere Transaktionen mitlesen und manipulieren.

Ich gebe gerne zu, dass dies nur mit ein wenig KnowHow zu bewerkstelligen ist. Diese Methoden werden mittlerweile aber von gut strukturierten Organisationen angewandt und sicher nicht mehr von Einzeltätern.

Ich würde weder im Internetcafe noch im fremden WLAN kritische Daten eingeben. Meines Wissens ist derzeit nur SSH2 und WPA2 mit richtig langen kryptischen Schlüsseln sicher. HTTPS, SMTPS, SSH, SCP sind alle nicht sicher.

Und da haben wir noch nicht von Rootkits und Trojanern gesprochen. Ich verstehe wenn Leute kein Online Banking mehr machen wollen. Letztendlich haftet man bei einem eigenen Tippfehler auch noch selbst