Zeus2 Trojaner ist nicht zu finden Sparkasse sperrt Onlinetransaktionen

Mitglied: themoon19

themoon19 (Level 1) - Jetzt verbinden

19.08.2010, aktualisiert 01.02.2011, 16849 Aufrufe, 12 Kommentare

Bank ruft bei Kunden an und sagt er hat einen Trojaner auf seinem PC Namens Zeus2 und soll neues System aufspielen?

Hi,

PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.

Konfiguration des PC:

Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.

Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.

Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.

Keine Funde

Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.

Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:

■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:

■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Ist das nun eine Masche der Sparkasse ihren Kunden das Pin /Tan verfahren umzustellen? Oder ist der Trojaner so rafiniert sich so zu tarnen, das er von keiner Antivirensoftware erkannt wird??
Mitglied: DerWoWusste
19.08.2010 um 00:47 Uhr
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Bitte warten ..
Mitglied: n.o.b.o.d.y
19.08.2010 um 06:12 Uhr
Hallo,
was mich vor allem interessieren würde, wie hat die Bank das feststellen können?
Bitte warten ..
Mitglied: goscho
19.08.2010 um 09:45 Uhr
Zitat von DerWoWusste:
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Naja, ob die direkt anrufen oder doch eher Post/Mails schicken.

Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday
[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
Ist das wirklich so?

@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt. ;-) face-wink
Bitte warten ..
Mitglied: Supaman
19.08.2010 um 10:50 Uhr
da wäre erstmal interesant, WOHER die bank das so genau weis... haben die ihre eigene schnüffelsoftware auf dem kunden pc ?

beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.

als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.

denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
Bitte warten ..
Mitglied: perseues
19.08.2010 um 16:38 Uhr
Hallo,

hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.

Grüße perseues
Bitte warten ..
Mitglied: BigWim
19.08.2010 um 16:50 Uhr
Die Sparkassen bekommen von Ihrem Rechenzentrum eine Info, dass Kundendaten (KontoNr, LoginName, ...) auf einen "Server" gefunden wurde.

Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....

In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.

Markus
Bitte warten ..
Mitglied: themoon19
20.08.2010 um 01:42 Uhr
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.

Virenbefall kann ich aber definitiv ausschliessen.

Sperrung war vor dem 10.08. (Patchday)

@perseues

Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.

Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.

habe den MBR auf Veränderung geprüft aber alles Original.

Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.

Danke euch
Bitte warten ..
Mitglied: DerWoWusste
20.08.2010 um 07:45 Uhr
@goscho
Ist das wirklich so?
Nach MS' Statistiken schon. http://en.wikipedia.org/wiki/Windows_Malicious_Software_Removal_Tool nennt Zahlen, aber bei MS findest Du in den Security reports aktuellere.
Bitte warten ..
Mitglied: goscho
20.08.2010 um 10:16 Uhr
Zitat von themoon19:
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.

Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich durfte gerade einen PC eines Kunden plattmachen, der befallen war (ausgehende SPAM-Mails wurden vom AV-Mail-Wächter bemerkt/teilweise geblockt).
Mehrere AVs (Online und Live-CDs) konnten nichts verdächtiges finden.
Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Unsinn, beim mehrmaligen verkehrten Anmelden wird das Konto nur temporär gesperrt und kann sehr einfach wieder entsperrt werden (einzelne TAN zum Generieren einer neuen PIN).
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.
Das ist zwar o.k.,
aber wenn er von unterwegs/daheim mal eben auf sein Konto schauen will, geht er auch über die Homepage der Bank/Kasse. ;-) face-wink
Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.
Guter Einfall. :-) face-smile
Bitte warten ..
Mitglied: perseues
20.08.2010 um 11:20 Uhr
Hallo ich weiß, der Thread ist gelöst, aber

Zitat von goscho:
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.

kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?

Grüße perseues
Bitte warten ..
Mitglied: rkbwde
30.08.2010 um 18:23 Uhr
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ... oder (in englisch) http://www.abuse.ch/?p=1037.

> Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich auch nicht. Zum einen mag der Schädling noch so neu sein, dass es noch keine passende Signatur für seine Erkennung gibt. Zum anderen verändern manche Viren das befallene Windows so, dass sie darunter praktisch nicht mehr sichtbar sind (Stichwort: Rootkit).

Für den Scan sollte man daher zumindest von einer aktuellen Virenscanner-CD booten (gibt es z.B. von Avira: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html ), so dass das befallene Windows nicht gestartet wird, sondern von einem sauberen System aus gescannt wird.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin kaum Viren gibt.
Bitte warten ..
Mitglied: goscho
30.08.2010 um 18:35 Uhr
Zitat von rkbwde:
> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
Hallo rkwde,
ich finde das eine sehr gute Initiative, aber die können nicht sehen, dass dieser PC eine Verseuchung hat, sondern allenfalls ein PC aus dem Netz mit der öffentlichen IP, des Kunden:
Die Software protokolliert die Domains oder IP-Adressen der infizierten Rechner, die oftmals unbemerkt zur Steuerung eines Botnetzes genutzt werden.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder
c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.
Auch das muss nicht immer helfen. Ich hatte zuletzt einen sehr schwieriegen Fall, wo auch der Scann mit mehreren Boot-CD-Versionen (auch desinfec't) nicht das gewünschte Ergebnis brachte. Erst eine - immer helfende - Neuinstallation behob das Problem.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wohin mit alter (Server)Hardware?
insidERRVor 10 StundenFrageOff Topic33 Kommentare

Hallo zusammen. Nachdem unser Leasing nach 5 Jahren ausgelaufen ist, haben wir auf der Arbeit neue Server bekommen. Wieder sind es zwei Hosts für ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 1 TagFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

LAN, WAN, Wireless
WLAN Netz über LAN verstärken
PeterM200Vor 1 TagFrageLAN, WAN, Wireless18 Kommentare

Hallo zusammen! Ich bin neu hier, suche schon seit Stunden im Netz nach einer Lösung für mein Problem und habe mich nun entschlossen, hier ...

Windows 10
PDF unterschreiben
ahussainVor 1 TagFrageWindows 1012 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...

SAN, NAS, DAS
Privater NAS Server für günstig Geld
gelöst pavelruVor 1 TagFrageSAN, NAS, DAS9 Kommentare

Hallo Zusammen, Wir möchte für privat uns einen Speicher für Daten anlegen. Jetzt ist die Frage, welcher empfohlen wird? Wir möchten folgendes beinhalten: - ...

Router & Routing
LTE oder 5G im Wohnmobil
IT-ProfVor 1 TagFrageRouter & Routing14 Kommentare

Hallo Gemeinde, meine Frau hat ein Wohnmobil gekauft. Ganz viel Technik drin im LKW, aber kein Internet über die Hotspot Funktion des Smartphones hinaus. ...

Windows 10
Windows 10 Anmeldezeitenbeschränkung für Kinder
gelöst bastian23Vor 12 StundenFrageWindows 1014 Kommentare

Hallo, kennt jemand von Euch eine Lösung, um meine Kinder daran zu hintern ihre Notebooks nach z.B. 21 Uhr zu nutzen? Ein einfacher shutdown ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...