gelöst Zeus2 Trojaner ist nicht zu finden Sparkasse sperrt Onlinetransaktionen

Mitglied: themoon19

themoon19 (Level 1) - Jetzt verbinden

19.08.2010, aktualisiert 01.02.2011, 16793 Aufrufe, 12 Kommentare

Bank ruft bei Kunden an und sagt er hat einen Trojaner auf seinem PC Namens Zeus2 und soll neues System aufspielen?

Hi,

PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.

Konfiguration des PC:

Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.

Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.

Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.

Keine Funde

Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.

Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:

■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:

■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Ist das nun eine Masche der Sparkasse ihren Kunden das Pin /Tan verfahren umzustellen? Oder ist der Trojaner so rafiniert sich so zu tarnen, das er von keiner Antivirensoftware erkannt wird??
Mitglied: DerWoWusste
19.08.2010 um 00:47 Uhr
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Bitte warten ..
Mitglied: n.o.b.o.d.y
19.08.2010 um 06:12 Uhr
Hallo,
was mich vor allem interessieren würde, wie hat die Bank das feststellen können?
Bitte warten ..
Mitglied: goscho
19.08.2010 um 09:45 Uhr
Zitat von DerWoWusste:
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Naja, ob die direkt anrufen oder doch eher Post/Mails schicken.

Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday
[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
Ist das wirklich so?

@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt.
Bitte warten ..
Mitglied: Supaman
19.08.2010 um 10:50 Uhr
da wäre erstmal interesant, WOHER die bank das so genau weis... haben die ihre eigene schnüffelsoftware auf dem kunden pc ?

beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.

als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.

denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
Bitte warten ..
Mitglied: perseues
19.08.2010 um 16:38 Uhr
Hallo,

hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.

Grüße perseues
Bitte warten ..
Mitglied: BigWim
19.08.2010 um 16:50 Uhr
Die Sparkassen bekommen von Ihrem Rechenzentrum eine Info, dass Kundendaten (KontoNr, LoginName, ...) auf einen "Server" gefunden wurde.

Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....

In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.

Markus
Bitte warten ..
Mitglied: themoon19
20.08.2010 um 01:42 Uhr
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.

Virenbefall kann ich aber definitiv ausschliessen.

Sperrung war vor dem 10.08. (Patchday)

@perseues

Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.

Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.

habe den MBR auf Veränderung geprüft aber alles Original.

Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.

Danke euch
Bitte warten ..
Mitglied: DerWoWusste
20.08.2010 um 07:45 Uhr
@goscho
Ist das wirklich so?
Nach MS' Statistiken schon. http://en.wikipedia.org/wiki/Windows_Malicious_Software_Removal_Tool nennt Zahlen, aber bei MS findest Du in den Security reports aktuellere.
Bitte warten ..
Mitglied: goscho
20.08.2010 um 10:16 Uhr
Zitat von themoon19:
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.

Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich durfte gerade einen PC eines Kunden plattmachen, der befallen war (ausgehende SPAM-Mails wurden vom AV-Mail-Wächter bemerkt/teilweise geblockt).
Mehrere AVs (Online und Live-CDs) konnten nichts verdächtiges finden.
Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Unsinn, beim mehrmaligen verkehrten Anmelden wird das Konto nur temporär gesperrt und kann sehr einfach wieder entsperrt werden (einzelne TAN zum Generieren einer neuen PIN).
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.
Das ist zwar o.k.,
aber wenn er von unterwegs/daheim mal eben auf sein Konto schauen will, geht er auch über die Homepage der Bank/Kasse.
Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.
Guter Einfall.
Bitte warten ..
Mitglied: perseues
20.08.2010 um 11:20 Uhr
Hallo ich weiß, der Thread ist gelöst, aber

Zitat von goscho:
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.

kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?

Grüße perseues
Bitte warten ..
Mitglied: rkbwde
30.08.2010 um 18:23 Uhr
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ... oder (in englisch) http://www.abuse.ch/?p=1037.

> Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich auch nicht. Zum einen mag der Schädling noch so neu sein, dass es noch keine passende Signatur für seine Erkennung gibt. Zum anderen verändern manche Viren das befallene Windows so, dass sie darunter praktisch nicht mehr sichtbar sind (Stichwort: Rootkit).

Für den Scan sollte man daher zumindest von einer aktuellen Virenscanner-CD booten (gibt es z.B. von Avira: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html ), so dass das befallene Windows nicht gestartet wird, sondern von einem sauberen System aus gescannt wird.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin kaum Viren gibt.
Bitte warten ..
Mitglied: goscho
30.08.2010 um 18:35 Uhr
Zitat von rkbwde:
> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
Hallo rkwde,
ich finde das eine sehr gute Initiative, aber die können nicht sehen, dass dieser PC eine Verseuchung hat, sondern allenfalls ein PC aus dem Netz mit der öffentlichen IP, des Kunden:
Die Software protokolliert die Domains oder IP-Adressen der infizierten Rechner, die oftmals unbemerkt zur Steuerung eines Botnetzes genutzt werden.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder
c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.
Auch das muss nicht immer helfen. Ich hatte zuletzt einen sehr schwieriegen Fall, wo auch der Scann mit mehreren Boot-CD-Versionen (auch desinfec't) nicht das gewünschte Ergebnis brachte. Erst eine - immer helfende - Neuinstallation behob das Problem.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie geht ihr mit grantigen "Kunden" um?
AbstrackterSystemimperatorErfahrungsberichtOff Topic26 Kommentare

Moin Kollegen, mal eine Offtopic Frage in die Runde gestellt. Wie geht ihr mit grantigen "Kunden" (interne IT) / ...

Windows Server
Druckserver Domäne GPO
arik12FrageWindows Server22 Kommentare

Hallo zusammen, Ich möchte einen Druckserver einrichten und Drucker auf dem Druckserver installieren. Die Drucker sollen dann per GPO ...

Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic18 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Server-Hardware
Hp Proliant ml350 g5 kommt nicht zum POST
jetstream3000FrageServer-Hardware12 Kommentare

Hallo Forum So hab mir einen Hp Server zum herumprobieren gekauft hat auch alles funktioniert hat zwei Intel Xeon ...

Grafikkarten & Monitore
Grafikkarte für Office mit HDMI und DisplayPort
df5erge2FrageGrafikkarten & Monitore11 Kommentare

Hallo, für einen älteren Rechner von 2007 welcher eine alte Grafikkarte ohne HDMI und Displayport besitzt, habe ich bereits ...

Hardware
Verwertung alter Hardware
quin83FrageHardware10 Kommentare

Hallo zusammen, bei uns liegt immer mehr Hardware im Lager, welche eigentlich nicht alt ist, aber bei uns keine ...

Ähnliche Inhalte
Batch & Shell
Find Befehle kombinieren
gelöst IleiesFrageBatch & Shell2 Kommentare

Hallo Zusammen, Im Ordner 'C:\Test' befinden sich einige Dateien. Manche davon enden auf '.bak' oder '.db'. Mit diesen beiden ...

Router & Routing
Ip6tables sperrt komplett
gelöst ketanest112FrageRouter & Routing4 Kommentare

Hallo zusammen, ich habe schon ein wenig recherchiert, aber nix zur Problemlösung gefunden. Ich habe letztens dann doch auch ...

SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst dennz2018FrageSAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Backup

Find-Befehl - Es hakt gerade

it-fraggleFrageBackup1 Kommentar

Vielleicht sollte ich endlich schlafen gehen, aber DAS muss ich noch zuende machen. Wo ist der Fehler? In /media/backups/ ...

Windows Netzwerk

Applocker sperrt Freigegebene Anwendungen

DemonixFrageWindows Netzwerk4 Kommentare

Moin zusammen ich weiß, AppLocker zu implementieren setzt masochistische Neigungen voraus, aber das steht hier nicht zur Debatte :) ...

Windows Netzwerk

PC sperrt vor Ablauf der Inaktivitätsgrenze

nairdaFrageWindows Netzwerk3 Kommentare

Moin zusammen, mich beschäftigt zurzeit ein sehr "interessantes" Phänomen, was ich bisher nicht lösen konnte: Wir haben Sicherheits- und ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud