Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zeus2 Trojaner ist nicht zu finden Sparkasse sperrt Onlinetransaktionen

Mitglied: themoon19

themoon19 (Level 1) - Jetzt verbinden

19.08.2010, aktualisiert 01.02.2011, 16492 Aufrufe, 12 Kommentare

Bank ruft bei Kunden an und sagt er hat einen Trojaner auf seinem PC Namens Zeus2 und soll neues System aufspielen?

Hi,

PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.

Konfiguration des PC:

Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.

Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.

Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.

Keine Funde

Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.

Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:

■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:

■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Ist das nun eine Masche der Sparkasse ihren Kunden das Pin /Tan verfahren umzustellen? Oder ist der Trojaner so rafiniert sich so zu tarnen, das er von keiner Antivirensoftware erkannt wird??
Mitglied: DerWoWusste
19.08.2010 um 00:47 Uhr
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Bitte warten ..
Mitglied: n.o.b.o.d.y
19.08.2010 um 06:12 Uhr
Hallo,
was mich vor allem interessieren würde, wie hat die Bank das feststellen können?
Bitte warten ..
Mitglied: goscho
19.08.2010 um 09:45 Uhr
Zitat von DerWoWusste:
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Naja, ob die direkt anrufen oder doch eher Post/Mails schicken.

Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday
[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
Ist das wirklich so?

@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt.
Bitte warten ..
Mitglied: Supaman
19.08.2010 um 10:50 Uhr
da wäre erstmal interesant, WOHER die bank das so genau weis... haben die ihre eigene schnüffelsoftware auf dem kunden pc ?

beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.

als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.

denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
Bitte warten ..
Mitglied: perseues
19.08.2010 um 16:38 Uhr
Hallo,

hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.

Grüße perseues
Bitte warten ..
Mitglied: BigWim
19.08.2010 um 16:50 Uhr
Die Sparkassen bekommen von Ihrem Rechenzentrum eine Info, dass Kundendaten (KontoNr, LoginName, ...) auf einen "Server" gefunden wurde.

Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....

In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.

Markus
Bitte warten ..
Mitglied: themoon19
20.08.2010 um 01:42 Uhr
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.

Virenbefall kann ich aber definitiv ausschliessen.

Sperrung war vor dem 10.08. (Patchday)

@perseues

Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.

Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.

habe den MBR auf Veränderung geprüft aber alles Original.

Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.

Danke euch
Bitte warten ..
Mitglied: DerWoWusste
20.08.2010 um 07:45 Uhr
@goscho
Ist das wirklich so?
Nach MS' Statistiken schon. http://en.wikipedia.org/wiki/Windows_Malicious_Software_Removal_Tool nennt Zahlen, aber bei MS findest Du in den Security reports aktuellere.
Bitte warten ..
Mitglied: goscho
20.08.2010 um 10:16 Uhr
Zitat von themoon19:
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.

Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich durfte gerade einen PC eines Kunden plattmachen, der befallen war (ausgehende SPAM-Mails wurden vom AV-Mail-Wächter bemerkt/teilweise geblockt).
Mehrere AVs (Online und Live-CDs) konnten nichts verdächtiges finden.
Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Unsinn, beim mehrmaligen verkehrten Anmelden wird das Konto nur temporär gesperrt und kann sehr einfach wieder entsperrt werden (einzelne TAN zum Generieren einer neuen PIN).
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.
Das ist zwar o.k.,
aber wenn er von unterwegs/daheim mal eben auf sein Konto schauen will, geht er auch über die Homepage der Bank/Kasse.
Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.
Guter Einfall.
Bitte warten ..
Mitglied: perseues
20.08.2010 um 11:20 Uhr
Hallo ich weiß, der Thread ist gelöst, aber

Zitat von goscho:
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.

kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?

Grüße perseues
Bitte warten ..
Mitglied: rkbwde
30.08.2010 um 18:23 Uhr
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ... oder (in englisch) http://www.abuse.ch/?p=1037.

> Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich auch nicht. Zum einen mag der Schädling noch so neu sein, dass es noch keine passende Signatur für seine Erkennung gibt. Zum anderen verändern manche Viren das befallene Windows so, dass sie darunter praktisch nicht mehr sichtbar sind (Stichwort: Rootkit).

Für den Scan sollte man daher zumindest von einer aktuellen Virenscanner-CD booten (gibt es z.B. von Avira: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html ), so dass das befallene Windows nicht gestartet wird, sondern von einem sauberen System aus gescannt wird.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin kaum Viren gibt.
Bitte warten ..
Mitglied: goscho
30.08.2010 um 18:35 Uhr
Zitat von rkbwde:
> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
Hallo rkwde,
ich finde das eine sehr gute Initiative, aber die können nicht sehen, dass dieser PC eine Verseuchung hat, sondern allenfalls ein PC aus dem Netz mit der öffentlichen IP, des Kunden:
Die Software protokolliert die Domains oder IP-Adressen der infizierten Rechner, die oftmals unbemerkt zur Steuerung eines Botnetzes genutzt werden.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder
c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.
Auch das muss nicht immer helfen. Ich hatte zuletzt einen sehr schwieriegen Fall, wo auch der Scann mit mehreren Boot-CD-Versionen (auch desinfec't) nicht das gewünschte Ergebnis brachte. Erst eine - immer helfende - Neuinstallation behob das Problem.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Ip6tables sperrt komplett
gelöst Frage von ketanest112Router & Routing4 Kommentare

Hallo zusammen, ich habe schon ein wenig recherchiert, aber nix zur Problemlösung gefunden. Ich habe letztens dann doch auch ...

SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst Frage von dennz2018SAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Backup

Find-Befehl - Es hakt gerade

Frage von it-fraggleBackup1 Kommentar

Vielleicht sollte ich endlich schlafen gehen, aber DAS muss ich noch zuende machen. Wo ist der Fehler? In /media/backups/ ...

Sicherheits-Tools

Ransom32 sperrt meine Dateien! Hilfe!

Frage von DepontSicherheits-Tools3 Kommentare

Hey. Wie kann ich meine Dateien entsperren, wenn alles mit dem Ransom32 blockiert ist? Ich kann nichts ansehen und ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 1 TagViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)5 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 3 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs28 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
Frage von SnowbirdHyper-V18 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Ubuntu
Download manchmal langsam oder komplette Abbrüche bzw. Videos spielen nicht bis zum Schluss
Frage von stefanstpUbuntu17 Kommentare

Immer wieder berichten unsere Kunden, dass Downloads abbrechen oder super langsam sind oder Videos nicht abgespielt werden können bzw. ...

Festplatten, SSD, Raid
SSDs durch Lagerung ohne Strom nach 6 Monaten defekt?!?
gelöst Frage von GlobetrotterFestplatten, SSD, Raid15 Kommentare

Moin Gemeinde Ich hatte gerade nen Trauerspiel Habe hier etliche NAS-Geräte herumfahren welche ich mal auf die Seite gelegt ...