Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zeus2 Trojaner ist nicht zu finden Sparkasse sperrt Onlinetransaktionen

Mitglied: themoon19

themoon19 (Level 1) - Jetzt verbinden

19.08.2010, aktualisiert 01.02.2011, 16560 Aufrufe, 12 Kommentare

Bank ruft bei Kunden an und sagt er hat einen Trojaner auf seinem PC Namens Zeus2 und soll neues System aufspielen?

Hi,

PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.

Konfiguration des PC:

Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.

Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.

Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.

Keine Funde

Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.

Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:

■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:

■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Ist das nun eine Masche der Sparkasse ihren Kunden das Pin /Tan verfahren umzustellen? Oder ist der Trojaner so rafiniert sich so zu tarnen, das er von keiner Antivirensoftware erkannt wird??
Mitglied: DerWoWusste
19.08.2010 um 00:47 Uhr
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Bitte warten ..
Mitglied: n.o.b.o.d.y
19.08.2010 um 06:12 Uhr
Hallo,
was mich vor allem interessieren würde, wie hat die Bank das feststellen können?
Bitte warten ..
Mitglied: goscho
19.08.2010 um 09:45 Uhr
Zitat von DerWoWusste:
Hi.

Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Naja, ob die direkt anrufen oder doch eher Post/Mails schicken.

Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday
[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
Ist das wirklich so?

@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt.
Bitte warten ..
Mitglied: Supaman
19.08.2010 um 10:50 Uhr
da wäre erstmal interesant, WOHER die bank das so genau weis... haben die ihre eigene schnüffelsoftware auf dem kunden pc ?

beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.

als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.

denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
Bitte warten ..
Mitglied: perseues
19.08.2010 um 16:38 Uhr
Hallo,

hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.

Grüße perseues
Bitte warten ..
Mitglied: BigWim
19.08.2010 um 16:50 Uhr
Die Sparkassen bekommen von Ihrem Rechenzentrum eine Info, dass Kundendaten (KontoNr, LoginName, ...) auf einen "Server" gefunden wurde.

Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....

In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.

Markus
Bitte warten ..
Mitglied: themoon19
20.08.2010 um 01:42 Uhr
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.

Virenbefall kann ich aber definitiv ausschliessen.

Sperrung war vor dem 10.08. (Patchday)

@perseues

Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.

Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.

habe den MBR auf Veränderung geprüft aber alles Original.

Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.

Danke euch
Bitte warten ..
Mitglied: DerWoWusste
20.08.2010 um 07:45 Uhr
@goscho
Ist das wirklich so?
Nach MS' Statistiken schon. http://en.wikipedia.org/wiki/Windows_Malicious_Software_Removal_Tool nennt Zahlen, aber bei MS findest Du in den Security reports aktuellere.
Bitte warten ..
Mitglied: goscho
20.08.2010 um 10:16 Uhr
Zitat von themoon19:
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.

Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich durfte gerade einen PC eines Kunden plattmachen, der befallen war (ausgehende SPAM-Mails wurden vom AV-Mail-Wächter bemerkt/teilweise geblockt).
Mehrere AVs (Online und Live-CDs) konnten nichts verdächtiges finden.
Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Unsinn, beim mehrmaligen verkehrten Anmelden wird das Konto nur temporär gesperrt und kann sehr einfach wieder entsperrt werden (einzelne TAN zum Generieren einer neuen PIN).
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.
Das ist zwar o.k.,
aber wenn er von unterwegs/daheim mal eben auf sein Konto schauen will, geht er auch über die Homepage der Bank/Kasse.
Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.
Guter Einfall.
Bitte warten ..
Mitglied: perseues
20.08.2010 um 11:20 Uhr
Hallo ich weiß, der Thread ist gelöst, aber

Zitat von goscho:
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.

kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?

Grüße perseues
Bitte warten ..
Mitglied: rkbwde
30.08.2010 um 18:23 Uhr
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ... oder (in englisch) http://www.abuse.ch/?p=1037.

> Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich auch nicht. Zum einen mag der Schädling noch so neu sein, dass es noch keine passende Signatur für seine Erkennung gibt. Zum anderen verändern manche Viren das befallene Windows so, dass sie darunter praktisch nicht mehr sichtbar sind (Stichwort: Rootkit).

Für den Scan sollte man daher zumindest von einer aktuellen Virenscanner-CD booten (gibt es z.B. von Avira: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html ), so dass das befallene Windows nicht gestartet wird, sondern von einem sauberen System aus gescannt wird.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin kaum Viren gibt.
Bitte warten ..
Mitglied: goscho
30.08.2010 um 18:35 Uhr
Zitat von rkbwde:
> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
Hallo rkwde,
ich finde das eine sehr gute Initiative, aber die können nicht sehen, dass dieser PC eine Verseuchung hat, sondern allenfalls ein PC aus dem Netz mit der öffentlichen IP, des Kunden:
Die Software protokolliert die Domains oder IP-Adressen der infizierten Rechner, die oftmals unbemerkt zur Steuerung eines Botnetzes genutzt werden.

Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder
c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.
Auch das muss nicht immer helfen. Ich hatte zuletzt einen sehr schwieriegen Fall, wo auch der Scann mit mehreren Boot-CD-Versionen (auch desinfec't) nicht das gewünschte Ergebnis brachte. Erst eine - immer helfende - Neuinstallation behob das Problem.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Find Befehle kombinieren
gelöst Frage von IleiesBatch & Shell2 Kommentare

Hallo Zusammen, Im Ordner 'C:\Test' befinden sich einige Dateien. Manche davon enden auf '.bak' oder '.db'. Mit diesen beiden ...

Router & Routing
Ip6tables sperrt komplett
gelöst Frage von ketanest112Router & Routing4 Kommentare

Hallo zusammen, ich habe schon ein wenig recherchiert, aber nix zur Problemlösung gefunden. Ich habe letztens dann doch auch ...

SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst Frage von dennz2018SAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Backup

Find-Befehl - Es hakt gerade

Frage von it-fraggleBackup1 Kommentar

Vielleicht sollte ich endlich schlafen gehen, aber DAS muss ich noch zuende machen. Wo ist der Fehler? In /media/backups/ ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 3 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 3 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 5 TagenHumor (lol)19 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Windows Server
Kontakt mit Warenwirtschaft Software Anbieter - Netzwerkstbilität
Frage von PoddeldunktWindows Server23 Kommentare

Hallo zusammen, entschuldigt erstmal den schlechten Titel, aber mir ist nicht eingefallen wie ich das ganze Aussagekräftiger gestalten soll. ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Windows 10
Reicht eine 64GB SSD für einen Einwahl-PC für die Funktionsupgrade?
gelöst Frage von StefanKittelWindows 1018 Kommentare

Hallo, ich weiß, bei Google steht ganz viel, aber das meiste zu 32GB und irgendwie schreibt jeder was Anderes. ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools18 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...