Zeus2 Trojaner ist nicht zu finden Sparkasse sperrt Onlinetransaktionen
Bank ruft bei Kunden an und sagt er hat einen Trojaner auf seinem PC Namens Zeus2 und soll neues System aufspielen?
Hi,
PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.
Konfiguration des PC:
Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.
Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.
Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.
Keine Funde
Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.
Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:
■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:
■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Ist das nun eine Masche der Sparkasse ihren Kunden das Pin /Tan verfahren umzustellen? Oder ist der Trojaner so rafiniert sich so zu tarnen, das er von keiner Antivirensoftware erkannt wird??
Hi,
PC soll mit Zeus 2 Trojaner infiziert sein, kann diesen aber nciht finden.
Konfiguration des PC:
Windows 7 32bit mit aktuellem Gdata Antivirus installiert, Updates Windows und Gdata laufen bei jedem neustart automatisch.
Jetzt hat die Sparkasse bei diesem Kunden angerufen das der Zeus2 Trojaner auf dem Rechner sein soll.
Habe mit externem System ( miniwinxp) von CD gebootet und Virencheck durchlaufen lassen und auch auf Malware mit Malewarebyte prüfen lassen.
Keine Funde
Also System im Abgesicherten Modus gesartet und noch ein Tren Micro Onlinescan laufen lassen und auch keine Funde.
Typische Zeus2 Dateien sind auch nicht auf dem PC vorhanden?
<<
With Administrator rights:
■%systemroot%\system32\sdra64.ex
■%systemroot%\system32\lowsec
■%systemroot%\system32\lowsec\user.ds
■%systemroot%\system32\lowsec\user.ds.lll %systemroot%\system32\lowsec\local.ds
Without Administrator rights:
■%appdata%\sdra64.exe
■%appdata%\lowsec
■%appdata%\lowsec\user.ds
■%appdata%\lowsec\user.ds.lll
■%appdata%\lowsec\local.ds
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149298
Url: https://administrator.de/forum/zeus2-trojaner-ist-nicht-zu-finden-sparkasse-sperrt-onlinetransaktionen-149298.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
12 Kommentare
Neuester Kommentar
Hi.
Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Klingt nach Schlagzeile: Bank ruft bei Kunden an...
Lass uns doch nicht im Unklaren darüber, was eigentlich zählt. Gibt es konkrete Hinweise auf einen Befall - was hat die Bank denn genau erzählt? Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday [10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von Viren weg)
Naja, ob die direkt anrufen oder doch eher Post/Mails schicken.
Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt.
Ich kann solche Fälle aus der jüngeren Vergangenheit bei Kunden bestätigen.
PCs mit Viren verseucht. Bank sperrt Kunden das Online-Banking, weil zu viele Anfragen in einer bestimmten Zeit erfolgten.
Allerdings kann ich die Übeltäter nicht mehr nennen.
Wann soll diese Infektion denn was bewirkt haben? (Und war das vor dem letzten Patchday
[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
Ist das wirklich so?[10.08.2010], oder danach? - denk an Microsofts malicious software removal Tool, das haut jeden Monat zum Patchday Millionen von
Viren weg)
@themoon,
wenn es dieser PC nicht ist, könnte doch auch ein anderer (Notebook) Schuld sein, mit welchem der Kunde sein Banking erledigt.
da wäre erstmal interesant, WOHER die bank das so genau weis... haben die ihre eigene schnüffelsoftware auf dem kunden pc ?
beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.
als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.
denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
beim "normalen" onlinebanking über den webbrowser hat die bank eine keine chance zu erkennen, ob eine virus auf dem kunden pc ist. wie das bei ihrer bankingsoftware ist weis ich nicht, wäre aber auch eher bedenklich, da die software öhnlich tief ins system eingreifen müsste wie ein antivirenprogramm. und das die dann den virus entdeckt, der vom installierten virenscann übersehen wurde, halte ich für unwahrscheinlich.
als 100% sichere sache bleibt trotzdem nur formatieren und system neu aufspielen.
denkbar wären noch andere szenarien:
- jemand anders versucht sich von einem verseuchten pc einzuloggen bzw hat die logindaten
- die bank will ihren kunden irgendwelche sicherheitspakete verkaufen
- verwechselung bzw unfähigkeit der bank.
Hallo,
hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.
Grüße perseues
hatte im familiären Umfeld mal das Selbe (war aber eine Raiffeisenbank). Anruf Verwandter, dass seine Bank seinen Zugang wegen an angeblichen Trojanerbefalls gesperrt habe. Es war sein Büropc, aktueller McAfee. Die Dame am Telefon konnte ihm auch nichts genaues sagen. Den PC mit verschiedenen Tools kontrolliert - nichts gefunden. Ich vermute, dass auf seinen Account versucht wurde zuzugreifen und die Banken dies als Angriff eines Trojaners werten. Wobei dies nur eine Vermutung ist.
Grüße perseues
Die Sparkassen bekommen von Ihrem Rechenzentrum eine Info, dass Kundendaten (KontoNr, LoginName, ...) auf einen "Server" gefunden wurde.
Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....
In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.
Markus
Um den Kunden zu schützen, wird sofort der Onlinekonto gesperrt und eine neue TAN-Liste aktiviert. Der Kunde wird aufgefordert, seinen Computer zu säubern. Macht er das nicht und seine Kontodaten erscheinen wieder irgendwo, wird er wieder gesperrt ....
In den Formschreiben wird es vielleicht etwas schöner formuliert, aber das ist Prinzip.
Markus
@goscho
Ist das wirklich so?
Nach MS' Statistiken schon. http://en.wikipedia.org/wiki/Windows_Malicious_Software_Removal_Tool nennt Zahlen, aber bei MS findest Du in den Security reports aktuellere.Zitat von @themoon19:
Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.Danke für eure Zahlreichen Antworten.
Kudne hat mir nur geschildert, das er beim Login auf sein Konto per Browser, sich nicht mehr einloggen konnte.
Daraufhin hat er bei der Bank angerufen und die haben ihm gesagt er hätte einen Zeus2 Trojkaner drauf.
Sein OnlineKonto wurde aus Sicherheitsgründen gesperrt und sein bisheriges PIN/TAN verfahren bekommt er nicht mehr wieder.
Kunde soll sich ein anderes Verfahren aussuchen um Online mit seinem Konto verkehren zu können.
Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.Ich durfte gerade einen PC eines Kunden plattmachen, der befallen war (ausgehende SPAM-Mails wurden vom AV-Mail-Wächter bemerkt/teilweise geblockt).
Mehrere AVs (Online und Live-CDs) konnten nichts verdächtiges finden.
Deine Vermutung teile ich auch.
Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Unsinn, beim mehrmaligen verkehrten Anmelden wird das Konto nur temporär gesperrt und kann sehr einfach wieder entsperrt werden (einzelne TAN zum Generieren einer neuen PIN).Es kann ja auch sein das ein anderer User versucht hat sich mit Kontonummer und Pin anzumelden und hatte nur einen Zahlendreher.
Scheint dieser das nun 3 mal zu tun wird das Konto ja auch gesperrt.
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Naja jedenfalls bekommt der Kunde jetzt Chipkartenleser und Starmoney drauf.
Das ist zwar o.k.,aber wenn er von unterwegs/daheim mal eben auf sein Konto schauen will, geht er auch über die Homepage der Bank/Kasse.
Habe zur Sicherheit lieber trotzdem ein altes Image eingespielt um ganz sicher zu sein.
Guter Einfall.
Hallo ich weiß, der Thread ist gelöst, aber
kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?
Grüße perseues
Zitat von @goscho:
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
Die Admins können im Log sehen, dass durch einen Trojaner extrem häufige Anmeldeversuche stattfanden.
kann auch von Programmen erzeugt werden. Mein Verwandter hat eine Abrechnungssoftware, die den Abgleich mit dem Bankkonto per Pin macht. Ist automatisiert und möglicherweise einem Trojaner ähnlich. Machen andere Anbieter, bspw. Datev für ihre Onlinebuchhaltung auch so. Es gibt zwar auch offizielle Schnittstellen dazu, diese lassen sich die Banken aber teilweise mit bis zu 100 € im Monat vergolden. Also vielleicht doch ein Versuch, die Umgehung dieser Kostenstelle zu vereiteln?
Grüße perseues
Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ... oder (in englisch) http://www.abuse.ch/?p=1037.> Virenbefall kann ich aber definitiv ausschliessen.
Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Ich auch nicht. Zum einen mag der Schädling noch so neu sein, dass es noch keine passende Signatur für seine Erkennung gibt. Zum anderen verändern manche Viren das befallene Windows so, dass sie darunter praktisch nicht mehr sichtbar sind (Stichwort: Rootkit).Darauf würde ich mich, auch nach dem Scan mit mehreren AVs, nicht verlassen.
Für den Scan sollte man daher zumindest von einer aktuellen Virenscanner-CD booten (gibt es z.B. von Avira: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html ), so dass das befallene Windows nicht gestartet wird, sondern von einem sauberen System aus gescannt wird.
Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin kaum Viren gibt.
Zitat von @rkbwde:
> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
Hallo rkwde,> Die Bank kann nicht sehen, dass dieser Rechner einen Virenbefall hat.
Doch - dem ZeusTracker-Projekt sei Dank. Vgl. z.B. http://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner ...
oder (in englisch) http://www.abuse.ch/?p=1037.
ich finde das eine sehr gute Initiative, aber die können nicht sehen, dass dieser PC eine Verseuchung hat, sondern allenfalls ein PC aus dem Netz mit der öffentlichen IP, des Kunden:
Die Software protokolliert die Domains oder IP-Adressen der infizierten Rechner, die oftmals unbemerkt zur Steuerung eines Botnetzes genutzt werden.
Wer ganz sicher gehen will, sollte für das Online-Banking am besten ein Linux-Live-System (z.B. Knoppix, OpenSUSE live oder
c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.
Auch das muss nicht immer helfen. Ich hatte zuletzt einen sehr schwieriegen Fall, wo auch der Scann mit mehreren Boot-CD-Versionen (auch desinfec't) nicht das gewünschte Ergebnis brachte. Erst eine - immer helfende - Neuinstallation behob das Problem.c't-Bankix http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-2840 ... ) von CD bzw. DVD booten. Da diese
nicht beschreibbar sind, kann sich auch kein Schädling auf Dauer einnisten - abgesehen davon, dass es für Linux ohnehin
kaum Viren gibt.