7
Wie vorgehen nach erfolgtem Phishing-Angriff durch Trojaner
Hallo Leute,
unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server im Ausland wurden Benutzername und Passwort für die Bankkonten der Firma gefunden. Die Gangster haben sich in das Bankkonto eingeloggt und versucht Transaktionen durchzuführen, was allerdings lt. Auskunft der Bank misslang, somit also bisher kein Schaden entstanden ist.
Der betreffende Account wurde von der Bank bis auf weiteres gesperrt. Ich habe alle Rechner im Lan mit verschiedenen Rescue-CD's (Antivir,Kaspersky) gescannt und bin auf dem Rechner des betreffenden auch fündig geworden.
Es handelt sich um die bekannte Malware Trojan-PSW.Win32.Inverse.j
hier eine kurze Beschreibung-->http://www.nictasoft.com/viruslib/malware/Trojan-PSW.Win32.Inverse.j
Dieser Trojaner ist kein Keylogger sondern sammelt auf dem Rechner gespeicherte Login-Daten. Sehr gut möglich dass der Kollege diese im Firefox gespeichert hat
Die Malware war übrigens in einer Software für CAD-Design in einer CAB-DAtei versteckt und hat den Dateinamen "Stickypic.exe".
Morgen wird erst mal zu klären sein woher die Software kommt und wer diese auf den Rechner aufgespielt hat.
Das auf dem betroffenen Rechner installierte Microsoft Security Essentials hat nicht angeschlagen und auch beim direkten Scannen mit MSE erkennt das Programm die Malware nicht. Das nur am Rande bemerkt!
Selbstredend haben wir alle wichtigen Login's geändert. MSE wird durch Kaspersky ersetzt und die Bankgeschäfte werden in Zukunft mit Hibiscus getätigt.
Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der infizierte Rechner, zur Beweissicherung irgendwie gesichert werden ?
mfg
northern
unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server im Ausland wurden Benutzername und Passwort für die Bankkonten der Firma gefunden. Die Gangster haben sich in das Bankkonto eingeloggt und versucht Transaktionen durchzuführen, was allerdings lt. Auskunft der Bank misslang, somit also bisher kein Schaden entstanden ist.
Der betreffende Account wurde von der Bank bis auf weiteres gesperrt. Ich habe alle Rechner im Lan mit verschiedenen Rescue-CD's (Antivir,Kaspersky) gescannt und bin auf dem Rechner des betreffenden auch fündig geworden.
Es handelt sich um die bekannte Malware Trojan-PSW.Win32.Inverse.j
hier eine kurze Beschreibung-->http://www.nictasoft.com/viruslib/malware/Trojan-PSW.Win32.Inverse.j
Dieser Trojaner ist kein Keylogger sondern sammelt auf dem Rechner gespeicherte Login-Daten. Sehr gut möglich dass der Kollege diese im Firefox gespeichert hat
Die Malware war übrigens in einer Software für CAD-Design in einer CAB-DAtei versteckt und hat den Dateinamen "Stickypic.exe".
Morgen wird erst mal zu klären sein woher die Software kommt und wer diese auf den Rechner aufgespielt hat.
Das auf dem betroffenen Rechner installierte Microsoft Security Essentials hat nicht angeschlagen und auch beim direkten Scannen mit MSE erkennt das Programm die Malware nicht. Das nur am Rande bemerkt!
Selbstredend haben wir alle wichtigen Login's geändert. MSE wird durch Kaspersky ersetzt und die Bankgeschäfte werden in Zukunft mit Hibiscus getätigt.
Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der infizierte Rechner, zur Beweissicherung irgendwie gesichert werden ?
mfg
northern
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189486
Url: https://administrator.de/contentid/189486
Printed on: April 24, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hallo,
Theoretisch könnte der Rechner ein Beweisstück sein, das ist richtig. Allerdings kann nicht sichergestellt werden, dass es in der zwischenzeit manipuliert wurde, daher ist der Wert nicht all zu hoch. Außerdem sparen sich Polizei & Staatsanwaltschaft gerne den Aufwand, alle PCs aller 10.000 betroffenen einzusammeln und forensisch zu untersuchen. Lieber untersucht man Spuren auf den Servern und den PCs der vermutlichen Drahtzieher. Daher wird man auf dieses Beweisstück wahrscheinlich "verzichten".
Auf Nachfrage wirst du wahrscheinlich gesagt bekommen, wenn es dir möglich ist, sollst du den PC 6 Wochen ausgeschaltet in einer Ecke stehen lassen, falls ihn sich jemand ansehen will.
Gruß
Filipp
unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server
im Ausland wurden Benutzername und Passwort
für die Bankkonten der Firma gefunden.
Und um zu verifizieren, dass es auch wirklich eure Daten sind, habt ihr dem "Bankmitarbeiter" dann Kontonummer, PIN und eine TAN mitgeteilt?im Ausland wurden Benutzername und Passwort
für die Bankkonten der Firma gefunden.
Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der
infizierte Rechner, zur Beweissicherung irgendwie
gesichert werden ?
Frage am besten deine Bank. Die müsste ja schon Anzeige erstattet haben, und mit der Polizei in Kontakt stehen.infizierte Rechner, zur Beweissicherung irgendwie
gesichert werden ?
Theoretisch könnte der Rechner ein Beweisstück sein, das ist richtig. Allerdings kann nicht sichergestellt werden, dass es in der zwischenzeit manipuliert wurde, daher ist der Wert nicht all zu hoch. Außerdem sparen sich Polizei & Staatsanwaltschaft gerne den Aufwand, alle PCs aller 10.000 betroffenen einzusammeln und forensisch zu untersuchen. Lieber untersucht man Spuren auf den Servern und den PCs der vermutlichen Drahtzieher. Daher wird man auf dieses Beweisstück wahrscheinlich "verzichten".
Auf Nachfrage wirst du wahrscheinlich gesagt bekommen, wenn es dir möglich ist, sollst du den PC 6 Wochen ausgeschaltet in einer Ecke stehen lassen, falls ihn sich jemand ansehen will.
Gruß
Filipp
Hey,
ein Image vom infizierten Rechner sollte doch wohl reichen.
Somit kannst Du mit der Workstation direkt wieder in den Produktivbetrieb gehen.
MfG,
Chris
ein Image vom infizierten Rechner sollte doch wohl reichen.
Somit kannst Du mit der Workstation direkt wieder in den Produktivbetrieb gehen.
MfG,
Chris
Hi!
Was willst Du da erreichen? Die Täter sitzen meist im Ausland (Osteuropa z.B. Rumänien) und werden eh nicht erwischt. Und es gibt nach meiner Erfahrung keine Antimalwarelösung die vor sowas zuverlässig schützt, ob nun kostenlos, kostenpflichtig oder noch so namhaft. Das einzige was "hilft" ist Banking per HBCI Smartcard samt Reader (besser gleich noch unter Linux) und deine Wachsamkeit bezüglich der grundsätzlichen Netzwerksicherheit.
Nach meiner Meinung haben auch die Banken ihre Hausaufgaben nicht gemacht. Banking mit Kartenleser wird bei deren "Kundenberatung" immer weiter zu Gunsten ihrer viel unsichereren Online-Portale zurückgefahren. Klar die Banken sparen dabei Kosten, ist aber meiner Meinung nach ein absoluter Rückschritt in der Sicherheit.
mrtux
Was willst Du da erreichen? Die Täter sitzen meist im Ausland (Osteuropa z.B. Rumänien) und werden eh nicht erwischt. Und es gibt nach meiner Erfahrung keine Antimalwarelösung die vor sowas zuverlässig schützt, ob nun kostenlos, kostenpflichtig oder noch so namhaft. Das einzige was "hilft" ist Banking per HBCI Smartcard samt Reader (besser gleich noch unter Linux) und deine Wachsamkeit bezüglich der grundsätzlichen Netzwerksicherheit.
Nach meiner Meinung haben auch die Banken ihre Hausaufgaben nicht gemacht. Banking mit Kartenleser wird bei deren "Kundenberatung" immer weiter zu Gunsten ihrer viel unsichereren Online-Portale zurückgefahren. Klar die Banken sparen dabei Kosten, ist aber meiner Meinung nach ein absoluter Rückschritt in der Sicherheit.
mrtux
Die Banken können sich ein gewissen "Geld-Abfluss" durch skimming, hacking etc. leisten. Erst wenn der Schaden ein gewisses Level überschreitet dann handeln die Banken bzw. Betreiber. Wen schert da schon die Sicherheit wenn die Kasse am Ende des Tages stimmt...
Die CAD-Software, in der der Trojaner in einer CAB-Datei "verpackt" war, gehört zu einer Wasserstrahl-Schneidemaschine die so um die 250000 kostet. Die Software selbst kommt von einem Techniker dieser Firma, der sie wahrscheinlich von dem Hersteller der Maschine bezieht.
northern
Die CAD-Software, in der der Trojaner in einer CAB-Datei "verpackt" war, gehört zu einer Wasserstrahl-Schneidemaschine die so um die 250000 kostet. Die Software selbst kommt von einem Techniker dieser Firma, der sie wahrscheinlich von dem Hersteller der Maschine bezieht.
northern
Hello,
Nothern, deine Aussage hinsichtlich der Firma "O...." welche Wasserstrahl-Schneidemaschinen" herstellt etc. ist äusserst interessant.
- Hast du eine Ahnung was der Trojaner macht?
- Hast du mehr informationen zu diesem Techniker?
- etc. etc.
Gruss western
Nothern, deine Aussage hinsichtlich der Firma "O...." welche Wasserstrahl-Schneidemaschinen" herstellt etc. ist äusserst interessant.
- Hast du eine Ahnung was der Trojaner macht?
- Hast du mehr informationen zu diesem Techniker?
- etc. etc.
Gruss western
Hallo Leute,
euer Thema ist zwar schon ne Weile her, es würde mich aber interesieren, was daraus geworden ist, weil auch ich heute bei einem Virenscan auf meinem privaten Notebook diese Datei gefunden habe, und zwar versteckt in der CAD- Software der Firma "O..x", die Wasserstrahl-Schneideanlagen herstellt. Diese Firma ist sehr freigebig im Bezug auf Lizenzen für die Software; jeder Mitarbeiter, der auf der Maschine geschult wurde, hatte die Möglichkeit, ganz offiziell die Software incl. Aktivierungsschlüssel mit nach Hause zu nehmen, für mich in der Position als Produktionsleiter schon selbstverständlich; ich habe damit auch verschiedentlich zu Hause Arbeit vorbereitet....
Im Moment bin ich zwar in Elternzeit, werde meine Leute aber in jedem Falle darauf mal aufmerksam machen und fände es wertvoll, von euch zu hören.
Gruss atmosfear
euer Thema ist zwar schon ne Weile her, es würde mich aber interesieren, was daraus geworden ist, weil auch ich heute bei einem Virenscan auf meinem privaten Notebook diese Datei gefunden habe, und zwar versteckt in der CAD- Software der Firma "O..x", die Wasserstrahl-Schneideanlagen herstellt. Diese Firma ist sehr freigebig im Bezug auf Lizenzen für die Software; jeder Mitarbeiter, der auf der Maschine geschult wurde, hatte die Möglichkeit, ganz offiziell die Software incl. Aktivierungsschlüssel mit nach Hause zu nehmen, für mich in der Position als Produktionsleiter schon selbstverständlich; ich habe damit auch verschiedentlich zu Hause Arbeit vorbereitet....
Im Moment bin ich zwar in Elternzeit, werde meine Leute aber in jedem Falle darauf mal aufmerksam machen und fände es wertvoll, von euch zu hören.
Gruss atmosfear
ich habe damals das infizierte Programm (eine "msi-Datei") nebst den Ergebnissen des Virenscans auf einer CD dem Techniker zugeschickt. Er wollte das dann an den Hersteller der Software in den USA schicken. Nach ein paar Wochen bekam ich dann Feedback von dem Techniker: Er hätte Antwort aus den USA erhalten: angeblich wäre alles nur ein Fehlalarm. Die hätten u.a. mit Kaspersky intensiven Kontakt gehabt und von denen bestätigt bekommen, dass es sich bei der Virenmeldung um einen Fehlalarm handelt. Ich habe dann eine neue Version des CAD-Programms per Download-Link erhalten, diese dann auch installiert, gescannt mit den üblichen Scannern und keine Virenmeldung mehr erhalten. Die haben mir auch angeboten, den Schriftwechsel zwischen Kaspersky und dem Konzern in den USA zu schicken, was ich damals nicht weiter verfolgt habe.
Realistisch betrachtet ist es doch so: Sollte tatsächlich in dem CAD-Programm irgendeine Schnüffelsoftware integriert gewesen sein, die Bankdaten oder auch Angebots- oder Auftragsdaten (Industriespionage) abgreift und an irgendwen ausleitet, dann hätte der Hersteller doch das allergrößte Interesse daran, das nicht an die große Glocke zu hängen. Sowas hat ja unter Umständen erhebliche Konsequenzen für die. Leider zahlt mir mein Auftraggeber nicht das Geld das ich bräuchte um die Rechner im Lan regelmäßig von einer externen Quelle (Rescue-CD) zu scannen.
Ich arbeite aber daran, eine virtuelle Maschine mit der CT'Desinfect aufzusetzen (unter Linux) um dann zumindest remote die Möglichkeit zu haben die Rechner auf Schadsoftware hin zu überprüfen.
northern
Realistisch betrachtet ist es doch so: Sollte tatsächlich in dem CAD-Programm irgendeine Schnüffelsoftware integriert gewesen sein, die Bankdaten oder auch Angebots- oder Auftragsdaten (Industriespionage) abgreift und an irgendwen ausleitet, dann hätte der Hersteller doch das allergrößte Interesse daran, das nicht an die große Glocke zu hängen. Sowas hat ja unter Umständen erhebliche Konsequenzen für die. Leider zahlt mir mein Auftraggeber nicht das Geld das ich bräuchte um die Rechner im Lan regelmäßig von einer externen Quelle (Rescue-CD) zu scannen.
Ich arbeite aber daran, eine virtuelle Maschine mit der CT'Desinfect aufzusetzen (unter Linux) um dann zumindest remote die Möglichkeit zu haben die Rechner auf Schadsoftware hin zu überprüfen.
northern
