Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie vorgehen nach erfolgtem Phishing-Angriff durch Trojaner

Frage Sicherheit Viren und Trojaner

Mitglied: northern

northern (Level 1) - Jetzt verbinden

12.08.2012, aktualisiert 15:03 Uhr, 5014 Aufrufe, 7 Kommentare

Hallo Leute,
unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server im Ausland wurden Benutzername und Passwort für die Bankkonten der Firma gefunden. Die Gangster haben sich in das Bankkonto eingeloggt und versucht Transaktionen durchzuführen, was allerdings lt. Auskunft der Bank misslang, somit also bisher kein Schaden entstanden ist.
Der betreffende Account wurde von der Bank bis auf weiteres gesperrt. Ich habe alle Rechner im Lan mit verschiedenen Rescue-CD's (Antivir,Kaspersky) gescannt und bin auf dem Rechner des betreffenden auch fündig geworden.
Es handelt sich um die bekannte Malware Trojan-PSW.Win32.Inverse.j
hier eine kurze Beschreibung-->http://www.nictasoft.com/viruslib/malware/Trojan-PSW.Win32.Inverse.j"
Dieser Trojaner ist kein Keylogger sondern sammelt auf dem Rechner gespeicherte Login-Daten. Sehr gut möglich dass der Kollege diese im Firefox gespeichert hat
Die Malware war übrigens in einer Software für CAD-Design in einer CAB-DAtei versteckt und hat den Dateinamen "Stickypic.exe".
Morgen wird erst mal zu klären sein woher die Software kommt und wer diese auf den Rechner aufgespielt hat.

Das auf dem betroffenen Rechner installierte Microsoft Security Essentials hat nicht angeschlagen und auch beim direkten Scannen mit MSE erkennt das Programm die Malware nicht. Das nur am Rande bemerkt!

Selbstredend haben wir alle wichtigen Login's geändert. MSE wird durch Kaspersky ersetzt und die Bankgeschäfte werden in Zukunft mit Hibiscus getätigt.

Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der infizierte Rechner, zur Beweissicherung irgendwie gesichert werden ?

mfg
northern
Mitglied: filippg
12.08.2012 um 16:04 Uhr
Hallo,

unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server
im Ausland wurden Benutzername und Passwort
für die Bankkonten der Firma gefunden.
Und um zu verifizieren, dass es auch wirklich eure Daten sind, habt ihr dem "Bankmitarbeiter" dann Kontonummer, PIN und eine TAN mitgeteilt?

Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der
infizierte Rechner, zur Beweissicherung irgendwie
gesichert werden ?
Frage am besten deine Bank. Die müsste ja schon Anzeige erstattet haben, und mit der Polizei in Kontakt stehen.
Theoretisch könnte der Rechner ein Beweisstück sein, das ist richtig. Allerdings kann nicht sichergestellt werden, dass es in der zwischenzeit manipuliert wurde, daher ist der Wert nicht all zu hoch. Außerdem sparen sich Polizei & Staatsanwaltschaft gerne den Aufwand, alle PCs aller 10.000 betroffenen einzusammeln und forensisch zu untersuchen. Lieber untersucht man Spuren auf den Servern und den PCs der vermutlichen Drahtzieher. Daher wird man auf dieses Beweisstück wahrscheinlich "verzichten".
Auf Nachfrage wirst du wahrscheinlich gesagt bekommen, wenn es dir möglich ist, sollst du den PC 6 Wochen ausgeschaltet in einer Ecke stehen lassen, falls ihn sich jemand ansehen will.

Gruß

Filipp
Bitte warten ..
Mitglied: ChrisIO
12.08.2012 um 20:36 Uhr
Hey,

ein Image vom infizierten Rechner sollte doch wohl reichen.
Somit kannst Du mit der Workstation direkt wieder in den Produktivbetrieb gehen.

MfG,
Chris
Bitte warten ..
Mitglied: mrtux
12.08.2012, aktualisiert um 23:58 Uhr
Hi!

Was willst Du da erreichen? Die Täter sitzen meist im Ausland (Osteuropa z.B. Rumänien) und werden eh nicht erwischt. Und es gibt nach meiner Erfahrung keine Antimalwarelösung die vor sowas zuverlässig schützt, ob nun kostenlos, kostenpflichtig oder noch so namhaft. Das einzige was "hilft" ist Banking per HBCI Smartcard samt Reader (besser gleich noch unter Linux) und deine Wachsamkeit bezüglich der grundsätzlichen Netzwerksicherheit.

Nach meiner Meinung haben auch die Banken ihre Hausaufgaben nicht gemacht. Banking mit Kartenleser wird bei deren "Kundenberatung" immer weiter zu Gunsten ihrer viel unsichereren Online-Portale zurückgefahren. Klar die Banken sparen dabei Kosten, ist aber meiner Meinung nach ein absoluter Rückschritt in der Sicherheit.

mrtux
Bitte warten ..
Mitglied: northern
13.08.2012 um 21:48 Uhr
Die Banken können sich ein gewissen "Geld-Abfluss" durch skimming, hacking etc. leisten. Erst wenn der Schaden ein gewisses Level überschreitet dann handeln die Banken bzw. Betreiber. Wen schert da schon die Sicherheit wenn die Kasse am Ende des Tages stimmt...

Die CAD-Software, in der der Trojaner in einer CAB-Datei "verpackt" war, gehört zu einer Wasserstrahl-Schneidemaschine die so um die 250000 kostet. Die Software selbst kommt von einem Techniker dieser Firma, der sie wahrscheinlich von dem Hersteller der Maschine bezieht.

northern
Bitte warten ..
Mitglied: western
22.08.2012 um 16:12 Uhr
Hello,
Nothern, deine Aussage hinsichtlich der Firma "O...." welche Wasserstrahl-Schneidemaschinen" herstellt etc. ist äusserst interessant.
- Hast du eine Ahnung was der Trojaner macht?
- Hast du mehr informationen zu diesem Techniker?
- etc. etc.

Gruss western
Bitte warten ..
Mitglied: atmosfear
28.12.2012 um 23:49 Uhr
Hallo Leute,
euer Thema ist zwar schon ne Weile her, es würde mich aber interesieren, was daraus geworden ist, weil auch ich heute bei einem Virenscan auf meinem privaten Notebook diese Datei gefunden habe, und zwar versteckt in der CAD- Software der Firma "O..x", die Wasserstrahl-Schneideanlagen herstellt. Diese Firma ist sehr freigebig im Bezug auf Lizenzen für die Software; jeder Mitarbeiter, der auf der Maschine geschult wurde, hatte die Möglichkeit, ganz offiziell die Software incl. Aktivierungsschlüssel mit nach Hause zu nehmen, für mich in der Position als Produktionsleiter schon selbstverständlich; ich habe damit auch verschiedentlich zu Hause Arbeit vorbereitet....
Im Moment bin ich zwar in Elternzeit, werde meine Leute aber in jedem Falle darauf mal aufmerksam machen und fände es wertvoll, von euch zu hören.
Gruss atmosfear
Bitte warten ..
Mitglied: northern
30.12.2012 um 11:43 Uhr
ich habe damals das infizierte Programm (eine "msi-Datei") nebst den Ergebnissen des Virenscans auf einer CD dem Techniker zugeschickt. Er wollte das dann an den Hersteller der Software in den USA schicken. Nach ein paar Wochen bekam ich dann Feedback von dem Techniker: Er hätte Antwort aus den USA erhalten: angeblich wäre alles nur ein Fehlalarm. Die hätten u.a. mit Kaspersky intensiven Kontakt gehabt und von denen bestätigt bekommen, dass es sich bei der Virenmeldung um einen Fehlalarm handelt. Ich habe dann eine neue Version des CAD-Programms per Download-Link erhalten, diese dann auch installiert, gescannt mit den üblichen Scannern und keine Virenmeldung mehr erhalten. Die haben mir auch angeboten, den Schriftwechsel zwischen Kaspersky und dem Konzern in den USA zu schicken, was ich damals nicht weiter verfolgt habe.
Realistisch betrachtet ist es doch so: Sollte tatsächlich in dem CAD-Programm irgendeine Schnüffelsoftware integriert gewesen sein, die Bankdaten oder auch Angebots- oder Auftragsdaten (Industriespionage) abgreift und an irgendwen ausleitet, dann hätte der Hersteller doch das allergrößte Interesse daran, das nicht an die große Glocke zu hängen. Sowas hat ja unter Umständen erhebliche Konsequenzen für die. Leider zahlt mir mein Auftraggeber nicht das Geld das ich bräuchte um die Rechner im Lan regelmäßig von einer externen Quelle (Rescue-CD) zu scannen.
Ich arbeite aber daran, eine virtuelle Maschine mit der CT'Desinfect aufzusetzen (unter Linux) um dann zumindest remote die Möglichkeit zu haben die Rechner auf Schadsoftware hin zu überprüfen.

northern
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...