Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie vorgehen nach erfolgtem Phishing-Angriff durch Trojaner

Frage Sicherheit Viren und Trojaner

Mitglied: northern

northern (Level 1) - Jetzt verbinden

12.08.2012, aktualisiert 15:03 Uhr, 5093 Aufrufe, 7 Kommentare

Hallo Leute,
unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server im Ausland wurden Benutzername und Passwort für die Bankkonten der Firma gefunden. Die Gangster haben sich in das Bankkonto eingeloggt und versucht Transaktionen durchzuführen, was allerdings lt. Auskunft der Bank misslang, somit also bisher kein Schaden entstanden ist.
Der betreffende Account wurde von der Bank bis auf weiteres gesperrt. Ich habe alle Rechner im Lan mit verschiedenen Rescue-CD's (Antivir,Kaspersky) gescannt und bin auf dem Rechner des betreffenden auch fündig geworden.
Es handelt sich um die bekannte Malware Trojan-PSW.Win32.Inverse.j
hier eine kurze Beschreibung-->http://www.nictasoft.com/viruslib/malware/Trojan-PSW.Win32.Inverse.j"
Dieser Trojaner ist kein Keylogger sondern sammelt auf dem Rechner gespeicherte Login-Daten. Sehr gut möglich dass der Kollege diese im Firefox gespeichert hat
Die Malware war übrigens in einer Software für CAD-Design in einer CAB-DAtei versteckt und hat den Dateinamen "Stickypic.exe".
Morgen wird erst mal zu klären sein woher die Software kommt und wer diese auf den Rechner aufgespielt hat.

Das auf dem betroffenen Rechner installierte Microsoft Security Essentials hat nicht angeschlagen und auch beim direkten Scannen mit MSE erkennt das Programm die Malware nicht. Das nur am Rande bemerkt!

Selbstredend haben wir alle wichtigen Login's geändert. MSE wird durch Kaspersky ersetzt und die Bankgeschäfte werden in Zukunft mit Hibiscus getätigt.

Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der infizierte Rechner, zur Beweissicherung irgendwie gesichert werden ?

mfg
northern
Mitglied: filippg
12.08.2012 um 16:04 Uhr
Hallo,

unsere Firma erhielt am Donnerstag einen Anruf von Ihre Bank. Auf einem Server
im Ausland wurden Benutzername und Passwort
für die Bankkonten der Firma gefunden.
Und um zu verifizieren, dass es auch wirklich eure Daten sind, habt ihr dem "Bankmitarbeiter" dann Kontonummer, PIN und eine TAN mitgeteilt?

Meine Frage: Wie ist in einem solchen Fall weiter vorzugehen ? Muss der
infizierte Rechner, zur Beweissicherung irgendwie
gesichert werden ?
Frage am besten deine Bank. Die müsste ja schon Anzeige erstattet haben, und mit der Polizei in Kontakt stehen.
Theoretisch könnte der Rechner ein Beweisstück sein, das ist richtig. Allerdings kann nicht sichergestellt werden, dass es in der zwischenzeit manipuliert wurde, daher ist der Wert nicht all zu hoch. Außerdem sparen sich Polizei & Staatsanwaltschaft gerne den Aufwand, alle PCs aller 10.000 betroffenen einzusammeln und forensisch zu untersuchen. Lieber untersucht man Spuren auf den Servern und den PCs der vermutlichen Drahtzieher. Daher wird man auf dieses Beweisstück wahrscheinlich "verzichten".
Auf Nachfrage wirst du wahrscheinlich gesagt bekommen, wenn es dir möglich ist, sollst du den PC 6 Wochen ausgeschaltet in einer Ecke stehen lassen, falls ihn sich jemand ansehen will.

Gruß

Filipp
Bitte warten ..
Mitglied: ChrisIO
12.08.2012 um 20:36 Uhr
Hey,

ein Image vom infizierten Rechner sollte doch wohl reichen.
Somit kannst Du mit der Workstation direkt wieder in den Produktivbetrieb gehen.

MfG,
Chris
Bitte warten ..
Mitglied: mrtux
12.08.2012, aktualisiert um 23:58 Uhr
Hi!

Was willst Du da erreichen? Die Täter sitzen meist im Ausland (Osteuropa z.B. Rumänien) und werden eh nicht erwischt. Und es gibt nach meiner Erfahrung keine Antimalwarelösung die vor sowas zuverlässig schützt, ob nun kostenlos, kostenpflichtig oder noch so namhaft. Das einzige was "hilft" ist Banking per HBCI Smartcard samt Reader (besser gleich noch unter Linux) und deine Wachsamkeit bezüglich der grundsätzlichen Netzwerksicherheit.

Nach meiner Meinung haben auch die Banken ihre Hausaufgaben nicht gemacht. Banking mit Kartenleser wird bei deren "Kundenberatung" immer weiter zu Gunsten ihrer viel unsichereren Online-Portale zurückgefahren. Klar die Banken sparen dabei Kosten, ist aber meiner Meinung nach ein absoluter Rückschritt in der Sicherheit.

mrtux
Bitte warten ..
Mitglied: northern
13.08.2012 um 21:48 Uhr
Die Banken können sich ein gewissen "Geld-Abfluss" durch skimming, hacking etc. leisten. Erst wenn der Schaden ein gewisses Level überschreitet dann handeln die Banken bzw. Betreiber. Wen schert da schon die Sicherheit wenn die Kasse am Ende des Tages stimmt...

Die CAD-Software, in der der Trojaner in einer CAB-Datei "verpackt" war, gehört zu einer Wasserstrahl-Schneidemaschine die so um die 250000 kostet. Die Software selbst kommt von einem Techniker dieser Firma, der sie wahrscheinlich von dem Hersteller der Maschine bezieht.

northern
Bitte warten ..
Mitglied: western
22.08.2012 um 16:12 Uhr
Hello,
Nothern, deine Aussage hinsichtlich der Firma "O...." welche Wasserstrahl-Schneidemaschinen" herstellt etc. ist äusserst interessant.
- Hast du eine Ahnung was der Trojaner macht?
- Hast du mehr informationen zu diesem Techniker?
- etc. etc.

Gruss western
Bitte warten ..
Mitglied: atmosfear
28.12.2012 um 23:49 Uhr
Hallo Leute,
euer Thema ist zwar schon ne Weile her, es würde mich aber interesieren, was daraus geworden ist, weil auch ich heute bei einem Virenscan auf meinem privaten Notebook diese Datei gefunden habe, und zwar versteckt in der CAD- Software der Firma "O..x", die Wasserstrahl-Schneideanlagen herstellt. Diese Firma ist sehr freigebig im Bezug auf Lizenzen für die Software; jeder Mitarbeiter, der auf der Maschine geschult wurde, hatte die Möglichkeit, ganz offiziell die Software incl. Aktivierungsschlüssel mit nach Hause zu nehmen, für mich in der Position als Produktionsleiter schon selbstverständlich; ich habe damit auch verschiedentlich zu Hause Arbeit vorbereitet....
Im Moment bin ich zwar in Elternzeit, werde meine Leute aber in jedem Falle darauf mal aufmerksam machen und fände es wertvoll, von euch zu hören.
Gruss atmosfear
Bitte warten ..
Mitglied: northern
30.12.2012 um 11:43 Uhr
ich habe damals das infizierte Programm (eine "msi-Datei") nebst den Ergebnissen des Virenscans auf einer CD dem Techniker zugeschickt. Er wollte das dann an den Hersteller der Software in den USA schicken. Nach ein paar Wochen bekam ich dann Feedback von dem Techniker: Er hätte Antwort aus den USA erhalten: angeblich wäre alles nur ein Fehlalarm. Die hätten u.a. mit Kaspersky intensiven Kontakt gehabt und von denen bestätigt bekommen, dass es sich bei der Virenmeldung um einen Fehlalarm handelt. Ich habe dann eine neue Version des CAD-Programms per Download-Link erhalten, diese dann auch installiert, gescannt mit den üblichen Scannern und keine Virenmeldung mehr erhalten. Die haben mir auch angeboten, den Schriftwechsel zwischen Kaspersky und dem Konzern in den USA zu schicken, was ich damals nicht weiter verfolgt habe.
Realistisch betrachtet ist es doch so: Sollte tatsächlich in dem CAD-Programm irgendeine Schnüffelsoftware integriert gewesen sein, die Bankdaten oder auch Angebots- oder Auftragsdaten (Industriespionage) abgreift und an irgendwen ausleitet, dann hätte der Hersteller doch das allergrößte Interesse daran, das nicht an die große Glocke zu hängen. Sowas hat ja unter Umständen erhebliche Konsequenzen für die. Leider zahlt mir mein Auftraggeber nicht das Geld das ich bräuchte um die Rechner im Lan regelmäßig von einer externen Quelle (Rescue-CD) zu scannen.
Ich arbeite aber daran, eine virtuelle Maschine mit der CT'Desinfect aufzusetzen (unter Linux) um dann zumindest remote die Möglichkeit zu haben die Rechner auf Schadsoftware hin zu überprüfen.

northern
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff
Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Erkennung und -Abwehr
Phishing-Webseiten-Sammelstelle
Frage von StefanKittelErkennung und -Abwehr8 Kommentare

Hallo, nachdem eine Freundin in einem Phising-Web-Shop bestohlen wurde habe ich ein bisschen geschaut. Der Shops ist eigentlich ganz ...

Viren und Trojaner
BSI warnt vor BSI-Phishing...
Information von mrtuxViren und Trojaner

Hi liebe Kollegen! Naja wer sich weit aus dem Fenster lehnt läuft Gefahr selbst missbraucht zu werden. Anscheinend sind ...

Multimedia & Zubehör
Mobile Geräte Vorgehen bei Vertragsverlängerung
gelöst Frage von xbast1xMultimedia & Zubehör6 Kommentare

Hallo zusammen, Hintergrund: Unser GSL verlässt das Unternehmen, dieser hatte sich bisher in das Thema Vertragsverlängerung von Mobilgeräten mit ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 StundeBatch & Shell1 Kommentar

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 3 StundenHumor (lol)5 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 19 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 19 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...