Trojaner Hijacker.Gen und das Phishing

Bastian_78d4b9 · 10. November 2019 um 10:38

Hallo
Am Wochenende wollten Bekannte eine Überweisung per Online Banking durchführen.

Beim Einlog Versuch bei der Bank kam dann eine Aufforderung gleich 10!! aktuelle TANs einzugeben. Ich ging gleich von Phishing aus und lies das Konto erstmal sperren, da der PIN schon eingegeben wurde.
Auch öffnet sich beim Browser(IE und Opera) als Startseite jetzt Sparkasse Online bzw Postbank und fordert TANs(auch wenn dort keiner Kunde ist).

Der PC ist nicht mein eigener sondern der von Bekannten. Darum habe ich keinen wirklichen Einfluss auf die Sicherheit.

Sie surfen alle mit Adminrechten und halten sich eher weniger an Virus Updates(merkbefreit!). Ich bin der der alle paar Wochen mal das System checkt und Antivir gab mir den Trojaner Hijacker.Gen als Bösewicht raus. Spybot fand auch einige Schädlinge und entfernte sie. Adaware entfernte ca 480 Cockies und Dateien. Zum Schluss deinstallierte ich Antivir und installierte AVG und auch der Scanner fand noch Schadsoftware. Ein Hijackthis Log kann ich jetzt nicht einstellen, da ich von anderen PC schreibe.

Nun bekomme ich aber den Trojaner nicht vom System. Er schreibt sich bei jedem Neustart in eine neue .CPX Datei im system32 ordner. Die kann ich löschen, finde aber nicht den Verursacher.

Kann mir jemand sagen ob er zu entfernen ist oder soll ich das System neu aufsetzen?
Für mich ist das erste mal das mir ein Befall zu Ohren kommt, welcher Internetseiten einschleußt.
Ist das eine neue Masche oder schon länger bekannt?

Herzlichen Dank für alle Antworten.

P.S. Ich habe mich auch schon aufgeregt wie man so sorglos mit der Sicherheit umgeht. Man benutzt IE weil er halt schon immer drauf war und ein neuer Browser zu kompliziert sei. Man ist halt kein Computerfreak und kennt sich nicht aus, hat aber auch keine Lust sich nur ein bisschen damit zu beschäftigen. Selbst ein eingeschränktes Benutzerkonto zu erstellen lässt mich als Informatiker erscheinen.
Aber Online Banking wollen sie trotzdem, ist halt bequem. Wenn das Geld weg dann Geschrei groß!

Anonym_2eb43819b127 · 10. November 2019 um 10:38

Das was Du da schreibst hat mit „Sicherheit“ nun gar nichts zu tun. un dann noch in so einer Umgebung Bankgeschäfte machen … sehr fahrlässig !

Ich würde die Maschinen neu aufsetzen, wenn möglich anstelle von Windows auf Linux ( mein Favorit SuSE ) umsteigen und Benutzern generell nur die Rechte geben, die sie wirklich benötigen. Firewall einstellen und zwar kritisch betrachtend !

Dein Problem ist die Sorglosigkeit.

Toni_9329a9 · 10. November 2019 um 10:38

Hi Bastian.

Kann mir jemand sagen ob er zu entfernen ist oder soll ich das
System neu aufsetzen?
Für mich ist das erste mal das mir ein Befall zu Ohren kommt,
welcher Internetseiten einschleußt.
Ist das eine neue Masche oder schon länger bekannt?

…schon etwas länger.

http://www.oschad.de/wiki/index.php/Kompromittierung

MfG
Toni

Anonym_028940377b35 · 10. November 2019 um 10:38

Hallo Bastian

Der PC ist nicht mein eigener sondern der von Bekannten. Darum
habe ich keinen wirklichen Einfluss auf die Sicherheit.

Sorge für klare Verhältnisse, indem Du mit diesen Bekannten eine Vereinbarung triffst, dass Du derjenige bist, der den Rechner einrichtet und wartet und sie nur damit arbeiten. Dann richtest Du ihnen das System so ein, dass sie a) keine Adminrechte haben und b) evt. der IE versteckt ist. Du schulst alle Betroffenen soweit, dass sie vernünftig mit dem Rechner umgehen können. Und Du vereinbarst, was zu tun ist, wenn Du feststellst, dass sie sich nicht an Deine Empfehlungen etc. halten. Damit sie, wenn sie sich weiterhin fahrlässig verhalten, auch entsprechend ‚bestraft‘ werden.

Kann mir jemand sagen ob er zu entfernen ist oder soll ich das
System neu aufsetzen?

Neu aufsetzen. Und sicherheitshalber sämtliche Kennwörter für Mailkonten etc. ändern. Und bei den Bankkonten etc. in nächster Zeit die Kontoauszüge sehr sorgfältig prüfen, ob wirklich nur das abgebucht wird, was der jeweilige Konto-Inhaber veranlasst hat.

Für mich ist das erste mal das mir ein Befall zu Ohren kommt,
welcher Internetseiten einschleußt.

‚Einschleust‘ mit einem ‚s‘…

Ansonsten: Stichwort Browser-Hijacker.

Ist das eine neue Masche oder schon länger bekannt?

TANs abzugreifen ist nicht neu.

Man benutzt IE weil er halt schon immer drauf war und ein neuer
Browser zu kompliziert sei.

Man hat ABS, also braucht man nicht mehr so viel Abstand zum Vordermann zu lassen und kann ihm in den Auspuff kriechen.

Man ist halt kein Computerfreak und kennt sich nicht aus, hat aber
auch keine Lust sich nur ein bisschen damit zu beschäftigen.

Ich bin auch kein Autofreak und kenne mich auch nicht mit dessen Technik aus. Ich habe auch keine Lust, mich damit zu beschäftigen. Darum schraube ich nicht selber an den Bremsen rum. Sondern lasse mein Auto von einem Fachmann aka KFZ-Mechaniker warten, reparieren etc.

Aber Online Banking wollen sie trotzdem, ist halt bequem. Wenn
das Geld weg dann Geschrei groß!

Vielleicht muss ihnen das aber auch wirklich passieren, damit sie es merken…

CU
Peter

Anonym · 10. November 2019 um 10:38

Eigentlich wurde ja alles genannt. Aber noch zur Wartung:
Schon mal überlegt, ob du eine Fernwartung einsetzt, damit du das System besser administrieren, überwachen und vor allem WARTEN kannst?

Stichwort „Tasks“!
Ich würde an deiner Stelle wenigstens das AntiVirus-Programm so einstellen, dass es zumindest einmal die Woche das System überprüft und jeden Tag nach Updates sucht. Sonst brauchst du ja ewig, wenn du das nur alle paar Wochen mal machst und ausserdem ist es zumindest etwas sicherer.

Bei Spybot würde ich das auch machen. Müsste so ungefähr funktionieren:

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autoupdate /autoclose /taskbarhide

Dr_No_1_faafda · 10. November 2019 um 10:45

Nochmal zur Sache mit dem Trojaner.
Da ich nicht weiß um was für einen Trojaner es sich handelt, kann ich nur darauf plädieren, dass den Benutzern des Computers „deutlich“ darauf hingewiesen wird, verdächtige Dateien (kleine meist nur

Anonym_028940377b35 · 10. November 2019 um 10:47

Hallo

Da ich nicht weiß um was für einen Trojaner es sich handelt,
kann ich nur darauf plädieren, dass den Benutzern des
Computers „deutlich“ darauf hingewiesen wird, verdächtige
Dateien (kleine meist nur

Dr_No_1_faafda · 10. November 2019 um 10:47

Die Grösse ist kein wirkliches Kriterium. Da gibt es andere
Aspekte, die viel wichtiger sind, z.B. den Benutzern nur
beschränkte Rechte zu vergeben und ihnen eine generelle
Vorsicht im Umgang mit Daten aus unbekannter bzw. unsicherer
Quelle beizubringen. Wobei das Internet grundsätzlich als
unsicher zu betrachten ist.

Es gibt eine Vielzahl an Trojanern, wie Bifrost, Shark, CIA usw, dessen Server.exe nicht größer als 300 KB sind. Und da diese weit verbreitet sind, ist es meiner Meinung nach sehr relevant nicht jede Datei zu öffnen, sondern vorher nach zu schauen ob es sich um einen klassischen Trojaner, wie oben genannt, handeln kann. Habe schon selbst den Fehler gemacht und schon war das Passwort meines Steamaccounts (half-life) geändert.

Das möchtest Du genauer erläutern. Nenne wenigstens einen
Trojaner, der eine Formatierung und anschliessende
Neuinstallation überlebt.

Es kommt hauptsächlich auf die Konfiguration bzw Programmierung an.
Aber solange die Daten nach einer Formatierung nicht überschrieben sind, befinden sie sich immer noch auf der Festplatte…