Anruf von Sparkasse: Phishing-Attacke durch Zeus2

Trojaneroper

Moin,

ähnlich wie von Anderen in http://www.trojaner-board.de/87689-t...-entdeckt.html geschildert, bekam auch ich vorgestern einen Anruf von meiner Sparkasse, die mich darüber informierte, dass man festgestellt hätte, dass mein Online-Banking-Account (PIN/TAN-Verfahren) durch den Trojaner "Zeus2", eine neuartige Variante des berüchtigten Phishing-Trojaners, gehackt worden wäre. Aus Sicherheitsgründen habe man meinen Zugang gesperrt. Außerdem informierte man mich über sicherere, aber kostenpflichtige Online-Banking-Möglichkeiten und legte mir nahe, eine andere (möglichst kostenpflichtige) Antivirensoftware als Avira Antivir einzusetzen, welche den Trojaner nicht erkennen würde, und mein System komplett neu aufzusetzen.

Da ich in o.g. Thema nicht antworten kann, eröffne ich dieses Thema, um meine Erfahrungen mit euch zu teilen.

Die Sparkasse teilte mir mit, wann die erfolgreiche Attacke stattgefunden hätte. Ich erinnerte mich: Ich wollte eine Überweisung tätigen und wunderte mich beim Login-Prozess über die Meldung "Warten Sie bitte, während wir Ihre Browser-Sicherheitseinstellungen bestätigen ...". Ich habe mir dabei nichts weiter gedacht, da ich von einer neuen Sicherheitsmaßnahme der Sparkasse ausging. Ich blieb anscheinend auch auf der normalen Sparkassen-Seite, konnte die Überweisung normal durch- und ausführen und wurde nicht nach mehreren TAN o.ä. gefragt. Es fiel also wirklich schwer, stutzig zu werden. Anscheinend wurden "lediglich" die Login-Daten gephischt.

Mein System ist ein Windows XP mit Service Pack 3. Zunächst einmal Asche auf mein Haupt: Mein Antivir wurde mehrere Tage lang nicht aktualisiert. Das liegt daran, dass das Programm das Update stets schon versucht, bevor ich mich mit dem Internet verbunden habe. Also schnell AntiVir aktualisiert, den PC vom Internet getrennt und die Systemfestplatte durchsucht. Im Bootsektor wurde nichts gefunden. Der Trojaner TR/Agent.137728.6 wurde drei mal gefunden:

C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\loswify.exe

C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ycivyt.exe

C:\Dokumente und Einstellungen\%user%\Anwendungsdaten\Geut\axoq.exe

Ich vermute, dass die Dateinamen sowie der (ansonsten leere) Ordner "Geut" zufällig generiert wurden, um die Erkennung zu erschweren. Also ab in die Quarantäne bzw. gleich löschen.

Anschließend habe ich msconfig.exe aufgerufen und festgestellt, dass die axoq.exe beim Systemstart automatisch aufgerufen wird. Dort habe ich das Häkchen entfernt.

In o.g. Thema hat cosinus den Bootkit Remover empfohlen, der bei mir unbekannt veränderte MBR meiner beiden internen Festplatten diagnostizierte. Diese habe ich mir "gedumpt" und anschließend die MBR mittels dieses Tools repariert. Ich glaube, nach dem Neustart nach Reparatur der Boot-Festplatte war der per msconfig.exe entfernte Aufruf der axoq.exe wieder da, also habe ich ihn wieder entfernt.

Per CCleaner habe ich noch den entsprechenden Registry-Eintrag ausfindig gemacht, der nach Entfernen der axoq.exe ja als fehlerhafter bzw. verwaister Eintrag gilt, und entfernt. Seitdem ist Ruhe.

Ich habe noch einige Male meine MBR mit dem Bootkit Remover überprüft: Stets alles in Ordnung. Auch habe ich das Tampler-Plugin für Firefox installiert und während eines normalen Surfvorgangs beobachtet, ob von seltsamen Quellen irgendetwas geladen wird - was m.E. nicht der Fall war. Kann ich also davon ausgehen, auch ohne Neuaufsetzung des Systems dem Problem Herr geworden zu sein und den Trojaner komplett entfernt zu haben? Wenn ja:

- Schade, dass ich dafür drei Programme und dieses Forum brauchte, statt einfach nur Antivir.

- Schön aber, dass alle drei Programme Freeware sind und mir dieses Forum helfen konnte.

Wenn nein:

Bitte helft mir.