Gathering of Tweakers

beste tweakers,

een vriend van mij is besmet met het Postbank virus: Trojan-PSW.Win32.Agent.ew. (Windows XP SP2 met bitdefender geinstalleerd inc. de laatste updates) Dit virus vraagt na inlog bij mijnpostbank.nl om 10 verschillende TAN codes, omdat dit vereist zou zijn voor de postbank (dit is overig in verdomd slecht nederlands geschreven ). Na wat onderzoek op internet vond ik op een website wat meer informatie:

Nu is het een Trojaans paard dat gevoelige informatie van de online-bankierders probeert te stelen. Het Trojaans paard Goldun.K (ook Hearse en in de laatste reincarnatie Trojan-PSW.Win32.Agent.ew genoemd) maakt gebruik van een rootkit om zich te verbergen.

Het volgende heb ik gedaan: full system scan met bitdefender, online scan via kaspersky, online scan via mcafee en geen van alleen hebben het virus kunnen verwijderen cq identificieren. De online scanner van Kaspersky gaf een aantal files aan die waren gelockt maar daar zat het volgens mij niet tussen. Ook wordt er op de virus databases bij Kaspersky niets over het virus gezegd omdat het schijnbaar nog niet is bijgewerkt. Aangezien ik een beetje door mijn opties heen ben wil ik jullie graag om hulp vragen!

Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Formateren die hap! Enige alles-uitsluitende optie!

quote:

Snake schreef op maandag 23 juli 2007 @ 02:06:
Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Wie zegt dat er sprake is van een rootkit?

quote:

Groentenman schreef op maandag 23 juli 2007 @ 01:52:
een vriend van mij is besmet met het Postbank virus: Trojan-PSW.Win32.Agent.ew. (Windows XP SP2 met bitdefender geinstalleerd inc. de laatste updates) Dit virus vraagt na inlog bij mijnpostbank.nl om 10 verschillende TAN codes, omdat dit vereist zou zijn voor de postbank (dit is overig in verdomd slecht nederlands geschreven ). Na wat onderzoek op internet vond ik op een website wat meer informatie

De 'officiële' benaming voor deze malwarefamilie is Sinowal of Torpig.
In een windows directory zul je zéér waarschijnlijk ibm[cijfers].dll bestanden vinden - vind de directory en stuur de betreffende bestanden eens naar virus@kaspersky.nl svp.
Vergeet niet het zoeken naar verborgen/systeem bestanden aan te zetten.

quote:

Schouw schreef op maandag 23 juli 2007 @ 14:29:
Wie zegt dat er sprake is van een rootkit?

quote:

Groentenman in "Postbank virus dat om TAN codes vraagt":Het Trojaans paard Goldun.K (ook Hearse en in de laatste reincarnatie Trojan-PSW.Win32.Agent.ew genoemd) maakt gebruik van een rootkit om zich te verbergen.

De TS zelf dus

Is er al bekend wat de Postbank doet hiermee? Of met mensen die wel hun TAN codes weggegeven hebben?

Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

quote:

Jiriki schreef op maandag 23 juli 2007 @ 14:35:
[...]

De TS zelf dus

Ah.
Had er niet zo op gelet omdat die info incorrect is - Sinowal heeft geen rootkit functionaliteiten.

quote:

Is er al bekend wat de Postbank doet hiermee? Of met mensen die wel hun TAN codes weggegeven hebben?

Je kan contact opnemen met de klantenservice afaik.

quote:

frickY schreef op maandag 23 juli 2007 @ 14:43:
Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

de account is al compleet gewijzigd op een andere pc dus daar moeten geen klachten meer uit voortkomen. dat rootkit verhaal baseer ik op de weinige informatie die ik over het virus heb kunnen vinden en heb absoluut geen idee of dit op waarheid berust. het enige wat ik wil weten is; hoe kom ik er vanaf

ik zal even scannen in de windows dir om te kijken of er zulke bestanden voorkomen met ibm (nummers).dll

Altijd formatteren, alleen het virus proberen te verwijderen geeft veel te veel risico met dit soort dingen.

quote:

ik222 schreef op maandag 23 juli 2007 @ 18:32:
Altijd formatteren, alleen het virus proberen te verwijderen geeft veel te veel risico met dit soort dingen.

Onderbouw dat eens.

http://www.virusalert.nl/?show=virus&id=1410

Met beschrijving wat het allemaal doet op je pc en verwijderingsinstructies......heb zelf geen ervaring met deze trojan, dus op eigen risiko

Het risico op malversaties met een Postbankrekening is niet erg groot als je tenminste je nuchtere verstand gebruikt.

1. De Postbank vraagt nooit per e-mail, telefoon of aan de deur om gegevens.
2. Regelmatig je inloggegevens wijzigen voorkomt dat men deze kan gebruiken.
3. Gooi de papieren TAN-lijst overboord en stap over op TAN-nummers via SMS op je eigen GSM

Voldoende veilig denk ik al zou ik, niet al te ver gezochte, weleens een methode willen lezen die deze veiligheidsmaatregelen omzeilt.

advies: format.

Met dit soort dingen moet je gewoon niet gaan zitten klooien met antivirus programma's.

En laat hem die zooi van een p2p niet meer gebruiken.

Kurios wijzigde dit bericht 23-07-2007 20:16 (5%)

quote:

Guardian Angel schreef op maandag 23 juli 2007 @ 20:13:
Het risico op malversaties met een Postbankrekening is niet erg groot als je tenminste je nuchtere verstand gebruikt.

1. De Postbank vraagt nooit per e-mail, telefoon of aan de deur om gegevens.
2. Regelmatig je inloggegevens wijzigen voorkomt dat men deze kan gebruiken.
3. Gooi de papieren TAN-lijst overboord en stap over op TAN-nummers via SMS op je eigen GSM

Voldoende veilig denk ik al zou ik, niet al te ver gezochte, weleens een methode willen lezen die deze veiligheidsmaatregelen omzeilt.

Misschien hacken ze je telefoon wel

Of tenminste... als je een Iphone hebt

Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind
De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

quote:

DaWaN schreef op maandag 23 juli 2007 @ 20:22:
Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind
De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

Wat is er handiger aan ?

Ik kan bij de Postbank overal waar ik ben inloggen en betalen, mits in mijn GSM maar bij me heb
En dat heb ik vaker dan de readers van bijv. Rabo. De Postbank TAN lijst heb ik al jaren niet meer. Als ik wil betalen ontvang ik een SMS met daarin de TAN code..

Ik denk dat het wel een feit is dat het bij andere banken iets veiliger is.

Verder is nog altijd je eigen schuld als je willekeurig TAN codes ergens gaat lopen inkloppen.

Hoyden wijzigde dit bericht 23-07-2007 20:25 (15%)

Ja, je hebt altijd zo'n reader bij de hand. In het buitenland als je van daaruit wilt betalen bijvoorbeeld.

Handiger? Nee. Veiliger? Nee.

quote:

Kurios schreef op maandag 23 juli 2007 @ 20:15:
advies: format.

Met dit soort dingen moet je gewoon niet gaan zitten klooien met antivirus programma's.

En laat hem die zooi van een p2p niet meer gebruiken.

Dat is de weg van de minste weerstand natuurlijk.

Guardian Angel wijzigde dit bericht 23-07-2007 20:27 (10%)

quote:

Snake schreef op maandag 23 juli 2007 @ 02:06:
Gelijk hier ergens in de FAQ staat, met een rootkit ben je NOOIT zeker.

Formateren die hap! Enige alles-uitsluitende optie!

Niet helemaal mee eens, maar dan is er nog een tweede punt: bij sommige rootkits helpt formatteren ook niet.

quote:

DaWaN schreef op maandag 23 juli 2007 @ 20:22:
Ben ik de enige die het hele TAN-code systeem van de Postbank ongelofelijk onveilig vind
De random readers van ABN en Rabo zijn zoveel malen veiliger en bovendien nog stukken handiger ook

Altijd fijn als een topic in een postbankbash-topic vervalt. Als je dan toch je mening verkondigd onderbouw hem dan tenminste of zeg anders gewoon niks.

Het is leuk dat jullie een gezellig topicje beginnen over welke bank beter is maar voorlopig helpt het me niet met het zoeken naar een oplossing...

maar denk dat ik maar overga tot formatteren aangezien dit de meest gegeven suggestie is en het mij ook het veiligst lijst.

quote:

Frankie02 schreef op maandag 23 juli 2007 @ 19:54:
http://www.virusalert.nl/?show=virus&id=1410

Met beschrijving wat het allemaal doet op je pc en verwijderingsinstructies......heb zelf geen ervaring met deze trojan, dus op eigen risiko

deze had ik zelf ook al gevonden maar de aangegeven files zijn niet aanwezig op het systeem dus helaas je gaat niet door voor de koelkast

Schouw in "Postbank virus dat om TAN codes vraagt"..

Geen DLL's gevonden? (te laat. )

Guardian Angel wijzigde dit bericht 23-07-2007 20:52 (6%)

ben nog niet langsgeweest dus kan je er nog niets over vertellen

quote:

Groentenman schreef op maandag 23 juli 2007 @ 20:53:
ben nog niet langsgeweest dus kan je er nog niets over vertellen

Dan eerst ff die files zoeken voordat je (als je dat gaat doen) formatteren. Dan kunnen de anti-virus boeren zoals Schouw er nog iets mee, als je ze submit

ralpje wijzigde dit bericht 23-07-2007 21:03 (1%)
Reden: foute woordkeuze

Probeer nog wat online scanners, NOD32/ESET heeft er nu ook een; http://www.eset.com/threat-center/cac.php en doe bijvoorbeeld ook eens de online scan van a-squared anti-malware; http://www.emsisoft.com/en/software/ax/
En installeer een programma als Prevx 2.0 en scan daar je systeem eens mee.

Je kunt nu wel gaan formatteren maar dan kan het morgen wel weer in je systeem zitten, lijkt mij verstandiger om te uit te zoeken waar de rommel zit en die dan door te sturen naar de verschillende AV bedrijven.