Postbank virus dat om TAN codes vraagt

quote:

frickY schreef op maandag 23 juli 2007 @ 14:43:
Weet overigens wel dat ze je logingegevens al hebben, en dus volledige inzage in je account.
De TAN-codes zijn ht enige wat ze nog weghoud van overboekingen.

Hoe komen ze aan mijn inloggegevens dan?

quote:

Arnout schreef op dinsdag 24 juli 2007 @ 10:00:
[...]
Hoe komen ze aan mijn inloggegevens dan?

keylogging + rootkit
feitelijk hebben 'ze' toegang tot al je gegevens...

Als ze je inloggegevens hebben, en proberen geld over te boeken, waardoor jij de verzoeken krijgt om TAN codes in te voeren, lijkt het me dat je in je overzicht openstaande transacties moet hebben staan...

Ik gebruik de Rabobank en geen Postbank, dus weet verder niet hoe het eruit ziet.

Mijn advies:
- Kijk of er openstaande verzoeken staan.
- Zo ja, dan hebben ze je gegevens, dan zou ik per direct naar de postbank gaan.
- Neem sowieso contact op met de postbank.
- Neem ook geen risico met je computer -> formateren

Ik zit nu bij een vriend op zijn pc, en hij heeft hetzelfde probleem.

Ik heb NOD32 geinstalleerd maar die vind niets. Ik heb de postbank TAN tool van Kaspersky (http://www.kaspersky.nl/postbank) maar die vind hem ook niet.

Ik vond het vreemd dat het SSL certificaat van de bewuste pagina gewoon in orde is. Er lijkt lokaal een programma actief te zijn die de HTML gewoon aanpast naar het TAN-code formulier. In Firefox doet het probleem zich dan ook niet voor.

Bereft een legitiem WinXP SP2 systeem met IE7. Ik ben momenteel de Online Scanner van Kaspersky aan het downloaden om te zien wat die tegen komt.
De eerder genoemde DLL-files zijn ook niet te vinden.

Is dit een bekende variant, of een een format en schone install een goed idee?

Scan eens met Prevx CSI (NL info) en Rootkit Buster en nog wat andere scanners die ook rootkits kunnen detecteren.

Alles wat je vind graag doorsturen naar;

quote:

Schouw schreef op maandag 23 juli 2007 @ 14:29:
[...]

Wie zegt dat er sprake is van een rootkit?

[...]

De 'officiële' benaming voor deze malwarefamilie is Sinowal of Torpig.
In een windows directory zul je zéér waarschijnlijk ibm[cijfers].dll bestanden vinden - vind de directory en stuur de betreffende bestanden eens naar virus@kaspersky.nl svp.
Vergeet niet het zoeken naar verborgen/systeem bestanden aan te zetten.

Kan je tevens kijken of er openstaande verbindingen zijn (netstat /a).
En of de DNS gegevens wel kloppen ... Dat je niet zomaar geroute word via een fake server (tracert https://mijn.postbank.nl)

quote:

wcduck schreef op maandag 23 juli 2007 @ 20:27:
[...]


Niet helemaal mee eens, maar dan is er nog een tweede punt: bij sommige rootkits helpt formatteren ook niet.

lijkt me onzin? tenminste, als je niet een aparte windows gaat opstarten, en dan de windows format gebruikt (het enige wat ik kan bedenken), maar gewoon via een installer, of een linux-live, iig van cd, of van mijn part een low-level format doet....waar wil die rootkit zich dan nog hebben staan? heeft ook niet de 'tijd' gehad om nog wat te doen...zeker als je een knoppix pakt, en even daarmee wat klust, hoezo kun je dan nog rootkit hebben?

Verder: als je ergens over een topic moet maken waar discussie ontstaat over hoe het weg moet, is het dus duidelijk dat het niet triviaal is. Verder gaat het over bankgegevens, en dus lijkt mij de enige logische conclusie dat als je ooit nog met zekerheid naar mijnpostbank.nl wilt kunnen gaan dat je overnieuw begint. ...

ik zie dan ook niet in waarom er geen reinstall gedaan kan worden. zo moeilijk is dat nou ook weer niet.

quote:

EnnaN schreef op zondag 15 juni 2008 @ 10:24:
[...]

lijkt me onzin?

Een jaar geleden nog wel, nu niet meer. Nieuwere varianten van Sinowal zijn bootsector rootkits.
Dit houdt in dat als je alleen de/een partitie formatteert, de MBR onaangeraakt blijft.

Oplossingen? Van XP cd opstarten, recovery console ingaan en "fixmbr" commando uitvoeren.
Dit verwijdert de trojan code niet, maar maakt deze inoperabel.

Eventueel de nieuwe versie van KAV/KIS gebruiken die deze malware kan detecteren en verwijderen terwijl de rootkit actief is. klik

quote:

LuckyY schreef op zondag 15 juni 2008 @ 10:01:
En of de DNS gegevens wel kloppen ... Dat je niet zomaar geroute word via een fake server (tracert https://mijn.postbank.nl)

Dat was ook mijn eerste idee. Ik dacht dat dat de gebruikte methode was.
Maar hij verwijst gewoon naar het juiste IP, en het SSL-certificaat klopt ook gewoon.

@EnnaN
Het is een DELL pc van een vriend die uiteraard de bijbehorende Windows CD niet weet te liggen, en geen goede methode heeft om zijn gygabytes aan foto's te backuppen. Vandaar liever het voorkomen van een fresh install. Het voordeel van dit Postbank virus is dat je het heel goed weet wanneer hij weg is; het TAN-scherm blijft achterwege.

@Schouw
Het kan dus goed zijn dat dit virus vanuit de MBR meeopgestart wordt? Dan zal ik de volgende keer mijn CD's een meenemen en fixmbr doen.
Hij heeft de online scan van KAS gedraait maar zou me de log nog toemailen. Toen ik naar huis ging hadhij 2 files en 3 objecten gevonden (terwijl een uptodate NOD32 niets vond). Is dus even afwachten of hiermee het probleem misschien al weg is.

Probeer eens het diagnose programmaatje Stealth MBR rootkit detector.

Download; http://www2.gmer.net/mbr/mbr.exe
(uitvoeren, er verschijnt heel even een dos/cmd venstertje en je vindt daarna een mbr.log op je buroblad)

Als er geen MBR rootkit wordt gevonden vindt je deze tekst in het mbr.log;

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Wordt er wel wat gevonden dan zie je iets als dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

(locatie/sector kan natuurlijk verschillen)

Dat is nog eens een oplossing op een zilver blaadje Dank je. Ik zal proberen hem vanavond dit te laten proberen, morgen is hij 2 weken op vakantie.

Mijn vader heeft ook flink last gehad van dit virus, en ik ben natuurlijk degene die het op mag lossen...

De hierboven genoemde Stealth MBR Rootkit Detector deed voor mij de truc!
Eerst natuurlijk de PC geschoond met diverse tools:

• AVG Anti-Virus Free Edition
• Avira Anti-Virus Free
• Hitman Pro
• Ad-Aware 2008 Free
• Kaspersky Online Scan
• Rootkit Buster
• Kaspersky Postbank Tool

Daarna die MBR er overheen, met -f dus. Inderdaad iets gevonden, en opgelost.
Dat probleem was eerder ook al gevonden door PrevX CSI, maar die kon het niet verwijderen zonder licentie.
Nadat MBR gedraaid had, was de computer schoon. Een nieuwe test met PrevX CSI bevestigde dat, en een testje op postbank.nl ook.

Ik ben nu voor de volledigheid nog even een keer Kaspersky aan het draaien, maar het lijkt erop dat het virus er _eindelijk_ af is!

Dirtbiter wijzigde dit bericht 17-06-2008 09:12 (2%)
Reden: Nog een tool toegevoegd

Als ik het goed begrijp kan de MBR.exe die het virus vind deze ook verwijderen met de -f flag, zonder dat je windows-installatie daarvan het dupe wordt?

Wellicht enigzins offtopic, maar hoe kan een virus opstarten vanuit het MBR, als het OS dan nog niet draait? Nestelt die zich dan al in het geheugen oid?

Ik heb hem het programma doorgestuurd, ik hoop dat dit de oplossing biedt. De online scanner van Kaspersky heeft hem, denk ik, niet gevonden. Hij vond wel;

quote:

\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-51fad18-3c836c37.zip/vmain.class
Infected: Exploit.Java.Gimsh.a

\Mijn documenten\Mijn muziek\TOTALLY HIP TRACK (winehouse).wma
Infected: Trojan-Downloader.WMA.Wimad.l

Ik gok dat de 2de de bron van het virus is geweest, maar het virus zelf staat er naar mijn idee niet tussen.

quote:

frickY schreef op dinsdag 17 juni 2008 @ 10:36:
Als ik het goed begrijp kan de MBR.exe die het virus vind deze ook verwijderen met de -f flag, zonder dat je windows-installatie daarvan het dupe wordt?

Daar lijkt het wel op ja.

MBR.exe vind namelijk ook een kopie van je MBR ergens (dat geeft ie aan) en de getroffen sectors vervangt hij door de data uit die kopie.

Als je de optie "mbr.exe -f" gebruikt zal de originele mbr weer hersteld worden, er is immers een kopie van de originele mbr gevonden.

Log zal er dan zo uitzien;

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Prevx CSI is inderdaad ook een erg goed gereedschap om zéér snel je systeem mee te controleren op actieve malware, NL uitleg vindt je hier.

Als er iets gevonden wordt dan kun je (ook in de Prevx database) verder uitzoeken wat het precies is en hoe te verwijderen.

Damn, ik heb bijna een week lopen scannen met allelei tools en programma's, iedere keer niks, nada, noppes en Mijn Postbank bleef maar vragen om TAN codes .
Toen gelukkig een helder moment gehad en even op GoT gesnuffeld tot ik dit topic vond... dank jullie allemaal voor de tips

Dat programmatje MBR rootkit detector is echt meesterlijk; binnen 5 secondes wist ik dat ook bij mij de rootkit in het MBR stond, 'mbr -f' en nog eens 5 seconden later was mijn originele MBR weer hersteld.
Daarna even een reboot en een echte virusscanner geinstalleerd (exit AVG en welkom Kapersky) en die heeft de hele nacht lopen pruttelen.

Kapersky kon maar 1 item vinden wat te maken heeft met het virus:

quote:

schoongemaakt: trojan Backdoor.Win32.Sinowal.ck
Fysieke sector op schijf: \Device\Harddisk1\DR1

Ik neem aan dat dit alles was, Postbank zegt nu iig weer dat het inloggen met de combinatie test/test niet mag, eerder ging dit wel en vroeg ie direct om TAN codes...

Nu alleen nog zien uit te vinden waar het virus vandaan is gekomen (geen flauw idee) en mijzelf slappen omdat ik altijd als administrator werk... als ik gewoon als normale gebruiker had gewerkt had de rootkit zichzelf nooit in het MBR kunnen nestelen.