ZEUS Trojaner bei Mac möglich?

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
Liebe Leute,

soeben habe ich mit der Telekom gesprochen weil ich anscheinend einen "Trojaner-Angriff" mit dem Virus ZEUS hatte. Die Telekom konnte mir genau sagen, wann meine Geräte davon befallen wurden...nicht aber welches Endgerät bei uns infiziert wurde. Unsere wichtigen Geräte zuhause sind ein IMacs, Macbook Air, 2 iPhones und ein IPad......Glaube nur meine Tochter hat ein Android Handy.

Frage: Kann Zeus auch auf Apple Geräten landen?....oder greift es ausschließlich Microsoft etc. an?

...und zweite Frage: Was wäre jetzt das beste Vorgehen zum entfernen?

Danke Für unkomplizierte Hilfe

L.
 

noodyn

Aktives Mitglied
Registriert
16.08.2008
Beiträge
12.908
Die Telekom kann dir sagen, wann ein Trojaner bei dir installiert wurde? Das kommt mir aber merkwürdig vor. Hast DU die Telekom angerufen? Andernfalls war das Telefon-Scam. Falls an der Geschichte mit der Infektion etwas dran sein sollte: Finden und neutralisieren. Gerät für Gerät scannen.
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.524
Da wird ein Kontakt zum Command & Control Server bzw dessen IP festgestellt worden sein.

Auf den Macs kannst doch gucken was wann installiert wurde.

Zeus/ZBot wird aber nur als Windows Trojaner gelistet.
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
Wie hat die Telekom dich denn darauf aufmerksam gemacht (z.B. dubiose E-Mail mit irgendeiner Telefonnummer für Rückfragen)? Falls per Mail, waren dort dein Name, Anschlussnummer, Kundennummer etc. enthalten, also hast du die Echtheit verifiziert?

Denn dass die Telekom betroffene Rechner herausfinden kann, stimmt:
Im Internet gibt es von Sicherheitsorganisationen erstellte digitale Fallen (sogenannte Honeypots), die Angriffe durch Schadsoftware erkennen.

Wenn Ihr Computer mit einer solchen Schadsoftware infiziert ist, greift auch dieser die als Angriffsziele getarnten Honeypots an.

Wenn Ihre IP-Adresse dabei auffällig wird, übermittelt die Sicherheitsorganisation die Adresse an die Telekom. Anhand des Angriffsmusters ist dann erkennbar, dass es sich um einen Virus oder andere Schadsoftware handelt, die ohne Ihr Wissen Angriffe im Internet vornimmt.

Nur ob solche Meldungen wirklich immer von der Telekom kommen, ist zumindest zweifelhaft.

Laut BSI sind nur Windows Systeme betroffen – und solange auf dem Android Smartphone nur Apps aus dem PlayStore installiert wurden, wüsste ich nicht, wie das Smartphone infiziert werden sollte. Sicher, dass auch von Freunden niemand mal mit einem Windows Gerät im Netz war?
 

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
Danke erstmal für die schnellen Antworten!

Also, ich habe von der Telekom einen BRIEF bekommen und dort heute angerufen. Gab ne Ticketnummer und eine Frau am Telefon sagte mir, dass das BSI es bei ihnen gemeldet hätte...und mich nun die Telekom darüber informiert.

Passiert ist der Befall am 27.03 Nachts um 01.15....Kein Ahnung ob ich da wach und im Internet war..oder meine Frau...oder mein Sohn. Meine Tochter war- wir haben nochmals nachgeschaut - auch nicht bei uns...auch keine Freunde.

Lediglich der Rechner vom Sohneman ist Windows. Wir haben dort schon eine Virenscan gemacht mit dem Windows eigenen Virenprogram..es war aber alles "clean"

Oder könnte es von der Switch kommen?

L.
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.524
Guck doch im Router Log.

Was für eine Switch hast du den?
Die 0815 Teile haben doch keine Software Installationen.
 

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
Guck doch im Router Log.

Was für eine Switch hast du den?
Die 0815 Teile haben doch keine Software Installationen.

Aha, d.H. ich kann in der Fritz!Box Sehne, wann was heruntergeladen auf welchem Gerät wurde..also auch der Trojaner, wenn ich zur bestimmten Zeit nachschaue?
Ne Idee wo ich das genau finde bei einer Fritz!Box? ( Sorry für die Dumme - Frage )
 

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
Systeminformationen - Installationen
Danke für den Hinweis!

Wenn ich also dort bei den "Installationen" zum besagten Datum kein ZEUS gefunden habe, dann habe ich den Virus auch nicht? Ist das so zu verstehen?

(Sorry wenn's ne blöde Frage ist :) )
 

noodyn

Aktives Mitglied
Registriert
16.08.2008
Beiträge
12.908
Ist das so zu verstehen?
Nein. Ein Trojaner versteckt sich ja eben. Daher der Begriff "Trojaner" ... Trojanisches Pferd (kannste mal googeln). Der wird also nicht mit seinem eigenen Namen installiert, sondern verbirgt sich in einer Software die ganz harmlos klingt. Du kannst aber anhand des Zeitbereichs eingrenzen, welche Software dort installiert worden sein könnte. Da Zeus aber wohl eher ein Windows-Schädling ist, solltest du deine Mühe eher auf den Windowsrechner verlegen.
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
Lass doch mal Malwarebytes in der kostenlosen Variante laufen; vielleicht kam er auch über einen Mailanhang auf den Mac – kann zwar dort scheinbar keinen Schaden anrichten, aber falls betreffende Mails gefunden werden, kannst du sie löschen, damit sie über IMAP nicht doch mal auf Windows Rechner nachgeladen werden.
 

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
so Leute - kurzes Update:

Habe verstanden das ich eigentlich nur nach dem einzigen Windows Rechner schauen müssen....Dort, aber auch bei meinem IMAC wurde am besäte Tag zur besagten Uhrzeit nichts heruntergeladen...Hatte mir dennoch MALWAREBYTES als kostenlose Version heruntergeladen und auf dem Windowsrechner 35 weitere Malware gefunden...z.B. RAccoon. Wieso diese nicht von der Windows-eigenen Virussoftware gefunden wurden wundert mich....aber naja, Hauptsache gefunden. Von Zeus weiterhin keine Spur...?:)?
 

Lamac

Mitglied
Thread Starter
Registriert
02.02.2011
Beiträge
188
Lass doch mal Malwarebytes in der kostenlosen Variante laufen; vielleicht kam er auch über einen Mailanhang auf den Mac – kann zwar dort scheinbar keinen Schaden anrichten, aber falls betreffende Mails gefunden werden, kannst du sie löschen, damit sie über IMAP nicht doch mal auf Windows Rechner nachgeladen werden.
Danke, werde ich nachschauen!
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
26.525
Das Abuse Team irrt sich da selten. Habe jobbedingt auch immer mal mit denen zu tun.

Ich versuche das mal zusammenzufassen:

Die Telekom bekommt die hinweise auch nur von extern.
Sicherheitsforscher/Firmen heben weltweit immer mal wieder einen Command&Control server aus.
Das sind Computer die von den Trojanern genutzt werden um neue Auftäge abzuholen. (z.b. Jetzt Bitcoin einfordern, Jetzt Festplatte löschen, Jetzt Alle dateieen mit dem namen passwort.txt übrtragen.)

Wenn so ein Server übernommen wurde. Schaltet man ihn nicht direkt ab, sondern schaut erstmal was passiert.
Die befallenen Computer weltweit werden irgendwann versuchen ich mit dem Server zu verbinden.
Wenn das Passiert wird die IP-Adresse, von der der Server angerufen wude geloggt und geschaut zu welchem Internetanbieter die IP-Adresse Gehört.

Der Internetanbieter (hier: Telekom) wird dann informiert.
Er kann dann ein paar tage lang (ich meine 7 Tage -> Stichwort Vorratsdatenspeicherung) feststellen, welchem Internetanschluss diese IP-Adresse zum angegebenen Zeitpunkt zugeordnet war.
Dann wird der Anschlussinhaber identifiziert und angeschrieben.

Die Telekom kann in der Tat nur den Anschluss sehen, NICHT das Endgerät.
Es können auch Besucher gewesen sein, oder die Nachbarin die noch das wlan passwort hat.


Problematisch bei der Ermittlung des inhabers können Zahlendreher sein (passiert gerne wenn noch per fax übertragen wird.)
Problematisch kann es sein, wenn die Zeitzonen falsch übersetzt werden.
Grundsätzlich sollte das mit dem Hinweis der Telekom aber passen.
 
Oben