ZEUS Trojaner bei Mac möglich?

Lamac

Aktives Mitglied
Thread Starter
Dabei seit
02.02.2011
Beiträge
219
Reaktionspunkte
11
Liebe Leute,

soeben habe ich mit der Telekom gesprochen weil ich anscheinend einen "Trojaner-Angriff" mit dem Virus ZEUS hatte. Die Telekom konnte mir genau sagen, wann meine Geräte davon befallen wurden...nicht aber welches Endgerät bei uns infiziert wurde. Unsere wichtigen Geräte zuhause sind ein IMacs, Macbook Air, 2 iPhones und ein IPad......Glaube nur meine Tochter hat ein Android Handy.

Frage: Kann Zeus auch auf Apple Geräten landen?....oder greift es ausschließlich Microsoft etc. an?

...und zweite Frage: Was wäre jetzt das beste Vorgehen zum entfernen?

Danke Für unkomplizierte Hilfe

L.
 
Die Telekom kann dir sagen, wann ein Trojaner bei dir installiert wurde? Das kommt mir aber merkwürdig vor. Hast DU die Telekom angerufen? Andernfalls war das Telefon-Scam. Falls an der Geschichte mit der Infektion etwas dran sein sollte: Finden und neutralisieren. Gerät für Gerät scannen.
 
Da wird ein Kontakt zum Command & Control Server bzw dessen IP festgestellt worden sein.

Auf den Macs kannst doch gucken was wann installiert wurde.

Zeus/ZBot wird aber nur als Windows Trojaner gelistet.
 
  • Gefällt mir
Reaktionen: gishmo
Wie hat die Telekom dich denn darauf aufmerksam gemacht (z.B. dubiose E-Mail mit irgendeiner Telefonnummer für Rückfragen)? Falls per Mail, waren dort dein Name, Anschlussnummer, Kundennummer etc. enthalten, also hast du die Echtheit verifiziert?

Denn dass die Telekom betroffene Rechner herausfinden kann, stimmt:
Im Internet gibt es von Sicherheitsorganisationen erstellte digitale Fallen (sogenannte Honeypots), die Angriffe durch Schadsoftware erkennen.

Wenn Ihr Computer mit einer solchen Schadsoftware infiziert ist, greift auch dieser die als Angriffsziele getarnten Honeypots an.

Wenn Ihre IP-Adresse dabei auffällig wird, übermittelt die Sicherheitsorganisation die Adresse an die Telekom. Anhand des Angriffsmusters ist dann erkennbar, dass es sich um einen Virus oder andere Schadsoftware handelt, die ohne Ihr Wissen Angriffe im Internet vornimmt.

Nur ob solche Meldungen wirklich immer von der Telekom kommen, ist zumindest zweifelhaft.

Laut BSI sind nur Windows Systeme betroffen – und solange auf dem Android Smartphone nur Apps aus dem PlayStore installiert wurden, wüsste ich nicht, wie das Smartphone infiziert werden sollte. Sicher, dass auch von Freunden niemand mal mit einem Windows Gerät im Netz war?
 
Systeminformationen - Installationen
 
  • Gefällt mir
Reaktionen: iWetterstein und iQuaser
Danke erstmal für die schnellen Antworten!

Also, ich habe von der Telekom einen BRIEF bekommen und dort heute angerufen. Gab ne Ticketnummer und eine Frau am Telefon sagte mir, dass das BSI es bei ihnen gemeldet hätte...und mich nun die Telekom darüber informiert.

Passiert ist der Befall am 27.03 Nachts um 01.15....Kein Ahnung ob ich da wach und im Internet war..oder meine Frau...oder mein Sohn. Meine Tochter war- wir haben nochmals nachgeschaut - auch nicht bei uns...auch keine Freunde.

Lediglich der Rechner vom Sohneman ist Windows. Wir haben dort schon eine Virenscan gemacht mit dem Windows eigenen Virenprogram..es war aber alles "clean"

Oder könnte es von der Switch kommen?

L.
 
Guck doch im Router Log.

Was für eine Switch hast du den?
Die 0815 Teile haben doch keine Software Installationen.
 
  • Gefällt mir
Reaktionen: Lamac
Guck doch im Router Log.

Was für eine Switch hast du den?
Die 0815 Teile haben doch keine Software Installationen.

Aha, d.H. ich kann in der Fritz!Box Sehne, wann was heruntergeladen auf welchem Gerät wurde..also auch der Trojaner, wenn ich zur bestimmten Zeit nachschaue?
Ne Idee wo ich das genau finde bei einer Fritz!Box? ( Sorry für die Dumme - Frage )
 
Systeminformationen - Installationen
Danke für den Hinweis!

Wenn ich also dort bei den "Installationen" zum besagten Datum kein ZEUS gefunden habe, dann habe ich den Virus auch nicht? Ist das so zu verstehen?

(Sorry wenn's ne blöde Frage ist :) )
 
Ist das so zu verstehen?
Nein. Ein Trojaner versteckt sich ja eben. Daher der Begriff "Trojaner" ... Trojanisches Pferd (kannste mal googeln). Der wird also nicht mit seinem eigenen Namen installiert, sondern verbirgt sich in einer Software die ganz harmlos klingt. Du kannst aber anhand des Zeitbereichs eingrenzen, welche Software dort installiert worden sein könnte. Da Zeus aber wohl eher ein Windows-Schädling ist, solltest du deine Mühe eher auf den Windowsrechner verlegen.
 
  • Gefällt mir
Reaktionen: iWetterstein
Lass doch mal Malwarebytes in der kostenlosen Variante laufen; vielleicht kam er auch über einen Mailanhang auf den Mac – kann zwar dort scheinbar keinen Schaden anrichten, aber falls betreffende Mails gefunden werden, kannst du sie löschen, damit sie über IMAP nicht doch mal auf Windows Rechner nachgeladen werden.
 
so Leute - kurzes Update:

Habe verstanden das ich eigentlich nur nach dem einzigen Windows Rechner schauen müssen....Dort, aber auch bei meinem IMAC wurde am besäte Tag zur besagten Uhrzeit nichts heruntergeladen...Hatte mir dennoch MALWAREBYTES als kostenlose Version heruntergeladen und auf dem Windowsrechner 35 weitere Malware gefunden...z.B. RAccoon. Wieso diese nicht von der Windows-eigenen Virussoftware gefunden wurden wundert mich....aber naja, Hauptsache gefunden. Von Zeus weiterhin keine Spur...?:)?
 
Lass doch mal Malwarebytes in der kostenlosen Variante laufen; vielleicht kam er auch über einen Mailanhang auf den Mac – kann zwar dort scheinbar keinen Schaden anrichten, aber falls betreffende Mails gefunden werden, kannst du sie löschen, damit sie über IMAP nicht doch mal auf Windows Rechner nachgeladen werden.
Danke, werde ich nachschauen!
 
Das Abuse Team irrt sich da selten. Habe jobbedingt auch immer mal mit denen zu tun.

Ich versuche das mal zusammenzufassen:

Die Telekom bekommt die hinweise auch nur von extern.
Sicherheitsforscher/Firmen heben weltweit immer mal wieder einen Command&Control server aus.
Das sind Computer die von den Trojanern genutzt werden um neue Auftäge abzuholen. (z.b. Jetzt Bitcoin einfordern, Jetzt Festplatte löschen, Jetzt Alle dateieen mit dem namen passwort.txt übrtragen.)

Wenn so ein Server übernommen wurde. Schaltet man ihn nicht direkt ab, sondern schaut erstmal was passiert.
Die befallenen Computer weltweit werden irgendwann versuchen ich mit dem Server zu verbinden.
Wenn das Passiert wird die IP-Adresse, von der der Server angerufen wude geloggt und geschaut zu welchem Internetanbieter die IP-Adresse Gehört.

Der Internetanbieter (hier: Telekom) wird dann informiert.
Er kann dann ein paar tage lang (ich meine 7 Tage -> Stichwort Vorratsdatenspeicherung) feststellen, welchem Internetanschluss diese IP-Adresse zum angegebenen Zeitpunkt zugeordnet war.
Dann wird der Anschlussinhaber identifiziert und angeschrieben.

Die Telekom kann in der Tat nur den Anschluss sehen, NICHT das Endgerät.
Es können auch Besucher gewesen sein, oder die Nachbarin die noch das wlan passwort hat.


Problematisch bei der Ermittlung des inhabers können Zahlendreher sein (passiert gerne wenn noch per fax übertragen wird.)
Problematisch kann es sein, wenn die Zeitzonen falsch übersetzt werden.
Grundsätzlich sollte das mit dem Hinweis der Telekom aber passen.
 
  • Gefällt mir
Reaktionen: ben-der, iWetterstein, Lamac und 2 andere
Schiebe das mal dreist nach oben mit der interessierten Frage an den TS Lamac: Wie ist die Sache ausgegangen?

Meine private Website war vor Jahren mal mit was anderem infiziert, da hatte ich natürlich auch recht schnell einen Anruf von DomainFactory bekommen und wir haben die Ursache (auf meinem Rechner meine ich) beseitigt, war aber nicht einfach... Find ich ja super, dass die Zusammenarbeit zwischen BSI und z.B. der Telekom so gut funktioniert, sind ja nicht nur 2-3 Mitteilungen, die die da bekommen....

VG
Ben
 
Zurück
Oben Unten