Ist Ihr Rechner Teil des “Pobelka” Botnetzes?

Researchern der niederländischen Sicherheitsfirmen Fox-IT & SurfRight ist es vor einigen Wochen gelungen ein Botnetz “hochzunehmen”: Pobelka (russisch für: Geldwäsche). Das hauptsächlich auf den deutschen und niederländischen Markt ausgerichtete “Financial Fraud” Botnetz, konzentrierte sich bis zur Übernahme auf das Stehlen hoch sensibler Daten: Online Bank Accounts & Kreditkarten-Informationen.

Pobelka (basierend auf der Zeus-Variante Citadel) reiht sich damit neben Carberp, SpyEye, Hermes, Gozi und Bugat in die Reihe der Banking-Trojaner ein, die allesamt mittels Man-in-the-Browser-Attacken (“Mann im Browser”) Online-Transaktionen manipulieren. Hierbei setzt sich die Malware im Betriebssystem fest und verhält sich still, bis der Nutzer sein Online-Banking beginnt. Noch bevor die SSL-Verschlüsselung der Transaktion greift, können so Cyberkriminelle Überweisungsdaten ändern und vom Nutzer beabsichtigte Geldtransfers “überschreiben”. Je nach gewählter Authentifizierungs-Methode ist es für den Nutzer nicht ohne weiteres transparent, dass die Zahlung umgelenkt wurde.

resizeimg.php

Wie erfahre ich ob ich infiziert bin?

  1. Bewahren Sie Ruhe!
  2. Scannen Sie Ihren Rechner (und alle andere PCs in ihrem Heimnetzwerk) mit der kostenlosen botfrei.de Edition von HitmanPro. Diese ist auch in der 30-tägigen Testversion nicht nur in der Lage die Malware aufzuspüren, sondern auch zu entfernen!
  3. Überprüfen Sie auch sämtliche anderen Programme auf Aktualität: Secunia Online-Check und spielen Sie notwendige Updates ein.
  4. Im Falle einer erkannten Infektion: Da nicht ausgeschlossen werden, dass der Trojaner im Vorfeld Zugangsdaten entwendet hat, ändern Sie bitte die Zugangsdaten zu Onlinebanking, E-Mail-Konten & anderen wichtigen Zugängen (wie z.B. eBay, Amazon, Paypal, etc.). Da sich Pobelka, wie auch alle anderen Banken-Trojaner, sehr tief in das System einnistet, sollten Sie in jedem Fall eine Neu-Installation Ihres Rechners in Betracht ziehen. Sollten Sie hierbei Unterstützung benötigen, helfen wir Ihnen gerne in unserem Hilfe-Forum weiter!

Tipps der Experten des Anti-Botnetz Beratungszentrums:

Zur Verbreitung von Pobelka und weiterer Schädlinge werden von Angreifern gezielt Webseiten ohne Wissen der Betreiber manipuliert (Stichwort: Blackhole Exploit Kit). Danach genügt der bloße Aufruf einer solchen Webseite (wir nennen das “Drive-by-Exploit“) ohne irgendwelche Aktionen seitens des Benutzers, damit sich dadurch die Schadsoftware automatisch und unbemerkt auf seinen Computer herunterlädt.

Neben stets aktueller Browser-Software, einem aktuellen Betriebssystem als auch einem professionellen Virenschutz, raten wir zum Einsatz von sogenannten “Script-Blockern“: Diese lassen Skripte jeweils nur nach Freigabe durch den Anwender zu, so etwa NoScript oder FlashBlock für Firefox.

Webseitenbetreibern empfehlen wir, Ihre Domain beim kostenlosen Monitoring-Service der Initiative-S zu registrieren. Informationen hierzu erhalten Sie auf der Webseite: https://www.initiative-s.de 

10 thoughts on “Ist Ihr Rechner Teil des “Pobelka” Botnetzes?”

  1. Hallo!
    Bei der von mir heruntergeladenen Botfrei-Edition von HitmanPro ist der “Weiter”-Button ausgegraut. Was muss ich machen, mit welchem Lizenzschlüssel kann man die 30 Tage freischalten?

  2. Außer in einem der Kommenare wird in dem Artikel mit keinem Wort auf die betroffenen Betriebssysteme eingegangen. Ich möchte darauf hinweisen, dass die Welt nicht nur aus Windows PCs besteht. Das automatische Voraussetzen, dass es sich um Windows PCs handelt ist der Sicherheit nicht wirklich förderlich.

  3. Beim Aufruf des Links zum Monitoring-Service der Initiative-S wird in Firefox darauf hingewiesen, dass diese Website kein gültiges Zertifikat aufweist…Das finde ich nicht unbedingt vertrauensfördernd! Warum sollte ich mich dann dort auch noch registrieren?

    1. Hallo Docaliba,

      sollte eigentlich funktionieren, bei welchem Aufruf erscheint die Meldung?

      Grüße,
      TB, ABBZ

  4. ich kam von heise empfohlen zu euch. lud das prog herunter, wollte es dann laufen lassen, aber es blieb immer wieder (auch nach mehreren versuchen) beim automatischen update im letzten drittel haengen und dann kam eine fehlermeldung dass ein fehler beim update aufgetreten sei. irgendwie seltsam bei einem auf empfehlung von buerger-cert.de uebernommenen programm. koennt ihr helfen?

    1. Hallo Supion,

      das ist merkwürdig. Kannst Du Dich bitte mal in unserem Support-Forum unter http://forum.botfrei.de registrieren und dort einen Case erstellen? Dort sind einige Entwickler des Tools aktiv, und die können das Problem dann eingrenzen & fixen. Danke

      Grüße,
      TK, ABBZ

  5. Auch mir ist aufgefallen, dass das Ganze offenbar nur für WINDOWS-Rechner gilt, was mich als Mac-User freut 😉
    @Voiletta: Schau mal hier – http://www.giga.de/unternehmen/apple/news/iphone-ipad-und-mac-die-wahrheit-uber-trojaner-viren-und-co/
    Ich habe deshalb seit Jahren nur ClamXav installiert, null Probleme damit.
    Selbst das BSI meint, dass man bei einem Mac mit dem aktuellsten Betriebssystem kein Risiko fährt – solange man nicht Installationen selbst mit dem Admin-Account durchführt, aber da kann einem niemand helfen…
    Grüße, iWulfi

    1. Auch wenn das BSI es nicht für absolut nötig hält, sein aktuelles OS X System mit einem Virenscanner zu versehen, ist dies dringendst empfohlen.
      Der Schaden mag für den Heimanwender gering sein, wenn dieser sich eine Infektion auf dem Mac einfängt.
      Im Firmenbereich sieht das Ganze aber schon wieder anders aus. Dateien werden weitergereicht, Pdfs, Exceltabellen und Worddokumente
      müssen oft schnell abgesegnet werden. Der Übergang ist hier fliessend: E-Mails aus der Arbeit werden häufig auch zu Hause gelesen.
      Daher macht es Sinn, sich einen Virenscanner, wie ClamXav oder Avast zu installieren. Somit schützt man auch die Windowsuser vor den
      verseuchten Dateien, auch wenn man selber mit seinem unixnahen Betriebssystem eher nicht anfällig gegen solche Attacken ist.

      Dein Tipp, ClamXav auf dem Mac zu nutzen, ist vorbildlich 🙂

      Netten Gruss
      Max

  6. ok, danke fuer die schnelle reaktion. ich werde das machen, sobald wie moeglich…

Kommentare sind geschlossen.