Umbuchung bzw. Übertrag funktioniert nicht

by 2 Comments

Bei Problemen mit Umbuchungen/Überträgen sollte man folgendes prüfen:

Geht es um die Buchungen zwischen Konten bei der gleichen Bank, dann müssen Auftraggeber und Empfänger identisch sein, da das Geld nicht den Eigentümer wechseln darf. (Je nach Bank wird auch der Übertrag von Einzelkonten auf Gemeinschaftskonten erlaubt, wenn alle an den Konten Inhaber (also Eigentümer) sind).

Bei bestimmten Konten, z.B. Festgeldern und Tagesgeldern, können oder müssen feste Gegenkonten/Referenzkonten vereinbart werden. Nur zu diesen Konten ist dann eine Buchung möglich, Fest- und Tagesgeldkonten dürfen ja nicht dem „Zahlungsverkehr“ dienen.

Die Gegenkonten/Referenzkonten werden von einigen Programmen in einer separaten Liste verwaltet. Bitte prüfen Sie bei Problemen, ob dieses Liste aktiv ist oder existiert und ggf. richtig eingestellt ist. Voraussetzung könnte beispielsweise sein, dass das Konto nicht als Girokonto geführt wird. Prüfen Sie dies in der Anleitung zu Ihrer Software.

SEPA-Übertrag in FinTS/HBCI:
Für den SEPA-Übertrag gibt es einen definierten Auftrag, den das Programm beherrschen muss. Hier haben einige Programme noch Nachholbedarf. Suchen Sie nach „Umbuchung“ oder „Übertrag“. Häufig erkennen die Programme anhand der Namensbezeichnungen oder Kontonummern die Möglichkeit und schlagen diese Buchungsform vor.

Von Sparkonten zu anderen Konten muss ein Übertrag gewählt werden – vom Girokonto zu Spar- und Tages-/Festgeldkonten kann per Übertrag gebucht werden. Der Unterschied kann in der Gebührenberechnung und Limit-Überwachung liegen.

-> Starmoney: Übertrag funktioniert nicht, weil das Konto als Festgeld eingetragen ist.

Programmmenüs: VR-NetWorld Software Bankverbindung FinTS

by Leave a Comment

Die Bankverbindung dient der Steuerung der FinTS/HBCI-Zugangsdaten. Der Zugang „gehört“ immer einer natürlichen Person, einem „echten Menschen“. Im Banksystem wird der Zugang bei Genossenschaftsbanken entweder über den VR-NetKey (PIN & TAN) oder die Benutzerkennung (HBCI Signatur mit Datei oder Chip).

Jedes Online-Konto muss eine zugeordnete Bankverbindung haben. Der Supervisor der Software kann steuern, welcher User welche Bankverbindung verwenden kann und auch welche Konten erreichbar sind.

So können Sie Ihre Zugangsdaten ansehen und bearbeiten:

Oben in der Menüleiste Stammdaten anklicken oder die Tastenkombi ALT-S.

Die Screenshots entstammen noch einer älteren Version, sollten aber sinngemäß weiterhin passen.

Menues_VRNWS_01_Stammdaten

Es öffnet sich das Fenster mit der BV-Liste.Menues_VRNWS_02a_Bankverbindung

Menues_VRNWS_02b_gelber_KringelIn der Statuszeile ganz rechts wird angezeigt, wie es um den Zugang bestellt ist. Der gelbe Kringel zeigt an, dass ich noch nicht freigeschaltet bin, in meinem Fall fehlte noch die Freischaltung für das Signaturdateiverfahren.

Um die Bankverbindung zu bearbeiten, kann man diese mit der rechten Maustaste markieren und im Kontextmenü auf bearbeiten gehen oder man markiet sie und klickt oben in der Icon-Zeile auf „Details“.Menues_VRNWS_02c_Bankverbindung-Details

 

Hier im Beispiel steht noch die VR-Kennung, die bei der GLS Bank seit dem 22.07.19 durch den VR-NetKey ersetzt wurde. Wenn Sie dort noch eine VR-Kennung eingetragen haben (beginnend mit VRK…) dann müssen Sie diese löschen und mit dem aktuellen VR-NetKey aktualisieren.

Sie können auch Ihren Alias verwenden, sofern dieser keine Sonderzeichen enthält. Klicken Sie anschließend auf „Synchronisieren“.

Das TAN-Verfahren muss passend eingestellt sein.

Ein TAN-Medium muss auch zum Abruf von Kontodaten vorhanden sein, da die TAN-Eingabe verpflichtend ist. Das TAN-Medium ist aber nicht verpflichtend, gibt es allerdings mehrere Zugänge und sollen diese gezielt angesteuert werden, muss das TAN-Medium stimmen. Für einige Banken, wie den Sparkassen ist das nicht optional. Mit Klick auf „Bestand aktualisieren“ ruft die VR-NetWorld Software die Daten ab.

Die Userparameterdaten (UPD) zeigen an, was mit diesem Zugang wirklich möglich ist. Man kann z.B. sehen, ob Lastschriften erlaubt sind.

 

 

 

 

 

Auftragserfassung funktioniert nicht wg. unerlaubter Zeichen

by Leave a Comment

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht erlaubte Zeichen in Ihrem Auftrag verwenden, wird Ihnen im Onlinebanking üblicherweise die Stelle des Fehlers angegeben, z.B. der Verwendungszweck wird markiert.

Ein unerlaubtes Zeichen kann z.B. das Semikolon sein, dass sich vermutlich nicht genügend vom Doppelpunkt unterscheidet. Auch im Rahmen der SEPA-Umstellung kann es hier Formate geben, die nicht verwendet werden können, z.B. sind Umlaute kritisch und andere besondere Eigenarten der deutschen Sprache (ß). Die Formate werden in Zukunft internationaler.

Falls Sie die Daten aus einer Mail, einer anderen Webseite oder einem Text kopiert haben, kann sich auch hier ein Fehler einschleichen (sogenanntes „Copy ’n‘ paste“). Werden hier nämlich unsichtbare Steuerzeichen mitkopiert, sehen Sie diese nicht am Bildschirm. Die Sicherheitssoftware des Banksystems erkennt diese Zeichen aber als unerlaubten Inhalt und nimmt den Auftrag z.B. aus Sicherheitsgründen nicht an. Tippen Sie dann die Daten per Tastatur ab.

FinTS/HBCI Sammler nicht vollständig verarbeitet

by Leave a Comment
#sammlerfehler

Welche FinTS/HBCI-Sammler nicht ausgeführt wurden, sieht man bei GAD-Banken in der  HBCI-Rückmeldung. Zumindest diese Information muss die Software anzeigen, idealerweise kann sie diese aufbereitet auswerten.

Im Text steht dann beispielsweise
„Sammler unvollständig verarbeitet. 1 Posten fehlerhaft.“

Die Fehlerstelle wird durch den Code 3290 gekennzeichnet, rückgemeldet wird die Nummer des Auftrags im Sammler.

Die Fehlerursache wird durch den anderen Code 3260 näher spezifiziert. Hier sollte auch mehr zur Ursache im Klartext zu finden sein.

Ein Beispiel aus einem typischen HBCI-Protokoll:

HIRMG:3:2+3060::Bitte beachten Sie die enthaltenen Warnungen/Hinweise. (TRE) HIRMS:4:2:3+3260::Sammler unvollstaendig verarbeitet. 1 Posten fehlerhaft. (BSC)+3290::Der BIC ist für diese Zahlungsart nicht zulässig:3

hier ein Beispiel mit zwei falschen Kontonummern…
HIRMS:4:2:3+3260::Sammler unvollstaendig verarbeitet. 2 Posten fehlerhaft. (BSC)
+3290::Die Probebuchung war fehlerhaft.:4
+3290::Die Probebuchung war fehlerhaft.:6 

Beim BIC-Fehler ist also der Auftrag Nummer 3 betroffen, bei den Probebuchungen Auftrag 4 und 6. Hier habe ich für den Test nicht existente Kontonummern meiner eigenen Bank genommen.

So sehen Sie die Fehlermeldung in Windata /GLS eBank: Statistik

Eine leistungfähige Zahlungsverkehrssoftware sucht sich die fehlerhaften Datensätze selbst heraus, kennzeichnet diese und bietet eine Änderung an. Bei schönen Lösungen könnte ich mir sogar eine Fehlerhilfe vorstellen, z.B. bei einer falschen BIC der Hinweis, wo man z.B. die BIC-Liste der Bundesbank finden kann (dem sogenannten SCL-Directory).

Wenn ein Programm die Rückmeldungen nicht auswertbar liefern sollte, sprechen Sie mit dem Hersteller der Software! Dies ist eine „Mussfunktion“, wenn man mit Sammlern vernünftig arbeiten möchte.

Die Bank selbst sieht diese abgewiesenen Buchungen nicht! Es bringt also nichts, hier nach Fehlern zu fragen, es ist höchstens sinnvoll, nach den verarbeiteten Daten suchen zu lassen. Dies sieht anders aus, wenn der Sammler vollständig angenommen wurde und anschließend erst in der weiteren Verarbeitung ein Fehler festgestellt wird. Dies können – zumindest aktuell – nur MitarbeiterInnen der Bank einsehen (und auch nur Menschen, die eine entsprechende Berechtigung im Banksystem besitzen).

Lesen Sie hier: Wo finde ich das FinTS/HBCI-Protokoll

Bankingseite öffnet sich nicht

by Leave a Comment

Microsoft Internetexplorer: Anmeldeprobleme

Wenn sich die Bankingseite nicht öffnet, kann es auch an einer Netzwerkstörung liegen.

Netzwerkprobleme durch DNS-Störungen
Sinngemäße Fehlermeldung beim Browserbanking: „Seite nicht gefunden“:
bei FinTS/HBCI: Fehler bei Öffnen des Transportwegs
DNS steht für Domain Name System – eine Art Adressbuch. Das DNS sorgt dafür, dass wir merkbare Namen eingeben können und nicht mit Zahlen, den IP-Adressen, hantieren müssen. Der Vergleich mit einem Adressbuch hinkt zwar, mag mir aber gestattet sein. Jetzt kann es sein, dass dieses Adressbuch nicht mehr ganz vollständig ist oder wir haben ein altes Buch aus dem vorigen Jahr erwischt oder jemand hat Seiten entfernt. Genauso gibt es böse Zeitgenossen, die unserem Computer ein gefälschtes Adressverzeichnis „untergeschoben“ haben, damit wir auf den gefälschten Seiten eines Betrugsservers landen, ohne es zu merken.

DNS-Speicher aufräumen:
Unter Windows: Drücken Sie die Windows-Taste (links unten an der Tastatur“ und geben Sie „cmd“ ein. Bevor Sie mit der Enter-Taste bestätigen, halten Sie die Tastenkomi Shift (=“Großschreibetaste“) und „STRG“ fest um das Dosfenster mit Adminrechten zu starten. (Alternativ können Sie auch unter „Programme“, „Zubehör“ auf das Icon mit der rechten Maustaste klicken und das Dosfenster mit Erweiterten Adminrechten starten.).
Geben Sie nun ein: ipconfig /flushdns und bestätigen Sie mit der Eingabetaste.
Der DNS-Cache wurde nun geleert und mit etwas Glück sollte der Fehler behoben sein.

Wenn „das Internet“ weiterhin auch mit verschlüsselten Seiten funktioniert, Sie aber weiterhin Ihre Bankseiten nicht finden können oder diese ungewohnt langsam arbeiten, sollten Sie einen Virenscan durchführen. Auch wenn es unwahrscheinlich ist, könnte eine manipulierende Software versuchen, Sie auf Betrugsseiten weiterzuleiten.
Prüfen Sie die Zertifikate verschlüsselter Seiten.

Sicherheit: Nur mit sicherem Computer ins Netz

by Leave a Comment

Predigt zum sicheren Surfen im Netz:

  • Halten Sie Ihr Betriebssystem aktuell
  • Halten Sie Ihre SIcherheitssoftware aktuell
  • Halten Sie sämtliche Programme aktuell
  • Halten Sie auch die Erweiterungen sämtlicher Programme aktuell, also die Plugins Ihres Browsers zum Beispiel.
  • Deinstallieren Sie alles, was Sie nicht an Software benötigen. In der Systemsteuerung (Programme) finden Sie meist die Information, wann das Programm zuletzt verwendet wurde
  • Ein aktueller Virenscanner ist Pflicht, auch für Macs und auch für Sm@rtphones
  • Aktivieren Sie Ihre Firewall.
  • Nutzen Sie ausschließlich seriöse Internetseiten, wenn Sie mit dem gleichen Computer auch Onlinebanking und andere private Dinge machen. Nutzen Sie nur legale Quellen für Software. Wer sich in Gefahr begibt…
  • Beim geringsten Verdacht: Prüfen Sie, ob alles in Ordnung ist!
  • Halten Sie die Peripherie aktuell, denn auch Router, Drucker, SAT-Receiver und Fernseher können Viren haben und gehackt werden, siehe auch:
    Golem: Botnetz infiziert Kühlschrank
  • Seien Sie misstrauisch: Fürs Onlinebanking oder -Shoppen benötigen Sie keine Erweiterungen und auch keine Updates. Fragen Sie ggf. bei Ihrer Bank nach.
  • Nutzen Sie exotische Programme: Exoten haben auch Sicherheitslücken, aber Betrüger nutzen diese nicht so häufig aus! Häufig sind diese auch noch günstiger und ressourcen-schonender. klassische Beispiele: Office Pakete und PDF-Reader
  • Informieren Sie sich regelmäßig über Updates und deinstallieren Sie Programme, die keine Updates mehr erhalten.

Browser – wenn Erweiterungen stören

by Leave a Comment
Suchwort: #BERW
(zuletzt geändert 06.04.2016)

Browser, wie der aktuelle Internet-Explorer, Mozilla Firefox und Google Chrome, können seit langem mit externen Programmen und Progrämmchen erweitert werden. Diese Erweiterungen werden auch Plugins, AddOns oder ganz besonders schön: Browser Helper Objects (kurz BHO), genannt. Man kann damit selbst gezielt fehlende Funktionen nachrüsten, aber auch Schadsoftware und unerwünschte Werbeprogramme kämpfen um einen Weg ins Internet und nutzen diese Möglichkeit gerne. Sie können insbesondere beim Onlinebanking für Darstellungsprobleme sorgen oder verhindern sogar komplett den Verbindungsaufbau.

Schadprogramme fliegen damit auch häufig „unter dem Radar“ der installierten Virenscanner, da die Erweiterung ja  nicht selbst online geht, sondern den Browser quasi als „unverdächtigen Taxi ins Web“ missbraucht.

Aber auch seriöse Sicherheitserweiterungen können die Verbindung stören, z.B. wenn sie versuchen, verschlüsselte Verbindungen zu knacken, um den Datenstrom auf schädliche Bestandteile zu untersuchen.

Die Diagnose, an welcher Erweiterung es genau liegen könnte, ist nicht ganz einfach, besonders wenn sich unerwünschte Programme eingeschlichen haben, die unentdeckt bleiben wollen. Deshalb werde ich hier versuchen, eher Methoden zur systematischen Fehlerfindung aufzuzeigen.

Lösungsansatz: Browser ohne Erweiterungen starten

Mozilla Firefox: Starten Sie den Browser neu über das Menü „Hilfe, mit deaktivierten AddOn neu starten“ oder starten Sie den Firefox von vorneherein mit gedrückter Shift-Taste (Großschreibe-Taste).

Mozilla Firefox per Supportmodus reparieren

Lesen Sie auch hier auf den Mozilla-Supportseiten: Firefox kann bestimmte Webseiten nicht laden

Google Chrome: Starten Sie den Chrome und starten Sie ein Inkognito-Fenster mit der Tastenkombi STRG-Shift-N. Hier sind die Plugins deaktiviert.

Internet Explorer: http://windows.microsoft.com/de-de/internet-explorer/manage-add-ons (wählen Sie oben rechts die passende Version aus).

Zweiten Browser testen
Wenn Störungen in beiden Browsern auftreten, dann ist es unwahrscheinlich, dass eine Erweiterung die Verbindung oder Seitenaufbau stört. Dies gilt nur in Einschränkungen für Sicherheitsprogrammen wie Firewalls oder Security-Suiten, da diese oft sämtliche  Browser umprogrammieren.

Erweiterungen / Plugins deaktivieren, deinstallieren: Dazu gibt es zu viele Möglichkeiten, als dass diese jemand komplett notieren könnte. Gerade unerwünschte Programme („potentially unwanted software“) haben viele Tricks auf Lager, um nach der vermeintlichen Deinstallation oder Deaktivierung an der gleichen oder anderen Stelle wieder aufzutauchen. Deshalb ist es wichtig, bei einem unbekannten Programm oder bei sogar bei einem von einer Sicherheitssoftware aufgezeigt Fund sich damit zu beschäftigen, welche Möglichkeiten zur „Desinfektion“ es gibt. Meist hilft die Eingabe des Namens in die Suchdienste in Kombination mit „entfernen“ oder „Spyware“.

nicht zuletzt: >>>Zusätzlich auf Schadsoftware testen

Onlinebanking: Browserprobleme Darstellung

by 1 Comment
letzte Änderungen:
08.07.2022

Wenn Seiten nicht „sauber“ aufgebaut werden, kann dies mehrere Ursachen haben.

erste Maßnahme:
Zuerst sollte man den Zwischenspeicher des Browsers, den sogenannten Cache löschen, damit alle Darstellungselemente und Bestandteile der Bankseiten noch einmal vom Server neu geladen werden. Dazu mehr >>> hier <<<.

Passiert „ungewöhnliches“?
Wenn Sie z.B. eine Abfrage von Daten erleben, die die Bank eigentlich haben sollte, dann sollte zur Sicherheit unbedingt eine separate Sicherheitsüberprüfung  gestartet werden oder fragen Sie zur Sicherheit Ihre Bank. Geben Sie auch niemals eine TAN ein, wenn Ihnen der Sinn nicht klar ist und prüfen Sie dazu immer die Anzeige im TAN-Gerät. Ist der Browser unter fremder Kontrolle, kann Ihre Browseranzeige beliebig manipuliert werden! Lesen Sie >>> hier mehr <<<.

Mit mobilem Browser unterwegs?
Läuft der Browser am normalen Computer als „mobiler“ Browser, dann werden viele Seiten im Design anders dargestellt, weil das Banksystem „glaubt“, es wäre jemand mit einem Mobilgerät online.  Schalten Sie den Modus ab.

Richtige Ausgangsseite?
Rufen Sie das Onlinebanking von der offiziellen Bankseite auf und nicht aus den eigenen Lesezeichen. Nutzen Sie auch nicht den Link eines Suchdienstes zum Einstieg, sondern geben Sie die Adresse selbst ein.

Anderen Browser bereits probiert?
Ich höre häufiger von Mac-Usern (meistens Safari), dass die Seiten nicht richtig oder nicht vollständig aufgebaut werden. Leider kenne ich die Ursache nicht. Ich empfehle in solchen Fällen probeweise den Firefox-Browser zu verwenden. Nicht unbedingt, weil dies wirklich der beste Browser ist, sondern weil er zumindest in Deutschland auf Desktoprechnern sehr weit verbreitet ist und kein Programmierer an ihm „vorbeikommt“.

Firefox: Starten ohne Plugins
Wenn Sie den Mozilla Firefox mit gedrückter Shift-Taste („Großschreibetaste“) aufrufen (vorher komplett beenden), dann wird der Browser ohne Plugins gestartet. Testen Sie damit den Seitenaufbau. Sollten Fehler verschwunden sein, sollten Sie Plugins und Browser-Erweiterungen prüfen.

Firefox: Icons fehlen? Stattdessen finden Sie Text-Einträge wie ic_chevron-down_24?

Chrome: Starten ohne Add-Ons
Wählen Sie über das Menü ein neues Inkognito-Fenster an oder nutzen Sie einfach die Tastenkombination „Strg“+“Shift“+“N“

Design „komisch“, weil „Nur-Text-Zoom“ oder „Zoom“ aktiviert?
Mit modernen Systemen kann die Darstellung im Browser selbst vergößert werden. Dies kann bei einem Touchpad mit dem Zweifinger-System funktionieren oder mit dem Mausrad. Auch die Tastenkombi STRG-plus und STRG-minus (gleichzeitig) vergrößert oder verkleinert die Darstellung. Diese Zoomfunktion kann man zumindest im Safari und Firefox auch auf den Text beschränken, das führt aber oft zu merkwürdigen Effekten. Bei Mozilla FF ist dies mit der Tastenkombi STRG-Null oder unter Ansicht Zoom abschaltbar (auf „Normal“ umstellen). Testen Sie die verschiedenen Zoomstufen, während Sie angemeldet sind.
Erreichbar ist das Menü übrigens durch Antippen oder Halten der Alt-Taste und „Ansicht/Zoom“.

Kontobezeichnungen zu lang
Im Onlinebanking kann man die Kontobezeichnungen selbst ändern und je nach Größe des Browserfensters oder Zooms führt ein langer Name zu Umbrüchen, die unschön wirken können. Stellen Sie einen kürzeren Namen ein, wählen Sie eine andere Zoomstufe.

Zwischenspeicher beim Internet-Explorer wird nicht aufgefrischt
Unter Einstellungen – Allgemein – Temporäre Internetdateien findet man die Auswahl „Neuere Versionen der Seite suchen“. Ist diese auf „Nie“ gesetzt, wird das Design etc. nicht aktualisiert. Bitte ändern Sie diese Einstellung auf „Automatisch“ und starten Sie den Browser neu.

nur noch sehr selten ein Problem:
Unterstützung der Designvorlagen CSS3 fehlt:
Das Onlinebanking der VR-Banken setzt mindestens CSS3 voraus. Dies wird vom alten Opera 12.x und anderen alten Browsern wie dem Microsoft Internet-Explorer bis Version 8 nicht oder nicht ausreichend unterstützt. Besonders von der Verwendung der alten Microsoft-Browser rate ich nicht nur aus Designgründen dringendst ab, denn Microsoft wird vermutlich keine Sicherheitslücken mehr reparieren. Unter aktuellen Windows-Versionen sollte daher der Edge-Browser genutzt werden und nicht der Internet-Explorer.

Apropos alte Browser: Dass dabei der liebgewonnene Browser auf der Strecke bleibt, mag individuell bedauerlich sein, aber ich bin der Meinung, dass es besser ist, hier eher auf modernere und zukunftssichere Standards zu setzen, als alten Ballast mitzuschleppen und aus Nostalgiegründen (?) alle Browser unterstützen zu wollen.

Nicht zuletzt: Die Verwendung eines alten Browsers, der nicht mehr gewartet wird, halte ich persönlich für grob fahrlässig und ich kann auch nur dringend von allen Tricks abraten, die alten Systemen noch etwas Leben einhauchen. Auch wenn z.B. ein Registry-Patch dem Uralt-XP (sofern dies überhaupt legal ist) noch Updates spendieren mag, so würde dies im Streitfall ziemlich schlecht aussehen.

Sicherheit: Ein trojanisches Pferd – der Geschichte zweiter Teil

by Leave a Comment

Auf dem Weg zur Arbeit entspanne ich mich noch etwas und schaue noch einmal nach, was sich an der „Trojanerfront“ getan hat.

Nach einer Aktualisierung meldet sich nun auch der von Microsoft eingebaute Virenscanner. Gar nicht so schlecht für ein kostenloses Produkt. Der Virenscanner von Microsoft für Windows 8 hat auch bei einigen Tests relativ gut abgeschnitten.

Windows_Defender

Jetzt bin ich neugierig, ob nun alle anderen meinen „Griechen“ in der Zip-Datei auch errkennen. Ein neuer Scan zeigt nun 33 von 53. Folgende Antivir-Programme scheinen nicht zu funktionieren – oder taugen schlichtweg nichts. So ein Einzelergebnis ist sicherlich nicht repräsentabel, aber es handelt sich beim Fund um einen fiesen Vertreter der Man-in-the-Browser Trojaner, ZBot, bzw. ZeuS. Diese Gruppe ist eine wahre Pest unter den „Banktrojanern“ und Botnetzen.

AegisLab 20140528
Agnitum 20140527
AhnLab-V3 20140527
Baidu-International 20140527
Bkav 20140527
ByteHero 20140528
CAT-QuickHeal 20140527
CMC 20140526
ClamAV 20140528
Comodo 20140528
Jiangmin 20140528
K7AntiVirus 20140527
K7GW 20140527
NANO-Antivirus 20140528
SUPERAntiSpyware 20140528
TheHacker 20140528
TotalDefense 20140527
VBA32 20140527
ViRobot 20140528
Zillya 20140528

Ich scanne die gleiche Datei noch einmal bei jotti, einem Angebot wie Virustotal.

Jotti

Es ist erschreckend. Angeblich sind die Erkennungsdateien aktuell und trotzdem finden einige namhafte Hersteller nichts, die bei virustotal aber schon alles richtig identifiziert hatten. Mein vorläufiges Fazit: Diese Dienste sind in nützliches Tool, man sollte aber immer seinem gesunden Misstrauen trauen.

Sicherheit: ein trojanisches Pferd enttarnen

by Leave a Comment

Und schon wieder erreichen mich massenhaft als Faxe getarnte Viren. So neu, dass mein Virenscanner keinen Alarm schlägt.

Faxnachricht [Caller-ID: +49(0)3032734xxx Seiten: 4. Datum: 2014-05-13 09:50:59 UTC. Kennziffer: DE5065AF3275BD6626BE.

Im Zip-Anhang befindet sich das Trojanische Pferd. Ok, eigentlich ist der Anhang ja selbst das trojanische Pferd, also befindet sich im Anhang „der Grieche“, richtig?

Erst in der Detail-Anzeige wird deutlich: Es handelt sich nicht um ein Fax, also eine Bilddatei oder ein PDF, sondern um eine Anwendung. Ausführen der Datei reicht also für die Infektion.

Je nach Ansicht erkennt man leider nicht, was sich im Pferd, also im Anhang verbirgt, bestenfalls das Icon könnte eine Ahnung aufkommen lassen, dass es sich nicht um das angekündigte Fax handelt. Erst nach Klick auf „Ansicht“ und „Details“ lässt sich erkennen, was los ist. Das System würde mir vor Ausführung einer solchen Datei einen Hinweis geben, Aber wer mit einem Fax rechnet (ich bekomme täglich welche), fällt eventuell schnell drauf rein.

Grieche noch getarnt

Der Typ „Anwendung“ verrät, dass es sich um ein ausführbares Programm handelt.

Datei im trojanischen Pferd

Ein Rechtsklick zeigt mir die Dateiendung und auch, wie alt die Datei ist. Hm, 26.05., also von gestern. Mal schauen, was die Virenscanner dazu sagen…

Eigenschaften_Grieche

Ich werde mal bei Virustotal nachsehen, einem Dienst, bei dem man u.a. verdächtige Dateien hochladen und von einer Flotte von Virenscannern prüfen lassen kann.

Virustotal_01Ich lade die Datei hoch und erhalte den Hinweis, dass diese Datei bereits gestern überprüft wurde. Also war jemand schon vor mir misstrauisch und hat die Datei bei Virustotal checken lassen. Ich gebe mich vorerst mit dem gestrigen Ergebnis zufrieden: Aha: Nur 2 (!) von 53 von Virenscannern haben beim ersten Scan diese Datei für verdächtig gehalten! Wenn ich also einer der ersten gewesen wäre, der dieses vermeintliche Fax erhalten hätte, dann hätte ich womöglich also eine knapp 4 prozentige Chance gehabt, dass mein Virenscanner sich gemeldet hätte?

Virustotal_Scan_01Gut, ich weiß ja, dass es Malware sein muss. Ich lasse erneut checken und inzwischen haben 16 von 53 einen Verdacht. Naja, auch noch nicht soo toll, oder?!

Ich lasse die Datei erneut scannen, mal sehen, was ein Scan einen Tag später ergibt. Schon besser, 16 Scanner schlagen Alarm. Aber so richtig toll ist das Ergebnis auch nicht, oder?Virustotal_Scan_02

Hier geht die Geschichte am nächsten Tag weiter.