Hat jemand gute Infos über das BKA-Virus (BKA-Trojaner, UKASH-Trojaner, Ransom Ukash)? Mich interessiert weniger die Beseitigung, sondern wie es ins System gelang und welche Variationen es zur Zeit gibt.
Wie gelangt die Software auf den Rechner? Drive-by? Welche Exploits nutzt es?
Welche verschiedenen Versionen gibt es?
Erstes Ergebnis:
http://www.bka-trojaner.de/ Dort werden Screenshots der verschiedenen Variationen gezeigt und zu Entfernungsanleitungen verlinkt.
Ich hatte es gestern abend mit der Version „Bundespolizei NATIONAL CYBER CRIMES UNIT“[Screenshot] zu tun. Wer genau hinschaut, sieht dass die Deutschlandflagge falsch herum(gold,rot,schwarz) dargestellt wird.
Dieser Trojaner befällt, meiner Einschätzung nach, nur ein Account. Die anderen Nutzer werden nicht infiziert. Dadurch ist es recht einfach, sich anzumelden und mit einem aktuellen Virenscanner die Datei zu finden und zu löschen. Ich hab hab mich via TeamViewer mit dem Rechner verbunden, dort Microsoft Security Essentials installiert und laufen lassen, während ich gleichzeitig nach den bekannte Versionen des BKA-Trojaners gesucht habe. Im Temp-Verzeichnis fand ich dann eine Datei. Der .exe-Datei hatte als Namen nur ein Zahlenkolonne und ließ sich leicht löschen. Danach schien der infizierte Nutzer wieder normal zu funktionieren.
Links
Rene pflegt eine eigene Internetseite für den Trojaner: http://www.bundespolizei-virus.de/
heise – Schadsoftware nach Landessitte
Gute Informationen zum BKA-Virus – lesen!
Kommentare/Fragen erwünscht
Der BKA-Trojaner lässt sich im Gegensatz zu den auf vielen Seiten propagierten „Entfernungs- und Löschanleitungen“ nicht zuverlässig von einem einmal infizierten System entfernen, nicht zuletzt, weil er weitere Malware nchlädt, die meist unentdeckt bleibt und z.B. für die Eingliederung des betroffenen PCs in ein Bot-Netz sorgt.
Ich warne eindringlich davor, diesen unverantwortlichen Löschanleitungen zu folgen und dann zu glauben, das Problem wäre erledigt, weil der Zugang zum PC wieder möglich sei.
Einziger zuverlässiger Weg ist das komplette Neuaufsetzen des Systems – vorzugsweise über ein Ubuntu-Live-System.
Danke für deinen Kommentar! Ich habe deine Seite gleich in dem Artikel verlinkt. Die Gefahr, dass weiterer Schadcode nachgeladen worde ist oder dass nur Teile des ursprünglichen Trojaners gelöscht wurde, darf wirklich nicht unterschätzt werden. Ein komplettes(!) Neuinstallieren ist leider das Mittel der Wahl. Dazu gehört auch, vorher die eigenen Daten sinnvoll zu sichern.
Allerdings kann ich mir Einzelfälle vorstellen, wo man auf eine Neuinstallation verzichtet. Über das (Rest)Risiko sollte man sich dann aber im Klaren sein.
Bei einem Virenverdacht sollte man auch sinnvollerweise von einem anderen Betriebssystem scannen z.B. c’t Desinfect.. 100%ige Sicherheit bringt das auch nicht, aber die ist eh ein frommer Wunsch.