WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Kinderporno-Trojaner wird aggressiver (http://www.wcm.at/forum/showthread.php?t=246282)

Christoph 08.05.2013 09:25
Kinderporno-Trojaner wird aggressiver
 
Zitat:
Eine neue Variante des BKA-Trojaners versucht den Besitzer des infizierten Rechners mit vier kinderpornografischen Fotos zu erpressen, wie die Anti-Botnetz-Zentrale berichtet. Der Trojaner täuscht vor, dass man vom Bundeskriminalamt bei rechtwiedrigen Handlungen wie der "Wiedergabe von porngrafischen Inhalten mit Minderjährigen" ertappt wurde und sperrt den Rechner.
Tatsächlich befinden sich zu diesem Zeitpunkt Kinderpornos auf dem Rechner – diese hat der Trojaner selbst heruntergeladen. Wohl um den Anschein laufender Ermittlungen zu unterstreichen, blendet der Schädling zu den vier Fotos die angeblichen Namen und Geburtsdaten der abgebildeten Kinder ein. Darüber hinaus sieht sich der Nutzer des infizierten Systems selbst – sofern der Trojaner eine Webcam vorfindet.

Um sich Strafverfolgung zu entziehen, wird man aufgefordert, den Erpressern 100 Euro über Ukash oder Paysafecard zahlen. Das sollte man selbstverständlich tunlichst unterlassen, da das Geld geradewegs in die Taschen der Kriminellen wandert. Stattdessen sollte man einen Virenscanner auf das System ansetzen.

Das Anti-Botnetz-Beratungszentrum empfiehlt hierzu den On-Demand-Scanner HitmanPro, der auch die vom Trojaner heruntergeladenen Fotos vom System löschen soll. Bei einem kurzen Test von heise Security zeigte sich allerdings, dass diese Software unerfahrene Anwender unnötig verunsichern könnte, da sie stets Unmengen von Tracking-Cookies moniert. Alternativ kann man zum Beispiel Desinfec't auf Virenjagd schicken, das mit bis zu vier AV-Engines arbeitet.

Wenn die Desinfektion mit HitmanPro oder einem anderen Virenschutzprogramm nicht gelingt, kann auch eine Systemwiederherstellung dazu führen, dass der Schädling vom System verbannt wird.
Quelle: http://www.heise.de/newsticker/meldu...r-1858607.html

Don Manuel 08.05.2013 09:43
Habe beste Erfahrung mit diesen BKA-Trojanern mit der Kaspersky-Rescue-CD, gerade erst wieder vor ein paar Tagen. Aufgrund ihrer Eigenart lässt sie sich leider nicht gänzlich (also über alle boot-Varianten) in OmniBoot integrieren, was ich ob ihrer Qualität sehr bedauere.

gnagflow 10.05.2013 23:10
Zitat:
Zitat von Don Manuel (Beitrag 2486425)
Habe beste Erfahrung mit diesen BKA-Trojanern mit der Kaspersky-Rescue-CD, gerade erst wieder vor ein paar Tagen. Aufgrund ihrer Eigenart lässt sie sich leider nicht gänzlich (also über alle boot-Varianten) in OmniBoot integrieren, was ich ob ihrer Qualität sehr bedauere.
Das einzige, was wirklich geholfen hat, war die Systemwiederherstellung, nachdem dieses equus tronianicus scheinbar auch die Sicherheitsrichtlinien von Windows dahingehend verändert, dass standardmäßig das Sicherheits-Center nicht mehr geladen werden kann.
Auch eine Systemwiederhestellung hat erst beim 3.Mal im abgesicherten Modus funktioniert (Win7 32bit SP1)

Hawi 11.05.2013 07:35
Die Kaspersky-Rescue-CD braucht kein Sicherheits-Center, sie ist ja eine LiveCD, die in Linux bootet, bei Internetverbindung die aktuellsten Signaturen nachlädt und Windows quasi von außen inspiziert und säubert. Im Gegensatz zu anderen im Netz angebotenen Lösungswegen ist sie auch deppensicher.
Leider habe ich meine Säuberungsaktion nicht dokumentiert, aber Kaspersky fand jedenfalls auch im Wiederherstellungsbereich Malware.

gnagflow 11.05.2013 17:19
Zitat:
Zitat von Hawi (Beitrag 2486547)
Die Kaspersky-Rescue-CD braucht kein Sicherheits-Center, sie ist ja eine LiveCD, die in Linux bootet, bei Internetverbindung die aktuellsten Signaturen nachlädt und Windows quasi von außen inspiziert und säubert. Im Gegensatz zu anderen im Netz angebotenen Lösungswegen ist sie auch deppensicher.
Leider habe ich meine Säuberungsaktion nicht dokumentiert, aber Kaspersky fand jedenfalls auch im Wiederherstellungsbereich Malware.
Ich hatte besagte Kapersky-CD laufen, der Trojaner wurde aber nach dem Säuberungsscan trotzdem wieder geladen und das Sicherheits-Center war nicht verfügbar.
Also habe ich die Systemwiederherstellung bemühen müssen.

vtom 11.05.2013 22:02
Weiss nicht wie der Trojaner euch foltert, bei mir war es ein Profilabhäniges Leiden und das ist recht rasch entfernt.

Die letzte Version tarnte sich als Skype mit 2 Dateien im Roaming Verzeichnis, es wurde eine Webseite mit viel sinnlosem Text und Bildern dargestellt sowie der Rechner sonst irgendwie gesperrt.

Also Login mit anderem Benutzer und mal schnell säubern, beim ersten Rechner mit dem MS Essenials, beim 2. dann von Hand und ruhe war im Stall.

Achja ... ich vergass zu erwähnen das die Infektionen ausschliesslich Benutzer mit eingeschränkten Rechten erwischte, fragt mich nicht was wäre wenn man als Admin auf solche infizierten Seiten gelangt.

Tom

Christoph 11.05.2013 22:04
Das könnte böse enden. als Admin sollten man aber unbedingt Brain1.0 verwenden. ;)

vtom 11.05.2013 22:06
Zitat:
Zitat von Christoph (Beitrag 2486562)
Das könnte böse enden. als Admin sollten man aber unbedingt Brain1.0 verwenden. ;)
Was kann böse ändern ?
Ohne Adminrechte ist nix im Infektion sondern nur der alte Autostart Trick, schon dutzende Male entfernt und keiner kam wieder.

Os Win7 SP1 und alles Benutzer...

Christoph 11.05.2013 22:09
Du ja, aber schau mal in diesem und anderen Foren wie viele User die gröbsten Probleme hatten, auch eine Kollegin von mir, hab´s aber wieder hinbekommen.
Frag mich bitte nicht wie, ist schon eine Zeit her, ich glaub mit OmniBoot..

vtom 11.05.2013 22:12
Klar...
Die erste Entfernung macht auch essentials und ich hab zugeschaut, dann von Hand versucht und ok wars.
Und nochmal: Vorausgesetzt KEINE Adminrechte ;)

Hats dich mit erwischt so musst die Ärmel zurückkrempeln, wird beim nächsten Mal die aktuelle Anti CD von CT versuchen.

Tom:-)

Christoph 11.05.2013 22:14
Wenn´s mich oder wen aus der Familie erwischt ist das kein Problem, Image zurückspielen, fertig. :)

vtom 11.05.2013 22:16
Zitat:
Zitat von Christoph (Beitrag 2486566)
Wenn´s mich oder wen aus der Familie erwischt ist das kein Problem, Image zurückspielen, fertig. :)
Oda gleich mit virtuellen Maschinen ins Netz gegen, da machts klick und Snapshot von vorher ist wieder da :-)

Tom

Christoph 14.05.2013 17:58
Zitat:
AV-Software beseitigt Unrat des BKA-Trojaners

Aktuelle Versionen des BKA-Trojaners laden unter anderem Bilder mit Kinderpornographie auf den Rechner der Opfer. Bei einer oberflächlichen Reinigung durch AV-Programme kann es passieren, dass diese Dateien, deren Besitz strafbar ist, auf dem PC verbleiben. Erste AV-Hersteller haben jetzt reagiert und erkennen und löschen diesen Unrat ebenfalls.

Im Rahmen der Berichterstattung stieß heise Security auf dieses mögliche Problem. Da Besitz und Beschaffung solcher Dateien strafbar sind, kam ein entsprechender Test der Antiviren-Software nicht in Frage und wir wandten uns an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf das Problem der unter Umständen auf den Rechnern der Betroffenen verbleibenden, kinderpornographischen Bildern angesprochen, nahm das BSI den Ball sofort auf und kontaktierte einige Antiviren-Hersteller. Es ging dabei vor allem darum, sicherzustellen, dass nicht nur die eigentliche Trojaner-Datei vom Rechner gelöscht wurde, sondern auch die Bilder, von denen zwar im technischen Sinn keine Gefahr ausgeht, deren Besitz aber strafbar wäre.

Avira reagierte auf die Anfrage des BSI sofort und erstellte Signaturen für die eigene Antiviren-Software. Nach Auskunft des Unternehmens erkennt Avira ab sofort nicht nur die eigentliche Trojaner-Datei (TR/Crypt.ULPM.Gen) sondern auch die von ihr hinterlassenen strafbaren Bilder (TR/Ransom.Cpron). Bei einer Reparatur werden die Bilder jetzt mit gelöscht.

Das gilt nicht nur für die installierten AV-Produkte sondern auch für die Avira Rescue Disk und den in Desinfec't enthaltenen Avira-Scanner. Allerdings ist zu beachten, dass beim Einsatz dieser externen Scanner die vom Trojaner vorgenommenen Änderungen an der Windows-Registry nicht beseitigt werden. Manche Versionen registrieren sich als Windows-Shell, was dazu führt, dass nach dem Löschen des Trojaners Windows nicht mehr bootet. Dies kann unter Desinfec't der Kaspersky Windows Unlocker in den Experten-Tools korrigieren.

Auch Symantec hat bereits reagiert und versichert, dass Norton nun die Kinderpornos erkennt und beseitigt. Die spezielle Reinigungs-Software Hitman Pro war bereits vorher dazu in der Lage. Es ist davon ausgehen, dass andere AV-Hersteller ebenfalls folgen. Allerdings funktioniert das nur für die aktuelle Version des BKA-Trojaners zuverlässig; weil die Erkennung durch AV-Software in der Regel an Hand von einfachen Signaturen erfolgt, müssen diese bei der nächsten Welle wahrscheinlich nachgebessert werden.

Einen etwas systematischeren Ansatz, der allerdings etwas Handarbeit erfordert, stellt der Artikel Unrat des BKA-Trojaners finden und löschen vor. (ju)
Quelle: http://www.heise.de/newsticker/meldu...s-1862799.html


Alle Zeitangaben in WEZ +2. Es ist jetzt 07:02 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag