myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Internet] Neue Variante des BKA-Trojaners verbreitet sich in Österreich

Willkommen

myGully

Links

Forum

 
Antwort
 
Themen-Optionen Ansicht
Ungelesen 21.04.13, 16:26   #1
Neuigkeiten
aus aller Welt
 
Registriert seit: Apr 2013
Beiträge: 55
Bedankt: 97
Neuigkeiten ist noch neu hier! | 0 Respekt Punkte
Standard Neue Variante des BKA-Trojaners verbreitet sich in Österreich
Zitat:
In Österreich warnt derzeit die Polizei vor der Verbreitung einer Abwandlung des früheren GVU- beziehungsweise BKA-Trojaners. Die neue Schadsoftware gaukelt dem Opfer vor, es habe illegale Handlungen begangen. Der PC wird gesperrt und der Benutzer dazu aufgefordert, diesen gegen Bezahlung bei uKash entsperren zu lassen. Vor jeglichen Transfers wird gewarnt: Die Sperre bleibt trotz Bezahlung aktiv.

Die österreichische Polizei warnt momentan vor einer neuen Schadsoftware, die sich derzeit massiv in Österreich verbreiten soll. Der sogenannte Bundespolizei-Virus behauptet, er habe auf dem Rechner des Opfers eine ungesetzliche Tätigkeit enthüllt, weswegen der PC augenblicklich gesperrt wird. Auch ein Neustart des Betriebssystems ändert nichts an der Sperre. Die Schadsoftware gaukelt vor, sie sei von offizieller Stelle, und verlangt die Bezahlung einer Strafe, um den Computer wieder zu entsperren. Davon wird aber abgeraten. Selbst wenn das Geld mit dem elektronischen Zahlungsmittelanbieter Ukash transferiert wird, so ändert dies nichts an der Blockade. Eine andere Variante des Trojaners behauptet, man müsse einen gewissen Beitrag bezahlen, weil der PC von einem Virus befallen sei. Den Internetzugang und die Funktionalität der Antiviren-Software habe der Trojaner deswegen sicherheitshalber ausgeschaltet.

Die Schadsoftware der Kriminellen wird zumeist beim Surfen auf manipulierten Webseiten automatisch heruntergeladen. Die Installation des Trojaners geschieht zunächst unbemerkt und verläuft selbstständig. Auf die Zahlungsaufforderung soll man auch deswegen nicht reagieren, weil weder private Unternehmen, noch die Polizei, Justiz oder Finanzbehörden jemals Geldforderungen dieser Art stellen würden.

Die österreichische Bundespolizei rät dazu, bei der örtlichen Polizeidienststelle eine Anzeige samt Screenshot zu erstatten. Zudem hat die Bundespolizei eine leicht verständliche Anleitung in zehn Schritten veröffentlicht, wie man den Trojaner ohne jegliches Fachwissen wieder loswerden kann. Natürlich müssen alle Dateien von der Festplatte entfernt werden, sollte die Infektion von diesen ausgegangen sein. So etwa Dateianhänge von E-Mails oder infizierte PDF-Dokumente oder Powerpoint-Präsentationen. Ansonsten würde sich die Infektion des Computers bei der Öffnung dieser Dateien wiederholen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Neuigkeiten ist offline   Mit Zitat antworten
Ungelesen 21.04.13, 17:51   #2
Sophosaurus
Banned
 
Registriert seit: Jul 2011
Beiträge: 171
Bedankt: 119
Sophosaurus ist noch neu hier! | 0 Respekt Punkte
Standard
"Natürlich müssen alle Dateien von der Festplatte entfernt werden..."

Weia... bevor sich Panik breit macht: Gegen alle mir bekannten Varianten dieses Scherzprogramms ist ein sonst unbenutzter Account mit Adminrechten das Mittel der Wahl. Wer noch keinen hat, der möge ihn sich jetzt einrichten. Normalerweise hat man einen Admin-Account, der auf dem Anmeldebildschirm nicht angezeigt wird. Der tut es natürlich auch!

Aber nur, wenn man den nicht gerade benutzt, wenn der Scherzling zuschlägt.
Sophosaurus ist offline   Mit Zitat antworten
Ungelesen 21.04.13, 19:00   #3
Chaif1990
Erfahrener Newbie
 
Registriert seit: Nov 2012
Beiträge: 154
Bedankt: 61
Chaif1990 gewöhnt sich langsam dran | 83 Respekt Punkte
Standard
Zitat:
Zitat von Sophosaurus Beitrag anzeigen
"Natürlich müssen alle Dateien von der Festplatte entfernt werden..."

Weia... bevor sich Panik breit macht: Gegen alle mir bekannten Varianten dieses Scherzprogramms ist ein sonst unbenutzter Account mit Adminrechten das Mittel der Wahl. Wer noch keinen hat, der möge ihn sich jetzt einrichten. Normalerweise hat man einen Admin-Account, der auf dem Anmeldebildschirm nicht angezeigt wird. Der tut es natürlich auch!

Aber nur, wenn man den nicht gerade benutzt, wenn der Scherzling zuschlägt.
Nur haben die Opfer dieses Schädlings meistens mehr als nur eine Infektion. Sämtliche Reaktionen die nicht das platt machen des Rechners miteinbezieht ist m.M.n. grob fahrlässig.
Chaif1990 ist offline   Mit Zitat antworten
Ungelesen 21.04.13, 20:36   #4
Sophosaurus
Banned
 
Registriert seit: Jul 2011
Beiträge: 171
Bedankt: 119
Sophosaurus ist noch neu hier! | 0 Respekt Punkte
Standard
Zitat:
Zitat von Chaif1990 Beitrag anzeigen
Nur haben die Opfer dieses Schädlings meistens mehr als nur eine Infektion. Sämtliche Reaktionen die nicht das platt machen des Rechners miteinbezieht ist m.M.n. grob fahrlässig.
Das ist mehr als unwahrscheinlich. Das Teil gelangt dadurch mit Erfolg an allen Guards vorbei, eben keine Nachladefunktionen zu enthalten, weswegen es auch von Scannern nicht entdeckt wird. Das Executable enthält unauffälligen Code, der den Taskmanager und den Fensterwechsel blockiert und das bekannte Bild anzeigt.

Üblicherweise wird der Autostart vom dazugehörigen Installer in die Systemregistrierung eingetragen, die Rechte des Eintrags manipuliert, damit man ihn nicht löschen kann, ohne zuvor die Rechte des Eintrags wieder herzustellen und je nach Version eine Exe oder Com im Benutzerordner abgelegt, die als eigener Task läuft oder über einen svchost-Prozess.

Ich weiß das, weil ich solche Teile schon komplett eingefangen und an Oldtimer und andere übergeben habe, die den zerlegt und analysiert haben. Das Botnetz, aus dem der Installer stammt, ist wohl teure Profiware, aber der installierte Teil gehört eher zu den harmloseren Vertretern. Dafür braucht man sein System nicht plattzumachen, zumal das bei aufwendigeren Installationen ja auch vom Arbeitsaufwand her unbezahlbar ist.

EDIT: Der einfachste Weg, damit umzugehen, ist in einen anderen Account mit Adminrechten zu wechseln, ohne den befallenen Account auszuloggen. Dann kann man den Task per Trial & Error (einen nach dem anderen beenden, und nachsehen, ob das Bild noch da ist) identifizieren. Das File selbst ist dann über den Autostart-Eintrag leicht zu finden, liegt aber meist irgendwo in den Benutzerordnern.
Sophosaurus ist offline   Mit Zitat antworten
Ungelesen 21.04.13, 19:43   #5
megabeau
Banned
 
Registriert seit: Jan 2011
Beiträge: 690
Bedankt: 915
megabeau ist noch neu hier! | 0 Respekt Punkte
Standard
Zitat:
Die österreichische Bundespolizei rät dazu, bei der örtlichen Polizeidienststelle eine Anzeige samt Screenshot zu erstatten. Zudem hat die Bundespolizei eine leicht verständliche Anleitung in zehn Schritten veröffentlicht, wie man den Trojaner ohne jegliches Fachwissen wieder loswerden kann.
die anleitung, auf die sich der text bezieht, bezieht sich auf den alten trojaner. geht man dann auf yt zu den videoanleitungen, die tatsächlich den neuen von 2013 betreffen, kriegt man ein ganz anderes bild. der neue hat doch ein ziemliches update erhalten. da wird man wohl nicht um neuaufsetzen herumkommen.

was allerdings die meldung bei der örtlichen polizeidienststelle anlangt - da hab ich herzlich gelacht. die verständnislosen blicke der wachthabenden kann ich mir wirklich lebhaft vorstellen
megabeau ist offline   Mit Zitat antworten
Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:41 Uhr.


myGully - Archiv - Nach oben
Sitemap

().