Thema: Trojaner ist angeblich von der Polizei

[SiLæncer]

Der Sicherheitsdienstleister AV-Test warnt vor einem neuartigen Trojaner, der auf infizierten Windows-Rechnern (XP, Vista, Windows 7) eine angeblichen Hinweis des Bundeskriminalamtes zu illegalen Inhalten auf dem PC einblendet. Der Rechner sei deshalb gesperrt und werde erst nach Zahlung von 100 Euro über einen anonymen Bezahldienst wieder freigegeben, anderenfalls werde die Festplatte gelöscht. Dabei handelt es sich den Angaben zufolge um einen Betrugsversuch.

Den Erkenntnissen von AV-Test zufolge blockiert der Schädling sämtliche Zugriffe auf das System. Der Trojaner niste sich an mehr als 30 Stellen in der Registry ein, um immer direkt nach dem Systemstart ausgeführt zu werden. Außerdem außerdem verhindere er den Zugriff auf die Registry Tools und den Task Manager. Derzeit werde der Schädling nicht von allen Antivirus-Programmen erkannt, doch seien die Hersteller informiert worden. Sollte der PC bereits befallen sein, empfehlen die Sicherheitsexperten den Einsatz einer Rettungs-CD.

Quelle : www.heise.de

[SiLæncer]

Seit einigen Wochen kursiert ein Trojaner, der den Zugriff auf Windows-PCs in Verbindung mit einer angeblichen BKA-Aktion sperrt. Das wird von vielen Anwendern offenbar so ernst genommen, dass das BSI und der Verband eco nun Beratung anbieten. Die ist jedoch stellenweise fehlerhaft.

Mindestens seit Ende März 2011 verbreitet sich eine Kombination aus Schadprogrammen, die den Zugriff auf Windows-PCs sperrt. Aus dem Blog des Antivirenherstellers Avira geht hervor, dass dabei auch weitere Malware nachgeladen wird. Eines der Programme ersetzt die Windows-Shell - die normalerweise das Programm explorer.exe ist - durch eine angebliche Warnmeldung des Bundeskriminalamts, die dem Benutzer von Kinderpornographie bis Terror-E-Mails alle möglichen Schandtaten vorwirft.

Die Lösung: Über den Online-Bezahlservice UKash soll eine "Strafe von 100 Euro" bezahlt werden, sonst werde sogar die Festplatte gelöscht. Ob die Bezahlung hilft, oder der Benutzer auch danach noch von dem Schädling und seinem nachgeladenen Code gequält wird, ist nicht bekannt.

Zwar erkennen alle gängigen Virenscanner die Malware seit Wochen, anscheinend gehen bei den Ermittlungsbehörden aber immer mehr Anfragen ein. So warnt nun beispielsweise die Polizeidirektion Hildesheim mit einer Pressemitteilung vor dem Betrugsversuch und beteuert: "Eine Verbindung zu oben genannten Behörden und Firmen besteht nicht.". In Niedersachsen sind der Mitteilung zufolge schon 100 Fälle bekannt geworden, stündlich kommen neue Anzeigen dazu.

Der Verband eco hat deshalb in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Webseite Botfrei.de aktualisiert, wo sich Anleitungen zum Entfernen des Schädlings finden. Zusätzlich gibt es unter der Nummer 0231 189 26 50 eine Hotline, die werktags von 9 bis 21 Uhr besetzt ist.

Während eco mit dem "Anti-Botnet Beratungszentrum" unter anderem den sinnvollen Scan eines Rechners mit einer kostenlosen Boot-CD von Kaspersky empfiehlt, enthält die "Anleitung für Experten" (PDF) nur den Hinweis, den Shell-Eintrag in der Registry im abgesicherten Modus wieder auf "explorer.exe" zu setzen. Damit ist der Zugriff auf den Rechner zwar wieder möglich - dass die Schadprogramme danach aber immer noch vorhanden sind und tunlichst entfernt werden sollten, erklärt die Anleitung jedoch nicht.

Quelle : www.golem.de

[SiLæncer]

Wer zahlt, ist anschließend zwar um
100 Euro ärmer, kann aber
höchstwahrscheinlich trotzdem nicht
auf seinen Rechner zugreifen.Bild vergrössern

Das BSI warnt vor einer neuen Variante des BKA-Trojaners, die dem Besitzer nach dem Sperren des Rechners zur Einschüchterung das Livebild seiner Webcam anzeigt, sofern eine solche installiert ist. Wie die bereit bekannten Varianten behauptet die Malware, dass etwa die GVU oder das BSI zum Beispiel Raubkopien oder Kinderpornografie auf dem System gefunden haben. Gegen die Zahlung von 100 Euro in Form einer Ukash-Karte könne man sich freikaufen und einer Strafverfolgung entgehen – Geld, das geradewegs in die Hände der Betrüger fließt.

Zum Entfernen des Schädlings empfiehlt das BSI das DE-Cleaner Rettungssystem und die Kaspersky Rescue Disk. Weitere Tipps findet man im Forum von botfrei.de. Nach des Desinfektion sollte man auch die Sicherheitseinstellungen des Internet Explorer kontrollieren, da der Schädling laut BSI die Zoneneinstellungen manipuliert, um eine Neuinfektion zu erleichtern.

Quelle : www.heise.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) warnen vor dem Windows-Verschlüsselungstrojaner, einer besonders aggressiven Variante des BKA-Trojaners.

Wer der gefälschten Zahlungsaufforderung nachkommt,
ist nicht nur seine Daten los, sondern auch sein Geld.Bild vergrössern

Der Schädling versperrt vermeintlich im Namen des Bundespolizei, der GVU oder anderer Organisationen den Zugriff auf den Rechner und fordert den Nutzer in der Regel auf, ein Lösegeld in Höhe von 50 bis 100 Euro über die anonymen Bezahlverfahren Ukash oder Paysafecard zu zahlen. Darüber hinaus verschlüsselt der Trojaner noch reihenweise Dateien auf der Festplatte, die man selbst mit einer bootfähigen Antiviren-CD nur teilweise wiederherstellen kann. Die Malware wird vor allem über Spam verteilt, wie heise Security bereits vor drei Monaten berichtet hat.

BSI und ProPK raten den Betroffenen, "die geforderte Gebühr unter keinen Umständen zu bezahlen", da "eine Zahlung des geforderten Betrags nicht zu einer Entschlüsselung des Rechners" führt. Das Retten von Rechner und Dateien ist durch die Verschlüsselung inzwischen so komplex, dass das BSI und Polizei im Falle einer Infektion dazu raten "sich an IT-Experten zu wenden, die bei der Entschlüsselung des Rechners behilflich sein können".

Falls man es selbst versuchen will, soll man sich auf botfrei.de schlau machen. Tatsächlich findet man in dem dort angeschlossenen Forum Desinfektionshinweise zu etlichen Varianten des BKA-Trojaners. Wer sich den Trojaner eingefangen hat, sollte laut Empfehlung des ProPK-Vorsitzenden Professor Dr. Wolf Hammann außerdem "umgehend Anzeige bei der nächstgelegenen Polizeidienststelle erstatten".

BSI-Präsident Michael Hange wird in der Pressemitteilung damit zitiert, dass man "mit Standard-Schutzmaßnahmen[...] im privaten Umfeld bereits 80 Prozent aller Cyber-Angriffe abwehren“ könne, was im Umkehrschluss bedeutet, dass Privatanwender 20 Prozent der Angriffe hilflos ausgeliefert sind Umso wichtiger ist es, sich nicht allein auf den Schutz durch den Virenscanner zu verlassen. Man sollte sein System stets auf dem neuesten Stand zu halten und vor dem Öffnen von per Mail zugestellten Dateien und Links eine gesunde Skepsis an den Tag zu legend. Das sind im Wesentlichen auch die Schutzempfehlungen von BSI und Polizei.

Quelle : www.heise.de

[SiLæncer]

Eine neu aufgetauchte Variante des GVU-Trojaners unterstellt dem Besitzer des verseuchten Computers schwerste kriminelle Handlungen. Wie üblich wird von den Betroffenen die Zahlung von 100 Euro gefordert, die man ausschließlich anonym über die Dienstleister uKash oder Paysafecard begleichen kann. Der verseuchte Windows-Computer bleibt aber so oder so gesperrt.

Auch die neue Variante des sogenannten GVU-Trojaners kann dem Bereich Ransomware zugeordnet werden. Mit der Einblendung von Bildern und Texten sollen die Opfer erschreckt und zur Durchführung einer bestimmten Handlung bewegt werden. Im konkreten Fall wird dazu aufgefordert, den Cyberkriminellen 100 Euro zu überweisen.

Nach erfolgter Infektion des Computers wird dieser komplett gesperrt. Statt des Betriebssystems erscheint eine ganzseitige Anzeige, in der die Logos des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) eingeblendet werden. In der Nachricht unterstellt man den PC-Benutzern Delikte aus den unterschiedlichsten Bereichen des Strafrechts. So habe man sich durch terroristische Aktionen, Urheberrechtsverletzungen, die Verbreitung von Kindesmissbrauchs-Darstellungen oder andere Taten strafbar gemacht. Als Reaktion auf die Straftaten habe man den Computer aus Gründen „unbefugter Netzaktivitäten ausgesetzt“. Auch wird dort ein Foto eingeblendet, das nach Einschätzung des Bundeskriminalamts gegen Paragrafen 184c StGB verstößt.

Die digitalen Erpresser zu bezahlen, ist nicht sinnvoll. Die Benutzung des Windows-Betriebssystems ist auch nach Begleichung der geforderten Summe nahezu ausgeschlossen. Wer zahlt, verändert die Höhe seines Guthabens. Dies stellt nicht die Funktionstüchtigkeit des Computers wieder her. Es hilft also nur die Neuinstallation und das Einspielen hoffentlich vorhandener Backups.

Hintergrund: Der GVU-Trojaner verbreitet sich zumeist über manipulierte Webseiten. Beim Besuch einer solchen Seite führen veraltete Plug-ins, wie der Adobe Flash Player, Java oder alternativ eine veraltete Windows-Version zur Übernahme des Windows-PCs. Auch wenn ein anderer Eindruck vermittelt werden soll: Die eingesetzte Schadsoftware hat nichts mit der GVU oder dem BSI zu tun.

Quelle : www.gulli.com

[Jürgen]

Was wäre das für ein Land, in dem einem die Behörden gegen einen Ablass von gerade mal 100 Eumeln "schwerste kriminelle Handlungen" vergeben würden...

Was sind das also bloß für Zeitgenossen, die sowas glauben und daher zu zahlen bereit sind...
Denen gehört der Computer wohl tatsächlich abgestellt, sicherheitshalber

Jürgen

[SiLæncer]

Der mutmaßliche Entwickler des BKA-Trojaners ist in Dubai festgenommen worden, 10 weitere angebliche Hintermänner des Online-Betrugs wurden in Spanien verhaftet. Das teilte das Nationale Polizeikorps Spaniens am gestrigen Mittwoch mit. Demnach handelt es sich bei dem Verantwortlichen für die Technik des Trojaners um einen 27-jährigen Russen, der sich auch um die Verbreitung der Software gekümmert hat. Die den Spaniern ins Netz gegangene Gruppe, bestehend aus sechs russischen, zwei ukrainischen und zwei georgischen Staatsbürgern habe mit dem Trojaner jährlich etwa eine Million Euro gesammelt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Deutsche Sicherheitsbehörden warnen vor einer neuen Variante des BKA-Trojaners, die den Rechner von betroffenen Computeranwendern sperrt und eine Art Lösegeld einfordert. Ähnlich wie bei einer früheren Variante erscheint, wenn der Rechner infiziert ist, auf dem Bildschirm ein nicht wegzuklickendes Fenster. Diesem wird dieses Mal durch Anzeige des Logos der BKA-Pressestelle ein vermeintlich offizieller Anstrich gegeben wird, erklärte das Bundeskriminalamt. Dabei werde behauptet, dass die Funktion des Computers "aus Gründen unbefugter Netzaktivitäten ausgesetzt" sei. Außerdem werden Rechtsverletzungen angeführt, die die vermeintliche Ursache für die Sperrung sein sollen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine neue Variante des BKA-Trojaners versucht den Besitzer des infizierten Rechners mit vier kinderpornografischen Fotos zu erpressen, wie die Anti-Botnetz-Zentrale berichtet. Der Trojaner täuscht vor, dass man vom Bundeskriminalamt bei rechtwidrigen Handlungen wie der "Wiedergabe von porngrafischen Inhalten mit Minderjährigen" ertappt wurde und sperrt den Rechner.

Tatsächlich befinden sich zu diesem Zeitpunkt Kinderpornos auf dem Rechner – diese hat der Trojaner selbst heruntergeladen. Wohl um den Anschein laufender Ermittlungen zu unterstreichen, blendet der Schädling zu den vier Fotos die angeblichen Namen und Geburtsdaten der abgebildeten Kinder ein. Darüber hinaus sieht sich der Nutzer des infizierten Systems selbst – sofern der Trojaner eine Webcam vorfindet.

Um sich Strafverfolgung zu entziehen, wird man aufgefordert, den Erpressern 100 Euro über Ukash oder Paysafecard zahlen. Das sollte man selbstverständlich tunlichst unterlassen, da das Geld geradewegs in die Taschen der Kriminellen wandert. Stattdessen sollte man einen Virenscanner auf das System ansetzen.

Das Anti-Botnetz-Beratungszentrum empfiehlt hierzu den On-Demand-Scanner HitmanPro, der auch die vom Trojaner heruntergeladenen Fotos vom System löschen soll. Bei einem kurzen Test von heise Security zeigte sich allerdings, dass diese Software unerfahrene Anwender unnötig verunsichern könnte, da sie stets Unmengen von Tracking-Cookies moniert. Alternativ kann man zum Beispiel Desinfec't auf Virenjagd schicken, das mit bis zu vier AV-Engines arbeitet.

Wenn die Desinfektion mit HitmanPro oder einem anderen Virenschutzprogramm nicht gelingt, kann auch eine Systemwiederherstellung dazu führen, dass der Schädling vom System verbannt wird.

Quelle : www.heise.de

[SiLæncer]

Der aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. So kann es durchaus passieren, dass man bei einem Viren-Scan den eigentlichen Trojaner entdeckt und entfernt, aber die Bilder, deren Besitz strafbar ist, nach wie vor dort verbleiben.

Erschwerend kommt hinzu, dass Kinderpornografie ein echtes Minenfeld ist. So würden auch wir uns strafbar machen, wenn wir uns ein Exemplar dieses Trojaners besorgen würden, um zu testen, welche Programme diese Bilder tatsächlich entdecken und nachhaltig löschen. Damit Betroffene sich dieser Dateien trotzdem zuverlässig entledigen können, geben wir im Folgenden eine kurze Anleitung, wie man mit Desinfec't auf einem mit BKA-Trojaner infizierten System alle Bilder aufspüren und löschen kann, die dieser eventuell angelegt hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Aktuelle Versionen des BKA-Trojaners laden unter anderem Bilder mit Kinderpornographie auf den Rechner der Opfer. Bei einer oberflächlichen Reinigung durch AV-Programme kann es passieren, dass diese Dateien, deren Besitz strafbar ist, auf dem PC verbleiben. Erste AV-Hersteller haben jetzt reagiert und erkennen und löschen diesen Unrat ebenfalls.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Netz kursieren neue Varianten des GVU-Trojaners. Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden. Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett.

Freilich handelt es sich dabei um keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Die Kopfzeile ist mit einem Foto von Angela Merkel und einem Polizisten dekoriert, die beide streng blicken. An den Rändern prangt ein gekacheltes Interpol-Logo.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Antiviren-Spezialist F-Secure hat einen neuen Erpressungs-Trojaner entdeckt. Es handelt sich dabei offensichtlich nicht um eine weitere Variante des bereits bekannten BKA-Trojaners sondern um eine Neuentwicklung, die bei weitem noch nicht so ausgereift ist wie das Vorbild.

Zwar sperrt auch der Browlock getaufte Trojaner den Rechner angeblich im Namen der Bundespolizei und fordert eine Betrag wie 200 Euro für dessen Freigabe. Er schaltet dabei aber nur ein Browser-Fenster in den Vollbildmodus und versucht durch diverse Tricks, den Anwender daran zu hindern, dieses Fenster zu schließen. Der BKA-Trojaner geht da deutlich raffinierter zu Werke. Außerdem ist die Lokalisierung noch mehr als schlampig; vor allem die "deutsche Version" kann, wie der von F-Secure veröffentlichte Screenshot zeigt, nicht mal bei flüchtiger Betrachtung als echte Nachricht der Bundespolizei durchgehen.

Es steht jedoch zu befürchten, dass neue, bessere Versionen von Browlock nicht lange auf sich warten lassen. Auch das Vorbild wird trotz einiger Verhaftungen durchaus weiter entwickelt und fleißig in Umlauf gebracht. Erst letzte Woche gab es eine neue Welle von BKA-Trojanern, die unter anderem versuchte, Anwender mit einem drohenden Konterfei von Angela Merkel einzuschüchtern.

Quelle : www.heise.de

[SiLæncer]

Die Abzock-Anrufer, die sich als Microsoft-Techniker ausgeben, greifen zu immer aggressiveren Mitteln, um Geld einzutreiben. Haben sie bislang lediglich versucht, dem Angerufenen einen wertlosen Servicevertrag aufschwatzen, der erfundene PC-Probleme löst, drängen sie ihre Opfer nun zur Installation von Malware.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine alte Social-Engineering-Masche lebt offenbar wieder auf: Betrüger geben sich am Telefon als Microsoft-Techniker aus und veranlassen ihre oft arglosen Opfer zu Software-Installationen, die Tür und Tor für Malware öffnen.

Unter Missbrauch des Namens Microsoft versuchen Banden seit Jahren immer wieder, arglosen Computernutzern Geld aus der Tasche zu ziehen. Aktuell gebe es wieder besonders viele Anrufe von Betrügern, die sich am Telefon als Mitarbeiter von Microsoft ausgeben und die Angerufenen mit einer vermeintlichen Virusinfektion ängstigen, warnt die Verbraucherzentrale Rheinland-Pfalz.

Derzeit erfolgten die Anrufe in englischer Sprache und von norwegischen Nummern aus (Landesvorwahl +47). Um nicht in Schwierigkeiten zu geraten, sollten Angerufene das Telefonat direkt durch Auflegen beenden. Denn nach wie vor lassen die Anrufer ihre unwissenden Opfer eine Fernwartungssoftware auf dem Computer installieren. Danach können die Kriminellen beliebig auf den Rechner zugreifen und selbst weitere Schadsoftware wie Trojaner nachinstallieren, mit denen sie künftig beliebig Daten abschöpfen können.

Oft enden die falschen Einsätze den Verbraucherschützern zufolge mit der Aufforderung, Geld für den Service zu zahlen. Es kann aber auch sein, dass später die heimlich installierte Schadsoftware Geld vom Opfer verlangt. Leser von heise Security hatten von den Betrugsversuchen bereits seit August 2012 berichtet. Seitdem waren immer mal wieder neue Wellen der betrügerischen Anrufe zu verzeichnen.

Quelle : www.heise.de