Wie ich mir den BKA-Trojaner eingefangen habe

    Vergangene Woche:
    Nachdem sich plötzlich ca 5 neue Tabs zeigten habe ich angefangen, diese zu schließen. Jetzt kennt man ja die Javascript-Fenster die dann gelegentlich aufgehen "Wollen Sie diese Seite wirklich verlassen?". Nun, diesesmal sah dieses Fenster etwas anders aus, es hatte einen hellblauen Hintergrund und farbige Schaltflächen. Nach betätigen der Schaltfläche "OK" wurde der Tab geschlossen und nach ein paar Sekunden fing die ganze Kiste an zu hängen. Nach einem Neustart hatte ich dann nur noch die schöne BKA-Meldung vor mir von wegen an der Tankstelle 50€ für einen Code zum Entsperren bezahlen.

    Im nachhinein ist mir klar, dass das ein Java-Fenster war und mein OK war gleich das OK zur Installation des Trojaners. Mir ist dann eingefallen dass ich Java eigentlich immer in den Einstellung des FF deaktiviert hatte aber diesen Punkt gabs gar nicht mehr. Java ist jetzt nämlich eine Erweiterung und standardmäßig aktiviert. Das heißt durch eine der letzten FF-Aktualisierungen hatte ich unbemerkt Java aktiviert.

    Willkommen im Forum!
    Leider ist deine Aussage nicht korrekt.
    Java ist ein Plugin!
    [attachment=0]07-12-2011_114350.png[/attachment]
    Die Erweiterung ist nur die Console (für Entwickler interessant) und die kannst du entfernen.
    Die Java-Console(n) kannst du so löschen: Bei geschlossenem Firefox unter C:\Programme\Mozilla Firefox\extensions alle Einträge mit {CAFEEFAC-.....} im Namen entfernen. Java funktioniert auch ohne diese Konsolen. Diese werden nur von Web-Entwicklern benötigt.
    Hier ist Java grundsätzlich deaktiviert..
    Zum Trojaner-Befall: Das Internet ist kein Ponyhof und auf einen aufmerksamen Nutzer angewiesen um relativ gefahrfrei zu sein.
    Die Grundsätze zur Sicherheit im Netz befolgst du?
    Was hast du nach dem Befall gemacht?

    Vorweg: Sei vorsichtig nicht Java und Javascript in einen Topf zu werfen. Die haben nichts miteinander zu tun.

    Ansonsten: Java ist ein Plugin, wird daher unter Plugins im Addons-Manager gelistet. DORT muss es deaktiviert werden. Die Erweiterungen die zu Java gehören kann man getrost ignorieren/deaktivieren/deinstallieren.

    Der Punkt "Java (de)aktivieren" im Einstellungsmenü ist schon eine ganze Weile in den Addons-Manager abgewandert.

    Ansonsten ist es immer wichtig Plugins aktuell zu halten. Nicht nur Java, auch Flash, Quicktime und sonstwas. Wenn diese Plugins Sicherheitslücken haben, hilft dir auch der sicherste Browser nichts. Noch wichtiger ist es im Grunde dafür zu sorgen, dass die Plugins keine Rechte haben das System zu manipulieren. Daher niemals auf einem Adminstrator-Konto ins Internet gehen.

    /*

    Zitat von Boersenfeger

    Das Internet ist kein Ponyhof und auf einen aufmerksamen Nutzer angewiesen um relativ gefahrfrei zu sein.

    Sei doch mal so frei und vergesse deine Kenntnisse.
    Dann wärst du auf dem Stand des gemeinen Käufers eines PC, der frohlockend "ich bin auch drin" ausruft.

    Zitat von Boersenfeger

    Die Grundsätze zur Sicherheit im Netz befolgst du?

    Warum sollte der gerade so frohlockende Käufer sich denn darüber Gedanken machen ?
    Der denkt anders. Jetzt schnell zu Facebook & Co., die Daten eingetippt und dem Freundeskreis gleich kundgetan, ja da bin ich.

    Der Käufer eines PC oder einer Version des OS geht vom Schutz, so er den Gedanken darüber überhaupt entwickelt, durch das OS aus, der in manchen Fällen leider nicht gegeben ist.
    */

    // Das ist mir schon bekannt, wir hatten ja auch schon öfter drüber sinniert... aber wenigstens diesem Nutzer könnte man ja zu den Kenntnissen verhelfen.. :) im Übrigen glaube ich, das der aufmerksame Mensch im Allgemeinen mittlerweile eben nicht mehr nur "Ich bin drin" ruft. Auch bei nachrichtenresistenten Bürgern sollte das Thema Sicherheit im Internet zumindest schon mal im Hinterkopf geklingelt haben.

    /*

    Zitat von Boersenfeger

    im Übrigen glaube ich, […]

    Es gibt Lokalitäten bei denen der Glaube gestärkt und gepflegt werden kann, deren Ausrichtung geht aber allgemein nicht in Richtung IV.

    Bei Software darf man sich solche Gedanken einfach abschminken, denn es sind immer die eigenen Gedanken und nicht die des Anwenders.

    Falls ein Anwender aus "eigener" Überzeugung oder durch Mithilfe so ein "rundum sorglos Paket" ersteht, kann er ebenso auf dir Nase fallen.
    */

    //

    Zitat von .Ulli

    Es gibt Lokalitäten bei denen der Glaube gestärkt und gepflegt werden kann..

    Um diese mache ich einen großen Bogen :) Ein Rundum-Sorglos-Paket gibts natürlich nicht. Es kann aber minimierend sein..

    Zitat

    Zum Trojaner-Befall: Das Internet ist kein Ponyhof und auf einen aufmerksamen Nutzer angewiesen um relativ gefahrfrei zu sein.


    Finde ich trotzdem nicht gut dass Java jetzt per Voreinstellung aktiviert ist. Liegt dann wohl daran, dass es in die Plugins abgewandert ist.

    Zitat


    Die Grundsätze zur Sicherheit im Netz befolgst du?


    Klar, hat man vieles irgendwann mal gemacht, aber mir hat eben die FF-Aktualisierung einen Strich durch die Rechnung gemacht und man denkst halt auch nicht jeden Tag daran. Die Trojaner nutzen gerne die Faulheit des Benutzer aus.

    Was würde denn passieren, wenn du als Eingeschränkter Benutzer auf das 'OK' aus meinem Beispiel klickst?

    Zitat


    Was hast du nach dem Befall gemacht?


    Andere Partition gestartet und die .exe-Dateien gesucht, die zuletzt ausgeführt wurden und die dubioseste eleminiert.
    An den entsprechenden Run-Eintrag kam ich aus der anderen Partition durch importieren der verseuchten Registrierung nicht dran.

    Um abschließend auf die Intension meines Beitrags zurückzukommen, ich empfehle jedem das Java(Plug-in) zu deaktivieren da es bei mir(Windows XP) auch mit eingeschränktem Benutzerkonto Schadsoftware installiert hat.

    Zitat von mlebek2

    Andere Partition gestartet und die .exe-Dateien gesucht, die zuletzt ausgeführt wurden und die dubioseste eleminiert.
    An den entsprechenden Run-Eintrag kam ich aus der anderen Partition durch importieren der verseuchten Registrierung nicht dran.

    .. und du meinst, dein System ist nun wieder vertrauenswürdig?
    1. Durchsuche deinen Computer mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png].
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen.
    Mache mit Admin-Rechten einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier in der Klammer
    [Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg].

    2. Wird etwas gefunden, lösche nichts, poste, wie oben beschrieben, das Log-File und freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    3. Sichere vorher deine persönlichen Daten.

    4. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

    Zitat von .Ulli

    Warum sollte der gerade so frohlockende Käufer sich denn darüber Gedanken machen ?
    Der denkt anders. Jetzt schnell zu Facebook & Co., die Daten eingetippt und dem Freundeskreis gleich kundgetan, ja da bin ich.


    warum auch? auf jeder Packung Zigarillos die ich qualme muss ich mir blöde Sprüche durchlesen. Habe aber noch nie gesehen, dass bei einem PC oder Software ein fetter Vermerk ist "Vorsicht, es besteht durch die Nutzung die Gefahr erheblich finanzieller Nachteile durch Viren, Trojaner u.ä. Schadsoftware, die auf dieses System auch bei größter Vorsicht gelangen kann" .

    Zitat von .Ulli


    Der Käufer eines PC oder einer Version des OS geht vom Schutz, so er den Gedanken darüber überhaupt entwickelt, durch das OS aus, der in manchen Fällen leider nicht gegeben ist.
    */

    OT2:
    stimmt. man könnte durchaus darüber nachdenken, ob die Hersteller/Entwickler von Betriebssystemen/Software nicht über die Produkthaftung eine Mitverantwortung haben bzw. haftbar zu machen wären, weil diese per se unsichere Software auf den Markt bringen.

    - Wer ein Auto kauft, kann sich darauf verlassen, dass die Bremse funktioniert und muss nicht täglich unter das Auto krabbeln, und nachsehen ob sich de Beläge aufgelöst haben.

    - Im Winter muss ein Vermieter/Mieter Schnee räumen, und kann auch nicht sagen, muss halt der aufpassen, der da lang läuft. oder derjenige soll selber räumen.

    Mit ist das schleierhaft, wie beispw. MS Systeme entwickelt und dabei Marktführer ist, wenn 4-wöchentlich permanent neue Sicherheitslücken auftauchen. Gleiches gilt für IE und alle anderen Browserentwickler, inkl. Mozilla. Jedes vergleichbare Auto würde aus dem Verkehr gezogen und stillgelegt. Mit Bussgeld für den Halter.

    Das dir so einiges schleierhaft vorkommt, liegt vielleicht an fehlenden Kenntnissen der Zusammenhänge und der Komplexität des Themas. Wobei ich mir fast sicher bin, dass Du den selben Fehler machst, wie der Durchschnitt. Beim Punkt "Nutzungsbedingungen" einfach nur auf "Weiter" klicken...

    Zitat von Boersenfeger


    1. Durchsuche deinen Computer mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png].
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen.
    Mache mit Admin-Rechten einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier in der Klammer
    2. Wird etwas gefunden, lösche nichts, poste, wie oben beschrieben, das Log-File und freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)

    ich habe eine ältere Registrierung wiederhergestellt, deshalb ist von dem Ding nichts mehr übrig. Aber sollte meine Kiste doch noch hochgehen, werde ich hier ausführlich berichten, versprochen!

    Zitat von Boersenfeger


    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Naja, das kann man nicht verallgemeinern.
    Ich würde bei einer Neuinstallation/Image zurückspielen zu viele Einstellungen verlieren.

    Zitat von Boersenfeger


    3. Sichere vorher deine persönlichen Daten.

    4. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

    Für Bank usw würde ich nie meinen Windows-Rechner benutzen, deshalb ist da nichts Sensibles drauf.


    Bin übrigens eben zu einer weiteren BKA-Entseuchung ausgerückt, da war ebenfalls das Java-Plugin installiert/aktiviert.

    Vielleicht kann der Trojaner bei eingeschränktem Benutzerkonto nicht so viel Mist bauen. Er hatte sich nur in den Autostart geschrieben mit Verweis auf eine .exe im Temp.

    Ich bin froh, dass ihr nicht sauer seid, weil ich jetzt erstmal von einem gesäuberten System ausgehe.

    Ist eigentlich aus dem Chrome-Lager mit Attacken auf Firefox zu rechnen bezüglich Browser-Krieg?

    Zitat von mlebek2

    Naja, das kann man nicht verallgemeinern.
    Ich würde bei einer Neuinstallation/Image zurückspielen zu viele Einstellungen verlieren.

    Wenn dir dies wichtiger als ein sauberer und sicherer Computer ist....

    Zitat von mlebek2

    Bin übrigens eben zu einer weiteren BKA-Entseuchung ausgerückt, da war ebenfalls das Java-Plugin installiert/aktiviert.
    Vielleicht kann der Trojaner bei eingeschränktem Benutzerkonto nicht so viel Mist bauen. Er hatte sich nur in den Autostart geschrieben mit Verweis auf eine .exe im Temp.

    Was heißt das denn?

    Zitat von mlebek2

    Ich bin froh, dass ihr nicht sauer seid, weil ich jetzt erstmal von einem gesäuberten System ausgehe.

    Es ist dein Computer! Bevor ich kein Log-Buch eines Full-Scans gesehen habe, gehe ich NICHT davon aus, das dein System Schadfrei ist, vor allem nicht, nach dem obrigen Beitrag.

    Zitat von mlebek2

    Ist eigentlich aus dem Chrome-Lager mit Attacken auf Firefox zu rechnen bezüglich Browser-Krieg?

    Wo hast du denn diesen Blödsinn gelesen?

    Hallo mlebek2,

    ich weiß nicht welche Info-Quelle dich darin bestärkt hat, dass man den sogenannten BKA-Trojaner quasi im Vorbeigehen entfernen kann. Das ist schlichtweg falsch.

    Ukash kann man definitiv nicht durch ein wenig herum pfuschen in der Registry "entseuchen". Allein schon beim Gedanken, dass der Master Boot Record dabei außer Acht gelassen wurde, lässt einem die Haare zu Berge stehen.

    Das System ist nach wie vor kompromittiert. Mit dem einzigen Unterschied, dass der Schädling jetzt aktiv bestimmt was du zu sehen bekommst, nämlich einen angeblich sauberen Rechner.

    Zitat von mlebek2


    Bin übrigens eben zu einer weiteren BKA-Entseuchung ausgerückt,


    Schlimm genug, dass du den Unfug offenbar auch an Fremdsystemen fortführst. Denn auch diese Rechner sind nach wie vor kompromittiert und arbeiten nun ihrerseits als Virenschleuder.

    Der folgende Link sollte ausreichen, um dir den Irrtum vor Augen zu führen: http://www.iron-city.de/index.php/seuchen/247-bka-trojaner

    Aber eins gleich vorweg: Eine komplette Neuinstallation ist zwingend!

    gruß,
    docc