Bundeskriminalamt Virus

      Bundeskriminalamt Virus

      :arrow: Mein Schnucki hat's mal wieder geschafft! :(

      Fieser Virus, der dem Anwender erzählt, das Bundeskriminalamt sei auf seinem Rechner

      Wieder mal ein interessante Variante eines fiesen Schadprogramms, die ich letztens bei einem eeePC eines Kunden gesehen habe. Es gibt einige Varianten von Schadprogrammen, die den Anwender nach dem Windows-Start mit einem Vollbild kommen und jede oder fast jede Aktion am Rechner verhindern. Eine Variation ist das “Control Center”, das sich als Antivirus-Programm tarnt, letztlich aber selbst ein Virus ist. In diesem aktuellen Fall wird das Bundeskriminalamt bzw. die Bundepolizei als Autor angegeben.

      Wie so oft konnte der Besitzer des Netbooks nicht nachvollziehen, wie das passiert ist, und ich glaube ihm das auch. Die Zeiten sind lange her, als man sich bervorzugt auf Pornoseiten Viren eingefangen hat, z.B. über angeblich notwendige Flash-Player-Updates oder benötigte Zusatzprogrämmchen, die das gewünschte Video dann abspielen können. Heute genügt es schon, einen Link in einer Textmail anzuklicken. Man landet auf einer scheinbar harmlosen Webseite und während man sich die ansieht, wird im Hintergrund bereits schadhafter Code, wie es so schön heisst, eingeschleust.

      Ich zitiere hier einen Teil des Textes, der nach dem Windows-Start erscheint:

      Achtung!

      Ein Vorgang illegaler Aktivitäten wurde erkannt.

      Das Betriebssystem wurde im Zusammenhang mit Verstossen gegen die Gesetze der Bundesrepublik Deutschland gesperrt! Es wurde folgender Verstoss festgestellt: Ihre IP-Adresse lautet: "" mit dieser IP wurden Seiten mit pornografischen Inhalt, Kinderpornographie, Sodomie und Gewalt gegen Kinder aufgerufen.

      Auf Ihrem Computer wurden ebenfalls Videodateien mit pornografischen Inhalt, Elementen von Gewalt und Kinderpornografie festgestellt. Es wurden auch Emails in Form von Spam, mit terrroristischen Inhalten, verschickt. Diese Sperre dient dazu, Ihre illegalen Akticitäten zu unterbinden.

      Dann wird man aufgefordert, innerhalb von 24(!) Stunden einen Coupon(!) für 100,00€(!) bei einer Tankstelle(!) zu kaufen, auf dem ein Code steht. Diesen Code muss man dann eingeben. Wem bis dahin noch nichts aufgefallen ist, müsste spätestens bei der Angabe der E-Mail-Adresse aufwachen. "bundekriminalamtes@yahoo.com.

      So, soweit so gut, durch Bezahlen hat man hier gar nichts gewonnen. Aber wie wird man das nervende Teil wieder los? Ich gestehe, ich habe es in diesem vorliegenden Fall nicht versucht, weil der Aufwand der Bereinigung oft größer ist, als eine komplette Neuinstallation von Windows. So habe ich das auch in diesem Fall gemacht. Nachdem ich die Daten mit Hilfe einer Bart-PE-CD auf eine externe Festplatte gesichert hatte, installierte ich Windows XP neu. Das hat 2 Vorteile:
      1. Sie haben ein 100% virenfreies Sytem

      2. Sie haben ein frisch installiertes Windows, wodurch der Rechner spürbar schneller läuft, als mit einem alten "ungepflegten" Betriebssystem.
      Bilder

      • VirsuBKA.jpg

        44,15 kB, 600×413, 53 mal angesehen

      Bundeskriminalamt-Trojaner erpresst Nutzer

      Bundeskriminalamt-Trojaner erpresst Nutzer

      Dreiste Abzocke mit neuem Trojaner: Es ist glatte Erpressung, die unter Missbrauch des Namens des Bundeskriminalamtes von Kriminellen durchgezogen wird. Der Schädling sperrt das Betriebssystem und behauptet in einer prominenten Warnmeldung, "ein Vorgang illegaler Aktivitäten" sei erkannt worden – dem Anwender werden der Besitz von Kinderpornographie und terroristische Aktivitäten vorgeworfen. Sollte das Opfer eine Strafzahlung verweigern, werde die Festplatte gelöscht. Bisher hilft lediglich eine Rettungs-CD gegen den Schädling.

      Auf Computern, die von dem Trojaner befallen sind, erscheint eine Warnmeldung, die angeblich vom Bundeskriminalamt stammt und in holprigem Deutsch erklärt: "Das Betriebssystem wurde im Zusammenhang mit Verstossen gegen die Gesetze der Bundesrepublik Deutschland gesperrt." Angeblich seien auf dem Computer illegale Inhalte wie Kinderpornographie entdeckt worden. Zudem seien bei der Überprüfung des PC auch E-Mails mit "terroristischen Hintergründen" festgestellt worden. Gleichzeitig wird der PC komplett gesperrt, Taskleiste und Desktop ausgeblendet. Wer seinen Computer wieder nutzbar machen will, soll 100 Euro Strafe zahlen. Die Meldung warnt weiter, dass die Festplatte unwiderruflich formatiert und damit gelöscht werde, wenn der Nutzer den Betrag nicht binnen 24 Stunden überweist.

      Eine Behörde benutzt kein Ukash
      Das hier etwas nicht mit rechten Dingen zugehen kann, wird sofort klar, denn der Nutzer soll die 100 Euro Strafe über den anonymen Internet-Zahlungsservice Ukash zahlen. Der Nutzer soll dazu einen Ukash-Coupon im Wert von 100 Euro erwerben und den Coupon-Code an die E-Mail-Adresse bundeskriminalamt@yahoo.com senden. Spätestens diese E-Mail-Adresse entlarvt den Betrug. Denn die E-Mail-Adressen der Polizeibehörde enden auf @bka.de und nicht auf @yahoo.com. Außerdem würde eine Bundespolizeibehörde niemals einen derartigen Zahlungsweg nutzen und erst recht nicht auf diesem Wege Zahlungen erwirken. Weiterhin fallen auf den zweiten Blick Rechtschreibefehler wie "Verstossen" statt "Verstößen" oder die wechselnde Schreibweise von Kinderpornographie auf.

      Trojaner nistet sich massiv im System ein
      Der Trojaner kommt unbemerkt beim Surfen auf den Rechner. Die Kriminellen nutzen dabei die Methode der so genannten Drive-by-Downloads. Besucht ein Surfer eine manipulierte Internet-Seite löst diese einen "unsichtbaren" Download des Schädlings aus und startet diesen vom Nutzer ebenfalls unbemerkt. Oft sind es Seiten mit Gratis-Wallpapern von Prominenten oder obskure Gratis-Porno-Seiten, die dem Besucher Trojaner unterjubeln. Der Schädling nistet sich an über 30 Stellen im System ein. Damit stellen die Online-Kriminellen sicher, dass der Trojaner bei jedem Systemstart gestartet wird und nur sehr schwer entfernt werden kann. Der Trojaner blockiert den Zugriff auf den Computer, auf verschiedene Systemtools und auch auf den Task Manager. Die Hersteller von Antivirensoftware haben teilweise bereits reagiert und liefern mit Updates ein Gegenmittel gegen den Trojaner aus, um den Befall des Computers zu verhindern. Dort wo sich der Trojaner bereits eingenistet hat, hilft derzeit laut AV-Test nur eine Rettungs-CD, beispielsweise Avira AntiVir Rescue System mit der das System wieder hergestellt werden kann.

      Avira AntiVir Rescue System
      http://www.softwareload.de/shop/avira-antivir-rescue-system#/adlx89898/88062/88534/129841/5

      Avira AntiVir Rescue System V07/2011

      Avira AntiVir Rescue System V07/2011

      Rettungsring bei Virenbefall
      Das "Avira AntiVir Rescue System" bietet einen nützlichen Rettungsring fürs System. Schädlinge können mit der Notfall-CD auch beseitigt werden, wenn der PC nach einem Virenbefall nicht mehr normal startet.

      Notfallprogramm
      Es startet dabei ein auf Linux basierendes Notfallprogramm, wenn sich die Avira Rescue System-CD beim Systemstart im CD- bzw. DVD-Laufwerk befindet.

      System reparieren
      So gelingt es, ein beschädigtes System zu reparieren, Daten zu retten und eine Überprüfung des Systems auf Virenbefall durchzuführen. Das Rescue System kann nach dem Herunterladen als ISO auf eine CD/DVD gebrannt werden.

      :arrow: Damit probiere ich es, sonst gibt es eine Neuinstallation!

      Avira AntiVir Rescue System
      http://www.softwareload.de/shop/avira-antivir-rescue-system#/adlx89898/88062/88534/129841/5

      Re: Bundeskriminalamt Virus

      "admin" schrieb:

      :arrow: Mein Schnucki hat's mal wieder geschafft! :(

      Fieser Virus, der dem Anwender erzählt, das Bundeskriminalamt sei auf seinem Rechner

      Wieder mal ein interessante Variante eines fiesen Schadprogramms, die ich letztens bei einem eeePC eines Kunden gesehen habe. Es gibt einige Varianten von Schadprogrammen, die den Anwender nach dem Windows-Start mit einem Vollbild kommen und jede oder fast jede Aktion am Rechner verhindern. Eine Variation ist das “Control Center”, das sich als Antivirus-Programm tarnt, letztlich aber selbst ein Virus ist. In diesem aktuellen Fall wird das Bundeskriminalamt bzw. die Bundepolizei als Autor angegeben.

      Wie so oft konnte der Besitzer des Netbooks nicht nachvollziehen, wie das passiert ist, und ich glaube ihm das auch. Die Zeiten sind lange her, als man sich bervorzugt auf Pornoseiten Viren eingefangen hat, z.B. über angeblich notwendige Flash-Player-Updates oder benötigte Zusatzprogrämmchen, die das gewünschte Video dann abspielen können. Heute genügt es schon, einen Link in einer Textmail anzuklicken. Man landet auf einer scheinbar harmlosen Webseite und während man sich die ansieht, wird im Hintergrund bereits schadhafter Code, wie es so schön heisst, eingeschleust.

      Ich zitiere hier einen Teil des Textes, der nach dem Windows-Start erscheint:

      Achtung!

      Ein Vorgang illegaler Aktivitäten wurde erkannt.

      Das Betriebssystem wurde im Zusammenhang mit Verstossen gegen die Gesetze der Bundesrepublik Deutschland gesperrt! Es wurde folgender Verstoss festgestellt: Ihre IP-Adresse lautet: "" mit dieser IP wurden Seiten mit pornografischen Inhalt, Kinderpornographie, Sodomie und Gewalt gegen Kinder aufgerufen.

      Auf Ihrem Computer wurden ebenfalls Videodateien mit pornografischen Inhalt, Elementen von Gewalt und Kinderpornografie festgestellt. Es wurden auch Emails in Form von Spam, mit terrroristischen Inhalten, verschickt. Diese Sperre dient dazu, Ihre illegalen Akticitäten zu unterbinden.

      Dann wird man aufgefordert, innerhalb von 24(!) Stunden einen Coupon(!) für 100,00€(!) bei einer Tankstelle(!) zu kaufen, auf dem ein Code steht. Diesen Code muss man dann eingeben. Wem bis dahin noch nichts aufgefallen ist, müsste spätestens bei der Angabe der E-Mail-Adresse aufwachen. "bundekriminalamtes@yahoo.com.

      So, soweit so gut, durch Bezahlen hat man hier gar nichts gewonnen. Aber wie wird man das nervende Teil wieder los? Ich gestehe, ich habe es in diesem vorliegenden Fall nicht versucht, weil der Aufwand der Bereinigung oft größer ist, als eine komplette Neuinstallation von Windows. So habe ich das auch in diesem Fall gemacht. Nachdem ich die Daten mit Hilfe einer Bart-PE-CD auf eine externe Festplatte gesichert hatte, installierte ich Windows XP neu. Das hat 2 Vorteile:
      1. Sie haben ein 100% virenfreies Sytem

      2. Sie haben ein frisch installiertes Windows, wodurch der Rechner spürbar schneller läuft, als mit einem alten "ungepflegten" Betriebssystem.



      weißt wenn ich solche Seiten besucht hätte, hätte ich das noch begriffen, aber es war ja eine stinknormale seite und wenn du dir das durchliest merkst du selbst das man nichts dafür kann

      genauso gut hätte es dir beim googeln passieren können

      Download Avira AntiVir Rescue System




      Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen, die nicht mehr gebootet werden können. Auf diese Weise ist es möglich, ein beschädigtes System zu reparieren, Daten zu retten oder eine Überprüfung des Systems auf Virenbefall durchzuführen. Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden. Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten. Das Avira AntiVir Rescue System wird mehrmals täglich aktualisiert, so dass immer die aktuellsten Sicherheitsupdates zur Verfügung stehen.

      Für das Avira Rescue System benötigen Sie einen PC/ Notebook mit:
      Arbeitsspeicher: mindestens 512 MB, 750 MB empfohlen CD ROM Laufwerk oder einen freien USB Slot Tastatur (Maus empfohlen)
      Auflösung: mindestens 800x600 Pixel

      Ich hab es geschafft, den Trojaner, der vorgibt vom Bundeskriminalamt zu sein und 100€ fordert, um den PC zu entsperren, ohne groß "rumzumachen" zu entfernen. Das Popup blockiert alles und neu gestartete Programme werden sofort geschlossen. Um die 30 Dateien in der Registry werden verändert und die explorer.exe durch eine andere ersetzt ...
      Ich will nur eine einfache Lösungsmöglichkeit bieten für diesen gerade kursierenden und sehr lästigen Trojaner:

      Ich hab Windows XP SP3 ... ich weiß nicht, ob es bei euch klappen wird.

      1. Fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint (noch nicht das Popup), öffnet sofort den Task Manager mit Strg+Alt+Entf ... seid schnell
      2. Bei dem Reiter "Prozesse" sortiert ihr schnell nach Namen und beendet sofort "calc[1].exe" ... das ist sozusagen der Prozess, der alles blockt, vermute ich.
      3. Wenn alles geklappt hat und nur das Hintergrundbild eures Desktops und der Task Manager zu sehen sind, geht ihr auf den Reiter "Anwendungen" und gebt bei "Neuer Task" das hier ein : %systemroot%\system32\restore\rstrui.exe
      4. Die Systemwiederherstellung startet, wählt einen Punkt vor der Infektion aus und stellt wieder her .... Fertig

      Hat bei mir geklappt, kanns aber nicht versichern. Ging halt ohne andere Programme. Ich will nur helfen, aber für eventuelle Schäden übernehme ich keine Haftung.
      Was sagt ihr, ist der Rechner nun sauber? Ich hab während ich mit dem taskmanager rumgespielt hab, noch mit dem starten der infizierten explorer.exe einen ordner öffnen können und alles aus den ordner Temporary Internet Files und temp und so löschen können ... glaube aber nicht, dass das was bringt.

      Ich habe hier die offizielle Empfehlung des BSI (Bundesamt für Sicherheit im Internet oder so):

      SICHER o INFORMIERT
      Extraausgabe vom 19.04.2011

      Verbreitung durch "Drive-by-Exploits"

      Erpressungsversuche durch Schadsoftware

      In einer Pressemitteilung
      http://www.bka.de/pressemitteilungen/2011/pm110401.html
      vom 01.04.2011 warnen die Bundespolizei und das Bundeskriminalamt vor einer aktuellen Erpressungsvariante durch Schadsoftware. Die Infektion des PCs zeigt sich durch ein Pop-Up-Fenster, in dem der Nutzer zur Zahlung einer vermeintlichen "Strafe" aufgefordert wird. Andernfalls werde seine Festplatte geloescht. Die Taeter nutzen dabei rechtswidrig die Logos des Bundeskriminalamtes, der Bundespolizei und anderer Institutionen, wie zum Beispiel der Hersteller von Virenschutzprogrammen.

      Die Verbreitung dieses Schadprogramms findet nach aktuellem Kenntnisstand durch so genannte "Drive-by-Exploits" statt. Dabei werden beim Surfen im Internet Schwachstellen im Betriebssystem oder einer Anwendungssoftware ausgenutzt, um ohne weitere Nutzerinteraktion schaedliche Programme auf dem PC zu installieren.

      Nach der Infektion des PCs ist der Zugriff auf den Desktop blockiert.
      Im laufenden Betrieb kann das Schadprogramm daher nicht entfernt werden.
      Abhilfe ist durch die Verwendung einer so genannten "Rescue-CD"
      moeglich, wie sie von verschiedenen Herstellern von Antivirus-Software kostenfrei zur Verfuegung gestellt wird.

      Nicht alle dieser Rescue-CDs entfernen das Schadprogramm jedoch vollstaendig und setzen die durch das Schadprogramm durchgefuehrten weiteren Modifikationen am Betriebssystem korrekt zurueck. Weitere Informationen hierzu koennen Sie bei den einzelnen Herstellern erfragen.

      Nach aktuellem Kenntnisstand des BSI ist kostenfrei zumindest die vom Hersteller Kaspersky zum Download angebotene "Rescue Disk 10" in der Lage, die aktuelle Variante des Schadprogramms vollstaendig zu entfernen und weitere Modifikationen rueckgaengig zu machen. Informationen und Download "Kaspersky Rescue Disk 10"
      http://support.kaspersky.com/de/viruses/rescuedisk

      Das Service-Center des Bundesamts fuer Sicherheit in der Informationstechnik steht fuer Fragen von Privatnutzern unter 01805-274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter mail@bsi-fuer-buerger.de zur Verfuegung.

      Weiterer Angriff: Angebliche Probleme mit der Lizenz des Betriebssystems

      Eine weitere aktuelle Erpressungsvariante durch Schadsoftware sperrt den Benutzer von seinem System aus und fordert ihn auf, die Lizenz seines Betriebssystems ueberpruefen zu lassen. Dazu sei es notwendig, eine Telefonnummer im Ausland anzurufen, um einen Entsperrcode fuer seinen PC zu erhalten.

      Auch hierbei handelt es sich um eine Erpressungsvariante, bei der die Taeter das bekannte Layout von Meldungen zur Lizenzierung des Betriebssystems Microsoft Windows nachbilden. Ruft ein Betroffener eine dieser Nummern an, entstehen hohe Telefonkosten, bis er einen Entsperrcode erhaelt, wie der Sicherheitsdienstleister F-Secure herausgefunden hat http://www.f-secure.com/weblog/archives/00002139.html

      In diesem konkreten Fall koennen Betroffene auf einen teuren Anruf verzichten, und sich stattdessen mit dem fuer diese Schadsoftware generischen Freischaltcode 1351236 behelfen. Bisherige Untersuchungen zeigen, dass der Zugriff auf den PC nach Eingabe dieses Freischaltcodes wieder moeglich ist.

      In beiden Faellen jedoch gilt: Es kann nicht ausgeschlossen werden, dass bei der Infektion zeitgleich auch noch weitere Schadsoftware auf dem PC installiert wurde. Daher empfiehlt das BSI, infizierte Systeme grundsaetzlich neu aufzusetzen oder eine Komplettsicherung (Backup) des PCs von einem Zeitpunkt vor der Infektion zurueck zu spielen.

      Zum Schutz vor Infektionen durch Drive-by-Exploits sollten Anwender darauf achten, neben der Verwendung eines aktuellen Virenschutzprogramms zeitnah alle jeweils verfuegbaren Sicherheitsupdates fuer das Betriebssystem und Anwendungssoftware (wie beispielsweise Webbrowser, Acrobat Reader, Flash, Java, Multimedia-Player, usw.) zu installieren.


      -----------------------------------------------------------------------

      Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

      Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de


      Bevor ich die gefunden habe, habe ich meinen Rechner folgendermaßen befreit:
      1. mit BartPE-CD gestartet
      2. mit Ghost 7.7 Image gezogen
      3. mit Zweitrechner das Image auf eine externe Festplatte entpackt
      4. bei dieser externen Festplatte eine upgedatete Version von Malwarebytes Anti-Malware und aktuelles AntiVir drüberlaufen lassen
      5. drei Einträge entfernt
      6. alles wieder mit Ghost 7.7 zum Image gepackt
      7. mit BartPE-CD und Ghost 7.7 auf die Ursprungspartition (vorher Formatiert) zurückgeschrieben
      8. mit Windows-XP-Installations-CD repariert
      9. und lief!

      Kurzbericht:

      Mit Avira AntiVir Rescue System hat es nicht funktioniert! Hat kein Virus gefunden!
      Mit Kaspersky Rescue Disk 10 hat es teilweise funktioniert! Virus wurde gefunden und beseitigt, jedoch wurde das Startbild nicht beseitigt!

      Um das Startbild zu beseitigen hat folgender Tipp funktioniert:

      Ich hab Windows XP SP3 ... ich weiß nicht, ob es bei euch klappen wird.

      1. Fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint (noch nicht das Popup), öffnet sofort den Task Manager mit Strg+Alt+Entf ... seid schnell
      2. Bei dem Reiter "Prozesse" sortiert ihr schnell nach Namen und beendet sofort "calc[1].exe"
      :arrow: bei mir hieß der Prozess allerdings "Readme.exe"
      ... das ist sozusagen der Prozess, der alles blockt, vermute ich.
      3. Wenn alles geklappt hat und nur das Hintergrundbild eures Desktops und der Task Manager zu sehen sind, geht ihr auf den Reiter "Anwendungen" und gebt bei "Neuer Task" das hier ein : %systemroot%\system32\restore\rstrui.exe
      4. Die Systemwiederherstellung startet, wählt einen Punkt vor der Infektion aus und stellt wieder her .... Fertig

      PC Neustart und einen kompletten Scan nochmals darüber laufen lassen!

      Ich hoffe, das wars!