Bzgl. des "BKA-Virus".

01/05/2012 19:42 Es19#1
Nachdem es mir endlich gelungen ist, ein Sample davon zu bekommen, habe ich mich mal mit dieser Malware auseinandergesetzt und einen Infektionsablauf reproduziert.

Dieser sieht in etwa wie folgt aus:

1. Sie trägt sich (2 Mal) ins Autostart-Verzeichnis ein.
2. Registrierungseinträge werden so manipuliert, dass sich das bekannte Bild beim Start zeigt.
3. Es wird eine Verbindung zu einem Server in Kasachstan aufgebaut.

Heute morgen war Kaspersky einer der wenigen Scanner, der diesen Trojaner erkannt hat.
Also habe ich einige andere größere Hersteller angeschrieben, und zum jetzigen Zeitpunkt haben bereits Avira und Microsoft geantwortet und entsprechende Updates vorgenommen.
Sollte euer Scanner nicht zu Kapersky/Avira/Microsoft gehören, könnt ihr mir den Hersteller nennen und ich werde ihn ebenfalls informieren.

Hier eine Zusammenfassung dessen, was passiert: [Only registered and activated users can see links. Click Here To Register...]

Eine Verfolgung der IP ergibt einen schädlichen Eintrag: [Only registered and activated users can see links. Click Here To Register...]

Schließlich ließ sich der Webhoster (gohost.kz) über Whois erkennen: [Only registered and activated users can see links. Click Here To Register...]

Ich hab diesen Host auch angeschrieben, aber ich schätze, dass die Rechtslage in Kasachstan nicht sonderlich günstig ist.

Die Tage werde ich mich noch an eine Desinfektionsanleitung setzen, sobald ich etwas mehr Zeit dafür habe.

Zur Vorbeugung ist es am wichtigsten, den Browser sicherzuhalten (NoScript o.ä.). Gesunder Menschenverstand ist auch nicht übel :).

Anbei noch die Antworten von MS und Avira:
01/05/2012 19:54 al.Jay#2
An sich eine gute Idee das zu schreiben, aber das gehört nicht hierhin!
01/06/2012 00:51 Diablo_#3
Du machst dir von allen immernoch die meiste Arbeit was das angeht.

Kaspersky war nicht nur eines der 1. Programme, die den Schädling erkannt hat, sondern soll auch gut gegen ihn vorgehen können.

Die Rescue Disk soll sich schon bei vielen bewährt haben.

Wie hast du das Sample bekommen?
01/06/2012 01:03 Acacia Clark#4
Mein Bruder hatte den Virus. Er hat ihn im Sicheren Modus gelöscht. Vorher hat er ihn in eine Rar Datei gepackt...
Du hast Avast vergessen. [Only registered and activated users can see links. Click Here To Register...]
01/06/2012 13:23 Es19#5
Quote:
Originally Posted by al.Jay View Post
An sich eine gute Idee das zu schreiben, aber das gehört nicht hierhin!
Ich bin offen für deinen Vorschlag, wohin es gehört :).

Quote:
Du machst dir von allen immernoch die meiste Arbeit was das angeht.

Kaspersky war nicht nur eines der 1. Programme, die den Schädling erkannt hat, sondern soll auch gut gegen ihn vorgehen können.

Die Rescue Disk soll sich schon bei vielen bewährt haben.

Wie hast du das Sample bekommen?
Danke!

Die Kaspersky Rescue Disk ist allgemein eine der besten ihrer Art.
Das Sample hab ich von einem Bekannten, der ihn schon das 2. Mal hatte :D.

Quote:
Mein Bruder hatte den Virus. Er hat ihn im Sicheren Modus gelöscht. Vorher hat er ihn in eine Rar Datei gepackt...
Du hast Avast vergessen. avast.de - Server Virenschutz und Client Virenschutz | avast Antivirus Software
Danke, Avast ist informiert, ich warte noch auf Rückmeldung.
Wenn du möchtest, können wir bei deinem Bruder nochmal drüberschauen.

Edit: Seit gestern haben sich weitere 13 AVs hinzugesellt, eine schöne Sache, dass VT die Samples mit den Herstellern teilt! Hier ein aktueller Scan (vgl. gestern morgen ca. 5 Erkennungen): [Only registered and activated users can see links. Click Here To Register...]