Bzgl. des "BKA-Virus".

[Es19]

Nachdem es mir endlich gelungen ist, ein Sample davon zu bekommen, habe ich mich mal mit dieser Malware auseinandergesetzt und einen Infektionsablauf reproduziert.

Dieser sieht in etwa wie folgt aus:

1. Sie trägt sich (2 Mal) ins Autostart-Verzeichnis ein.
2. Registrierungseinträge werden so manipuliert, dass sich das bekannte Bild beim Start zeigt.
3. Es wird eine Verbindung zu einem Server in Kasachstan aufgebaut.

Heute morgen war Kaspersky einer der wenigen Scanner, der diesen Trojaner erkannt hat.
Also habe ich einige andere größere Hersteller angeschrieben, und zum jetzigen Zeitpunkt haben bereits Avira und Microsoft geantwortet und entsprechende Updates vorgenommen.
Sollte euer Scanner nicht zu Kapersky/Avira/Microsoft gehören, könnt ihr mir den Hersteller nennen und ich werde ihn ebenfalls informieren.

Hier eine Zusammenfassung dessen, was passiert:

Eine Verfolgung der IP ergibt einen schädlichen Eintrag:

Schließlich ließ sich der Webhoster (gohost.kz) über Whois erkennen:

Ich hab diesen Host auch angeschrieben, aber ich schätze, dass die Rechtslage in Kasachstan nicht sonderlich günstig ist.

Die Tage werde ich mich noch an eine Desinfektionsanleitung setzen, sobald ich etwas mehr Zeit dafür habe.

Zur Vorbeugung ist es am wichtigsten, den Browser sicherzuhalten (NoScript o.ä.). Gesunder Menschenverstand ist auch nicht übel .

Anbei noch die Antworten von MS und Avira:

 Spoiler

Analysis of the file(s) in Submission ID MMPC12010554556947 is now complete.

This is the final email that you will receive regarding this submission.

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 1/5/2012 4:48:10 AM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC12010554556947

Submitted Files
=============================================
0.8182058115065821(1).exe [Trojan:Win32/Reveton.A]

The following links contain more information regarding the detections listed above:


Your submission was scanned using antimalware definition version 1.117.2300.0.

Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00940399.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
26482362 0.8182058115065821(1).exe 208 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
0.8182058115065821(1).exe MALWARE

Die Datei '0.8182058115065821(1).exe' wurde als 'MALWARE' eingestuft.Unsere Analytiker haben dieser Bedrohung den Namen TR/WinLock.CW gegeben.Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

Alternativ können Sie die Ergebnisse der Analyse hier einsehen:


Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:


Hinweis: Bitte wenden Sie sich mit spezifischen Fragen an

Mit besten Grüßen
Avira Virenlabor

[al.Jay]

An sich eine gute Idee das zu schreiben, aber das gehört nicht hierhin!

[Diablo_]

Du machst dir von allen immernoch die meiste Arbeit was das angeht.

Kaspersky war nicht nur eines der 1. Programme, die den Schädling erkannt hat, sondern soll auch gut gegen ihn vorgehen können.

Die Rescue Disk soll sich schon bei vielen bewährt haben.

Wie hast du das Sample bekommen?

[Acacia Clark]

Mein Bruder hatte den Virus. Er hat ihn im Sicheren Modus gelöscht. Vorher hat er ihn in eine Rar Datei gepackt...
Du hast Avast vergessen.

[Es19]

Quote:

Originally Posted by al.Jay

An sich eine gute Idee das zu schreiben, aber das gehört nicht hierhin!

Ich bin offen für deinen Vorschlag, wohin es gehört .

Quote:

Du machst dir von allen immernoch die meiste Arbeit was das angeht.

Kaspersky war nicht nur eines der 1. Programme, die den Schädling erkannt hat, sondern soll auch gut gegen ihn vorgehen können.

Die Rescue Disk soll sich schon bei vielen bewährt haben.

Wie hast du das Sample bekommen?

Danke!

Die Kaspersky Rescue Disk ist allgemein eine der besten ihrer Art.
Das Sample hab ich von einem Bekannten, der ihn schon das 2. Mal hatte .

Quote:

Mein Bruder hatte den Virus. Er hat ihn im Sicheren Modus gelöscht. Vorher hat er ihn in eine Rar Datei gepackt...
Du hast Avast vergessen. avast.de - Server Virenschutz und Client Virenschutz | avast Antivirus Software

Danke, Avast ist informiert, ich warte noch auf Rückmeldung.
Wenn du möchtest, können wir bei deinem Bruder nochmal drüberschauen.

Edit: Seit gestern haben sich weitere 13 AVs hinzugesellt, eine schöne Sache, dass VT die Samples mit den Herstellern teilt! Hier ein aktueller Scan (vgl. gestern morgen ca. 5 Erkennungen):