Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.

Habe den Link

hxxp://www.file.net/prozess/rundll.exe.html

verfolgt, und alles deutet daraufhin, dass der (neue, modifizierte ?) Trojaner sich in der Tat in der vergrösserten Datei rundll.exe tarnt.

Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Wenn bekannt wäre, welche Webseiten die Infektion hervorrufen, könnte man natürlich die Server der eigentlichen Abzocker ausfindig machen und diese stillegen. Es wäre also ein Riesenerfolg, hier eine künstliche Infektion quasi wie in einem Labor zu produzieren.

Was nun das Thema "Disassemblierung" angeht, will ich niemand die Hoffnung nehmen, hier erfolgreich zu sein, aber das wird verdammt schwierig !

Über den "echten" Bundestrojaners, mit dem das BKA und die LKAs Verdächtige ausspionieren wollen, habe ich gelesen, dass es hier im Umfeld der Piratenpartei gelungen ist, Bestandteile aus bekannten Trojaner-Baukästen wiederzufinden und damit zu klären, welches Potential dieser Trojaner wirklich hat.

Genau das möchten aber viele über den BKA/Ukash/Gema-Trojaner wissen !

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa

Guten Abend!

Ich wollte euch mal ein paar interessante Videos zum Thema empfehlen, trägt beim einen oder anderen vielleicht ein wenig zum Verständnis bei. Ich will damit nicht zum Ausdruck bringen das man es nach Art dieser Videos selber in die Hand nehmen soll seine evtl. verseuchten Rechner selber zu bereinigen, dafür sind die Helfer hier an "Board" einfach mal die kompetenteren. (Zumindest sehe ich das für mich als N00b mal so).

Ich fand es aber sehr aufschlussreich, wie sich diese Schaddateien so in einem Windowssystem verhalten bzw wo sie sich überall in der Registry festsetzen.

Die ersten 3 Videos drehen sich um den GEMA Trojaner und in diesem youtube-Channel sind auch noch 2 Videos über den UKASHcrap zu finden. (EDIT- nach Bundespolizeitrojaner suchen )

hxxp://www.youtube.com/user/SemperVideo


Also, nix für ungut und gute Unterhaltung

Zitat:

Zitat von DV-Opa

Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.


Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa

Auch fände ich interessant, wie die Windows-Rechner konfiguriert waren bei der Infektion.

Bei mir ist es mit XP mit eingeschränktem Konto folgendermaßen abgelaufen:

Im Firefox8 gingen ca 5 neue Tabs auf. Oft erscheinen dann beim Schließen Javascript Pop-Ups die Fragen "Wollen Sie wirklich diese Seite verlassen?".
Mein Pop-Up sah aber anders aus als die grauen Windows-Fenster, es war nämlich pastellfarben was ich im nachhinein als Java-Programm, nicht als Javascript deute?!

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht und diese gekillt nachdem ich vorher diese zum prüfen ins Internet geladen hatte. Nur 2 von 20 Online-Virenscannern haben den Trojaner erkannt.

Nach dem Neustart habe ich noch den Run-Eintrag in der Registrierung des Benutzers entfernt.

Bei einem Kollegen habe ich auch die .exe und einen Eintrag im Autostart gefunden.

Ich habe *nicht* neu installiert und beobachte weiter.

Wie gesagt, ich glaube nicht, dass alle Malware, die sich so zeigt, auch identisch primitiv läuft (wenn sie schon installiert ist)

Zitat:

Zitat von mlebek

Ich konnte mit einer anderen Windowspartition starten, habe nach den neuesten .exe Dateien gesucht

AFAIK (zumindest bei einigen Varianten!) tut es der abgesicherte Modus auch und ein Blick in die Autostartdateien. Ist wie bei Malware von vor 10 Jahren - deshalb trau ich dem Zeug nicht ganz.