BKA Trojaner Funktionsweise

DV-Opa

Hallo zusammen,

wenn wir wirklich rausbekommen wollen, wie der BKA/Ukash/Gema-Trojaner funktioniert, müssen wir dem genau nachgehen, was mightym8 und Cnork hier schreiben.

Dass die neueren Versionen des Trojaners versuchen, den Start des Taskmanagers zu verhindern, erscheint mir plausibel, da man zuvor (als ich selbst betroffen war) ja durch einen geschickten Start des Taskmanagers und danach des Explorers, in der Lage war, sich selbst aus der Trojanerumklammerung zu befreien.

Habe den Link

hxxp://www.file.net/prozess/rundll.exe.html

verfolgt, und alles deutet daraufhin, dass der (neue, modifizierte ?) Trojaner sich in der Tat in der vergrösserten Datei rundll.exe tarnt.

Sehr interessant ist, wie im letzten Beitrag beschrieben wird, wie das Skript (?) die Infektion herbeigeführt hat. Was mich erstaunt, denn bei diesen Trojanern wird in den Foren berichtet, dass sie sich über Tage und Wochen "schlafen" legen können, bevor sie aktiv werden.

Wenn bekannt wäre, welche Webseiten die Infektion hervorrufen, könnte man natürlich die Server der eigentlichen Abzocker ausfindig machen und diese stillegen. Es wäre also ein Riesenerfolg, hier eine künstliche Infektion quasi wie in einem Labor zu produzieren.

Was nun das Thema "Disassemblierung" angeht, will ich niemand die Hoffnung nehmen, hier erfolgreich zu sein, aber das wird verdammt schwierig !

Über den "echten" Bundestrojaners, mit dem das BKA und die LKAs Verdächtige ausspionieren wollen, habe ich gelesen, dass es hier im Umfeld der Piratenpartei gelungen ist, Bestandteile aus bekannten Trojaner-Baukästen wiederzufinden und damit zu klären, welches Potential dieser Trojaner wirklich hat.

Genau das möchten aber viele über den BKA/Ukash/Gema-Trojaner wissen !

Der pauschale Rat, das gesamte System neu aufzusetzen, um wieder einen sauberen PC zu haben, greift doch zu kurz und verursacht für viele einen gewaltigen (unnötigen ?) Aufwand. Also bleibt dran, auch wenn der Erfolg nicht gesichert ist !

Gruß DV-Opa