Liebe Leser,
ich habe mir ärgerlicherweise den o.g. Trojaner eingefangen und bin gerade dabei, diesen mit den hier im Forum geposteten Tipps zu entfernen.
Ehrlich gesagt frage ich mich jedoch, wie das gute Stück auf meinen PC gekommen ist. Ich bin würde mich als erfahrenen PC-Nutzer bezeichnen, lege Wert auf Antivirensoftware usw. Ich nutze Firefox mit Addons wie NoScript, den IE nur ausgesprochen selten, surfe nicht auf irgendwelchen abartigen Seiten und habe F-Secure 2011 auf meinem PC und bezahle dafür brav meinen Jahresbeitrag. Zuvor hatte ich immer GDATA. Jetzt frage ich mich natürlich - wie kommt so ein Teil auf meinen PC? Ich habe nichts angeklickt, war am surfen, zu diesem Zeitpunkt leider mit dem IE und auf einem tauchte die Meldung auf. Ich hatte schon oft von dem Teil gehört, wusste also, worum es da geht. Wieso hat F-Secure da nicht gegriffen?

Mein PC läuft wieder, aber zur Sicherheit werde ich das System heute noch neu aufspielen.
Ich konnte herausfinden, dass der Trojaner sich über gestohlene Sicherheitszertifikate einnistet und deshalb nicht erkannt wird. Ärgerlich. Wie schützt ihr euch denn davor? Updates sind bei mir immer aktuell, mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?
Könnt ihr mir vielleicht noch einige Fragen beantworten, bevor ich das System neu aufspiele?
Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da? Das ist insofern interessant, alsdass ich einige Weihnachtseinkäufe erledigte und ich derzeit überlege, meine Kreditkarte sperren zu lassen.
Setzt der Trojaner sich nur in das System oder geht er auch in andere Dateien? Muss ich mir beispielsweise Sorgen um meine externe Platte machen, die zu der Zeit angeschlossen war?

Zitat:

Zitat von Gormain

mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?

Eher die Seiten auf denen du gesurft hast
Prinzipiell lässt sich aber abseits der Zertifikatssache der FF dank Add-ons besser sicherer einstellen ohne allzuviel an Nutzbarkeit einzubüßen und ein Browser wie Opera hat wegen seines geringen Marktanteiles weniger üblich Angriffspunkte die auf browserspezifische Schwachstellen zielen.

Zitat:

Zitat von Gormain

Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da? Das ist insofern interessant, alsdass ich einige Weihnachtseinkäufe erledigte und ich derzeit überlege, meine Kreditkarte sperren zu lassen.

Kann ich dir nicht beantworten, ich hab's nicht so mit dem Einfangen von Malware. Möglicherweise solltest du dir aber erst einmal klar darüber werden, was ein "Trojaner" ist bzw. beschreibt. "Trojaner" hat nur mit dem Verbreitungsweg zu tun. Was fachferne Presse wie ComputerBild, Süddeutsche Zeitung oder Tagesschau als Trojaner gerne bezeichnen ist ein Backdoor, Remote-Access-Tool (RAT). Dies kann auch ein Trojaner sein, aber ein Trojaner ist eben eher nur in den wenigeren Fällen ein Backdoor/RAT. Der echte (staatliche) "Bundestrojaner" dürfte wohl eher genau kein Trojaner in fachsprachlichen Sinn sein (wobei er u.U. den gesamten PC dadurch zum Trojanischen Pferd macht.)
Meines Wissens ist diese Fake-Software in der Regel nur genau dieses, der Versuch echtes Geld unter Vortäuschung falscher Meldungen zu erpressen, es ist aber niemals auszuschließen, dass in einer Malwareverbreitung auch noch andere Sachen aktiv sind bzw. wenn du in entsprechenden Gebieten herumgesurft bist, auch noch anderes "unabhängig" davon dir installiert hast.
Rechtlich gesehen fürchte ich (glaube ich) müsstest du die Kreditkarte sperren lassen, denn sollte irgendwas sein, dann hast du sonst die A...karte gezogen. Wobei ich ebenfalls glaube, dass diese Fake-Alert-Malware (vorausgesetzt du hattest NUR diese auf dem PC!) mit dem ersten Reboot aktiv und sichtbar wird (das Risiko der Erkennung durch AV-Programme wäre auch zu hoch).

Hältst du es denn für sinnvoll, zusätzlich zu F-Secure MAM laufen zu lassen?

Hallo Gormain,

Du schreibst:

Zitat:

Zitat von Gormain

Ich konnte herausfinden, dass der Trojaner sich über gestohlene Sicherheitszertifikate einnistet und deshalb nicht erkannt wird. Ärgerlich. Wie schützt ihr euch denn davor? Updates sind bei mir immer aktuell, mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?

War selbst betroffen; habe auf fremden PC mit Firefox gesurft. Also

1. Am IE hat es nicht gelegen. Allenfalls daran, dass beim IE die Browser-Einstellung "hohe Sicherheit" nur vorgaukelt, sicher zu surfen. Bei dieser Einstellung ist z.B. "active Scripting" weiter aktiviert.

2. Was die gestohlenen Sicherheitszertifikate angeht, so kenne ich Deine Nachrichtenquelle nicht, halte das aber für plausibel. Dies erklärt jedoch nur, warum der IE die gefährliche Seite überhaupt angezeigt, bzw. deine Antiviren-Guard keine Warnung ausgegeben hat.

3. Die eigentliche Infektion muss dann z.B. durch ein "bösartiges" Skript, Plug-In oder Active-X-Control erfolgt sein. Wie hier "Ukash/Bundespolizei" arbeitet, müssten die Experten mal klären.

4. Die unangenehmen Folgen, also aufwendige Trojanerbeseitigung und ein nicht mehr vertrauenswürdiges System, sind m.E. aber nur deshalb eingetreten, weil Du als ADMIN im Web unterwegs warst. Wie ich aus eigener Erfahrung weiß, genügt es bei einer Ukash-Infektion als normaler Benutzer den PC ein/-auszuschalten und alles läuft wieder.

5. Wie sicher jetzt Dein System ist, ob Du also z.B. weiter Deine Kreditkartendaten bei Einkäufen bedenkenlos eingeben kannst, dazu kann Dir eigentlich keiner einen verlässlichen Rat geben. Dass ein sog. Keylogger (protokolliert Tastatureingaben, die nach irgendwo in der Welt versendet wrden) heimlich installiert wurde, glaube ich eher weniger. Das wäre inzwischen sicher bekannt.
Einen Port-Scan (sucht nach Löchern in der Firewall) habe ich selbst gestartet. Ergebnis: negativ. Ob andere Hintertürchen (neudeutsch Backdoors) jetzt offenstehen, die einem anderen Virus/Trojaner den Angriff erleichtern, weiß natürlich keiner. Nicht mehr als ADMIN im Web sich zu bewegen, ist hierzu natürlich die erste und einfachste Absicherung.

Gruß DV-Opa

Zitat:

Zitat von Gormain

Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da?

Habe in einem anderen Forum gelesen, dass eine Ukash/Gema-Variante zwei Wochen auf dem System war, bevor sie sich bemerkbar machte. Jedenfalls musste ein Betroffener so weit zurückgehen, um ein trojanerfreies Backup zu finden.

Gruß DV-Opa

Zitat von oben " zu 3. Die eigentliche Infektion muss dann z.B. durch ein "bösartiges" Skript, Plug-In oder Active-X-Control erfolgt sein. Wie hier "Ukash/Bundespolizei" arbeitet, müssten die Experten mal klären."


also bislang habe ich nicht so viele Probleme gehabt. ich nutze MS essentional aber die bundespolizei nervt schon sehr und hat mich viel zeit gekostet. komme nur umständlich mit einem Neustart in die Rücksicherung und muss dann viele updates laufen lassen.

Wie kann man dies verhindern oder sich effizient schützen? Ich surfe mit Firefox 11. als admin. Adminrechte raus und gut ist?

Gruß chris

Zitat:

Adminrechte raus und gut ist?

Nein.
Keine Adminrechte ist aber schonmal eine gefunde Basis. Keine Adminrechte bedeutet aber nicht, dass nichts mehr ausgeführt werden kann. Das geht natürlich immer noch, allerdings nicht mehr mit vollen Rechten

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?