"BKA" Virus
#1 "BKA" Virus
'nabend,
komme gerade von einer PC-Bereinigungsaktion bei Bekannten zurück.
Die hatten sich, wie auch immer, den BKA Virus eingefangen, der den PC kapert und nur gegen Überweisung/Bezahlung einer Gebühr wieder freigeben will.
Wie die sich das Ding eingefangen haben: keine Ahnung.
Sicherlich nicht über zweifelhafte Websites oder Downloads, das ist normalerweise "ihr" Buchhaltungs-PC für die Verwaltung einer Wohnung und der Steuersachen der Familie.
Muss am Mittwoch abend passiert sein, da kam der erste Hilferuf.
Nein, die Leutchen surfen nicht mit Administratorrechten.
Ich habe dann gestern schon mal etwas herumgesucht, wie mit dem Teil umzugehen wäre.
Absolut ärgerlich:
- Auf dem PC ist (noch) die kostenfreie Version von Avira Antivir drauf. Hat nix bemerkt, nix gefunden.
- Windows Bitdefender ist zusätzlich drauf. Hat nix bemerkt, nichts gefunden.
- Spybot SD ist drauf. Ratet mal..
Einige Websites, auch ein Hinweise der Polizei empfiehlt zur Beseitigung des Virus die Verwendung der Kaspersky Rescue CD.
Als hab ich die gestern heruntergeladen und damit heute den PC gestartet und untersucht. Findet auch nichts!
Wenigstens ist in der Kaspersky Rescue CD ein Registry Editor drin.
Damit habe ich mir parallel zum (ergebnislosen) Virenscan die üblichen Verdächtigen angeschaut, HKCU bzw. HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Siehe da, Verweis auf eine .exe Datei unter C:\ProgramData mit einem zufällig generiertem Namen, sowas wie "aswdffasuzhjfdsurqens.exe",
die als versteckte Datei in C:\ProgramData aufzufinden war. Mit Datum vom letzten Mittwoch abend. Bingo!
Registry Eintrag und die Datei gelöscht, alles passt, Rechner arbeitet wieder normal.
Was lernen wir daraus: Die ganzen Antiviren Tools laufen wenigstens zeitweise mit verbundenen Augen durch die Gegend. Peinlich genug.
Auch der Update der Virenkennung für die Kaspersky Rescue CD, Aktualisierung der Kennungen von gestern mit denen von heute brachte keine Besserung.
Wenn sowas passiert, scheut euch übrigens nicht, erstattet Anzeige!
Dann den PC von einem externen Medium booten, mit Hirn an die Sache rangehen, "brain.exe",
das ersetzt offenbar manchmal die Glanzleistungen so mancher selbsternannter Antivirenspezialisten.
Gruss,
Thilo
komme gerade von einer PC-Bereinigungsaktion bei Bekannten zurück.
Die hatten sich, wie auch immer, den BKA Virus eingefangen, der den PC kapert und nur gegen Überweisung/Bezahlung einer Gebühr wieder freigeben will.
Wie die sich das Ding eingefangen haben: keine Ahnung.
Sicherlich nicht über zweifelhafte Websites oder Downloads, das ist normalerweise "ihr" Buchhaltungs-PC für die Verwaltung einer Wohnung und der Steuersachen der Familie.
Muss am Mittwoch abend passiert sein, da kam der erste Hilferuf.
Nein, die Leutchen surfen nicht mit Administratorrechten.
Ich habe dann gestern schon mal etwas herumgesucht, wie mit dem Teil umzugehen wäre.
Absolut ärgerlich:
- Auf dem PC ist (noch) die kostenfreie Version von Avira Antivir drauf. Hat nix bemerkt, nix gefunden.
- Windows Bitdefender ist zusätzlich drauf. Hat nix bemerkt, nichts gefunden.
- Spybot SD ist drauf. Ratet mal..
Einige Websites, auch ein Hinweise der Polizei empfiehlt zur Beseitigung des Virus die Verwendung der Kaspersky Rescue CD.
Als hab ich die gestern heruntergeladen und damit heute den PC gestartet und untersucht. Findet auch nichts!
Wenigstens ist in der Kaspersky Rescue CD ein Registry Editor drin.
Damit habe ich mir parallel zum (ergebnislosen) Virenscan die üblichen Verdächtigen angeschaut, HKCU bzw. HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Siehe da, Verweis auf eine .exe Datei unter C:\ProgramData mit einem zufällig generiertem Namen, sowas wie "aswdffasuzhjfdsurqens.exe",
die als versteckte Datei in C:\ProgramData aufzufinden war. Mit Datum vom letzten Mittwoch abend. Bingo!
Registry Eintrag und die Datei gelöscht, alles passt, Rechner arbeitet wieder normal.
Was lernen wir daraus: Die ganzen Antiviren Tools laufen wenigstens zeitweise mit verbundenen Augen durch die Gegend. Peinlich genug.
Auch der Update der Virenkennung für die Kaspersky Rescue CD, Aktualisierung der Kennungen von gestern mit denen von heute brachte keine Besserung.
Wenn sowas passiert, scheut euch übrigens nicht, erstattet Anzeige!
Dann den PC von einem externen Medium booten, mit Hirn an die Sache rangehen, "brain.exe",
das ersetzt offenbar manchmal die Glanzleistungen so mancher selbsternannter Antivirenspezialisten.
Gruss,
Thilo
- trailblazer
- Beiträge: 5134
- Registriert: 23.01.2008 11:32:37
- Wohnort: Hamburg - St. Pauli
#2 Re: "BKA" Virus
Diese Dinger kommen klassischerweise per mail und werden von dem "brain" vorm Rechner blind durchgeklickt, weil ja ein lustiges Bild oder eine Rechnungsmahnung oder der Hauptgewinn eines Prosche 911 drin ist
G
G
Gruss Andre
TT X50E, BeastX 12s 3300mAh
SAB Goblin 700, VStabi 5.3, Roxxy 120@VSTABI Gov
TBS DiscoveryQuad, 4s 3300maH, FPV, Multiwii 2.2, Rushduino, Fatshark Attitude
FPV Bixler 2, EZOSD
TT X50E, BeastX 12s 3300mAh
SAB Goblin 700, VStabi 5.3, Roxxy 120@VSTABI Gov
TBS DiscoveryQuad, 4s 3300maH, FPV, Multiwii 2.2, Rushduino, Fatshark Attitude
FPV Bixler 2, EZOSD
#3 Re: "BKA" Virus
Daten sichern und OS neu installieren, ist bei nem schwierigen Fall häufig schneller als ewig lang rumzutesten was geht und nachher doch nicht sicher zu sein, ob man wirklich alles erwischt hat.
Compass 7HV V-Stabi 5.2 Pro, Scorpion 5025, YGE 160 HV, Hercules Super BEC, MKS HBL 950/980
Protos Hyperion HV-Servos, 3226, VStabi usw.
Futaba T8
"Science is like sex. Sure, it may give some practical results, but that's not why we do it." Richard Feynmann
heliaddict
Protos Hyperion HV-Servos, 3226, VStabi usw.
Futaba T8
"Science is like sex. Sure, it may give some practical results, but that's not why we do it." Richard Feynmann
heliaddict
#4 Re: "BKA" Virus
Moinsen!
Ja, wenn das nur alles so einfach wäre mit den ganzen Trojanern, Viren, Rootkits und dem ganzen Mist...
- Wenn auch nur der Verdacht einer Infektion besteht, installiere ich neu. Das gilt ganz besonders für Webserver.
- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.
- Keine Admin Rechte wurde schon genannt.
- Gehirn einschalten vor dem öffnen von Mailanhängen hilft zu 80%
- Sich bewusst sein, dass man sich auch beim Surfen was einfangen kann!
- ALLE Updates installieren!! Was soll ein AV ausrichten, wenn die Maleware über eine Sicherheitslücke im Browser/System selbiges infiziert?
- In Netzwerken ist auch nur EINE Sicherheitslücke fatal (Zugriff über Freigabe, z.B. Rechnung.exe)
- Den Datenverkehr möglichst schon am Gateway überprüfen
- Mit Richtlinien arbeiten und den Internetverkehr einschränken, besonders in großen Netzen
- beten, dass es einen nicht trotzdem erwischt!
- Logs lesen, verstehen und auswerten.
Und an alle, die meinen ein CMS einsetzen zu müssen: Updaten, updaten updaten!! Und möglichst wenig Module. Erst am letzten Wochenende war ein Angriff auf eine
Sicherheitslücke in PMWIKI.
Ja, wenn das nur alles so einfach wäre mit den ganzen Trojanern, Viren, Rootkits und dem ganzen Mist...
- Wenn auch nur der Verdacht einer Infektion besteht, installiere ich neu. Das gilt ganz besonders für Webserver.
- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.
- Keine Admin Rechte wurde schon genannt.
- Gehirn einschalten vor dem öffnen von Mailanhängen hilft zu 80%
- Sich bewusst sein, dass man sich auch beim Surfen was einfangen kann!
- ALLE Updates installieren!! Was soll ein AV ausrichten, wenn die Maleware über eine Sicherheitslücke im Browser/System selbiges infiziert?
- In Netzwerken ist auch nur EINE Sicherheitslücke fatal (Zugriff über Freigabe, z.B. Rechnung.exe)
- Den Datenverkehr möglichst schon am Gateway überprüfen
- Mit Richtlinien arbeiten und den Internetverkehr einschränken, besonders in großen Netzen
- beten, dass es einen nicht trotzdem erwischt!
- Logs lesen, verstehen und auswerten.
Und an alle, die meinen ein CMS einsetzen zu müssen: Updaten, updaten updaten!! Und möglichst wenig Module. Erst am letzten Wochenende war ein Angriff auf eine
Sicherheitslücke in PMWIKI.
Aktuell: GAUI X5 FBL, MB 2.0
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
#5 Re: "BKA" Virus
Ich käme nie auf die Idee, für meine Server FTP zu verwenden. OK, für die Hosting Umgebungen der Kunden "muss" ich es leider, aber das ist nicht auf dem selben Server wie RHF.detlef hat geschrieben:- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.
#6 Re: "BKA" Virus
Weder das eine noch das andere sind dazu gedacht, Viren zu erkennen oder zu beseitigen (bei SpyBot mag man noch drüber streiten, wo man die Grenze zu Spyware setzt, zumal SpyBot keine RealTIme-Scanfunktionen hat - aber BitDefender ist ja nun wirklich eine ganz(!) andere Ecke...)tdo hat geschrieben:- Windows Bitdefender ist zusätzlich drauf. Hat nix bemerkt, nichts gefunden.
- Spybot SD ist drauf. Ratet mal..
#7 Re: "BKA" Virus
...auf die schnelle weil gleich zum 24h rennen geht
...hab getz auch die dritte mail bekommen
anhang natürlich auf keinen fall öffnen
@Hopper hatte ne seite ergoogle`t wo es bekannt war.
was man dagegen tun kann weiss ich nich...aber warnen kann ich weil sie bis
auf ne total verblööödete satzstellung "gut" gemacht sind
habs GsD erstmal auf dem iPhon angesehen,eh nicht geöffnet
und ab heut alle sofort gelöscht.
Hab @Hopper schon gesagt,würd ich die Typen bekommen,
würden sie mit nem 2 cm grossen Hämmerchen ab nach Sibirien in die Berge gehn
.
Is ne Schande das die Behörden etc. diesen Schw... nicht das Handwerk legen !!!!
.
...viel glück beim kampf gegen diese Schei....
...hab getz auch die dritte mail bekommen
anhang natürlich auf keinen fall öffnen
@Hopper hatte ne seite ergoogle`t wo es bekannt war.
was man dagegen tun kann weiss ich nich...aber warnen kann ich weil sie bis
auf ne total verblööödete satzstellung "gut" gemacht sind
habs GsD erstmal auf dem iPhon angesehen,eh nicht geöffnet
und ab heut alle sofort gelöscht.
Hab @Hopper schon gesagt,würd ich die Typen bekommen,
würden sie mit nem 2 cm grossen Hämmerchen ab nach Sibirien in die Berge gehn
.
Is ne Schande das die Behörden etc. diesen Schw... nicht das Handwerk legen !!!!
.
...viel glück beim kampf gegen diese Schei....
#8 Re: "BKA" Virus
sondern?tracer hat geschrieben:Ich käme nie auf die Idee, für meine Server FTP zu verwenden. OK, für die Hosting Umgebungen der Kunden "muss" ich es leider, aber das ist nicht auf dem selben Server wie RHF.detlef hat geschrieben:- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.
Aktuell: GAUI X5 FBL, MB 2.0
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
#9 Re: "BKA" Virus
Na SCP ist wohl das sinnigste, zur not SFTP. Aber unverschlüsseltes FTP ist definitiv ein No-Go (von dem PITA bei FTP auf Firewallseite mal ganz abgesehen...)
#10 Re: "BKA" Virus
Jo, aber die Allgemeinheit ist bei "Geiz ist geil", da ist ja schon SFTP nen Luxus. Und wenn dann bitte auch nur mit Zertifikaten, weil dem Trojaner auf dem Rechner des Webmasters ist es völlig wurst, ob die Daten verschlüsselt übertragen werden - den Usernamen und das passwort hat er ja eh.fireball hat geschrieben:Na SCP ist wohl das sinnigste, zur not SFTP. Aber unverschlüsseltes FTP ist definitiv ein No-Go (von dem PITA bei FTP auf Firewallseite mal ganz abgesehen...)
Gruss
Detlef
Aktuell: GAUI X5 FBL, MB 2.0
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
#11 Re: "BKA" Virus
Das ist das Problem, viele der Clicky-Webbaukästen können nur FTP, also erwarten die Kunden der Hoster, das FTP unterstützt wird, mit allen hinlänglich bekannten Nachteilen.detlef hat geschrieben:Jo, aber die Allgemeinheit ist bei "Geiz ist geil",
Auf sichere Alternativen wird dann verzichtet, "geht ja alles" ...
Was malware per Mail angeht: Ich bin da (derzeit noch??, siehe Flashback) mit meinen Macs recht gut aussen vor, ich käme aber auch nie auf die Idee, z.B. eine ZIP-Datei zu öffnen, die mir unaufgefordert zugeschickt worden ist.
Nicht, wenn SCP oder SFTP oder FTPS verwendet wird.detlef hat geschrieben:den Usernamen und das passwort hat er ja eh.
#12 Re: "BKA" Virus
Doch! Das Passwort wird nur nicht mehr unverschlüsselt übertragen. Jede Taste die du aber auf deiner Tastatur drückst, kann doch aufgezeichnet werden, du kannst es nur nicht mehr sniffen. Und nur auf den Hostkey wollt ich mich nicht verlassen wollen.tracer hat geschrieben:detlef hat geschrieben:Nicht, wenn SCP oder SFTP oder FTPS verwendet wird.detlef hat geschrieben:den Usernamen und das passwort hat er ja eh.
Aktuell: GAUI X5 FBL, MB 2.0
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
EX:T-Rex 600 GF, Funkey Hughes 500E Baubericht http://www.rc-heli-fan.org/viewtopic.php?f=112&t=48826
Habe endlich fertig: http://www.rc-heli-fan.org/viewtopic.php?f=112&t=65994
T8FG
Graupner Ultra Duo Plus 50
#13 Re: "BKA" Virus
Ok, wenn er nen sniffer hat, aber dann ist das Protokoll auch wieder vernachlässigbar.
#14 Re: "BKA" Virus
Zum BKA-Virus: Ich hatte den vor längerer Zeit mal auf nem Testrechner drauf um zu gugen wie man den am Einfachsten los wird...
Hab einfach im abgesicherten Modus gestartet und per Systemwiederherstellung auf einen älteren Zeitpunkt zurückgespielt - ging
Würde bei nem Produktivsystem trotzdem die Daten dann sichern und die Kiste platt machen
Hab einfach im abgesicherten Modus gestartet und per Systemwiederherstellung auf einen älteren Zeitpunkt zurückgespielt - ging
Würde bei nem Produktivsystem trotzdem die Daten dann sichern und die Kiste platt machen
Das hab ich zum Glück entsprechend meinen Anforderungen selbst geschriebendetlef hat geschrieben:Und an alle, die meinen ein CMS einsetzen zu müssen:
Gruß
Daniel
__________________________________________________________
Helis: WLtoys V911, T-Rex 450 FBL, Logo10, Eco Piccolo, Blade Nano CP X, Futaba T9CP mit FASST/Spektrum
Daniel
__________________________________________________________
Helis: WLtoys V911, T-Rex 450 FBL, Logo10, Eco Piccolo, Blade Nano CP X, Futaba T9CP mit FASST/Spektrum
#15 Re: "BKA" Virus
Die Option hat nicht jeder.Tueftler hat geschrieben:Das hab ich zum Glück entsprechend meinen Anforderungen selbst geschrieben
Ich glaube, es gibt Leute, die gar nicht programmieren können