"BKA" Virus

[tdo]

'nabend,
komme gerade von einer PC-Bereinigungsaktion bei Bekannten zurück.
Die hatten sich, wie auch immer, den BKA Virus eingefangen, der den PC kapert und nur gegen Überweisung/Bezahlung einer Gebühr wieder freigeben will.
Wie die sich das Ding eingefangen haben: keine Ahnung.
Sicherlich nicht über zweifelhafte Websites oder Downloads, das ist normalerweise "ihr" Buchhaltungs-PC für die Verwaltung einer Wohnung und der Steuersachen der Familie.
Muss am Mittwoch abend passiert sein, da kam der erste Hilferuf.
Nein, die Leutchen surfen nicht mit Administratorrechten.
Ich habe dann gestern schon mal etwas herumgesucht, wie mit dem Teil umzugehen wäre.

Absolut ärgerlich:
- Auf dem PC ist (noch) die kostenfreie Version von Avira Antivir drauf. Hat nix bemerkt, nix gefunden.
- Windows Bitdefender ist zusätzlich drauf. Hat nix bemerkt, nichts gefunden.
- Spybot SD ist drauf. Ratet mal..


Einige Websites, auch ein Hinweise der Polizei empfiehlt zur Beseitigung des Virus die Verwendung der Kaspersky Rescue CD.
Als hab ich die gestern heruntergeladen und damit heute den PC gestartet und untersucht. Findet auch nichts!

Wenigstens ist in der Kaspersky Rescue CD ein Registry Editor drin.
Damit habe ich mir parallel zum (ergebnislosen) Virenscan die üblichen Verdächtigen angeschaut, HKCU bzw. HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Siehe da, Verweis auf eine .exe Datei unter C:\ProgramData mit einem zufällig generiertem Namen, sowas wie "aswdffasuzhjfdsurqens.exe",
die als versteckte Datei in C:\ProgramData aufzufinden war. Mit Datum vom letzten Mittwoch abend. Bingo!
Registry Eintrag und die Datei gelöscht, alles passt, Rechner arbeitet wieder normal.

Was lernen wir daraus: Die ganzen Antiviren Tools laufen wenigstens zeitweise mit verbundenen Augen durch die Gegend. Peinlich genug.
Auch der Update der Virenkennung für die Kaspersky Rescue CD, Aktualisierung der Kennungen von gestern mit denen von heute brachte keine Besserung.

Wenn sowas passiert, scheut euch übrigens nicht, erstattet Anzeige!
Dann den PC von einem externen Medium booten, mit Hirn an die Sache rangehen, "brain.exe",
das ersetzt offenbar manchmal die Glanzleistungen so mancher selbsternannter Antivirenspezialisten.

Gruss,
Thilo

[trailblazer]

Diese Dinger kommen klassischerweise per mail und werden von dem "brain" vorm Rechner blind durchgeklickt, weil ja ein lustiges Bild oder eine Rechnungsmahnung oder der Hauptgewinn eines Prosche 911 drin ist
G

[face]

Daten sichern und OS neu installieren, ist bei nem schwierigen Fall häufig schneller als ewig lang rumzutesten was geht und nachher doch nicht sicher zu sein, ob man wirklich alles erwischt hat.

[detlef]

Moinsen!

Ja, wenn das nur alles so einfach wäre mit den ganzen Trojanern, Viren, Rootkits und dem ganzen Mist...

- Wenn auch nur der Verdacht einer Infektion besteht, installiere ich neu. Das gilt ganz besonders für Webserver.
- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.
- Keine Admin Rechte wurde schon genannt.
- Gehirn einschalten vor dem öffnen von Mailanhängen hilft zu 80%
- Sich bewusst sein, dass man sich auch beim Surfen was einfangen kann!
- ALLE Updates installieren!! Was soll ein AV ausrichten, wenn die Maleware über eine Sicherheitslücke im Browser/System selbiges infiziert?
- In Netzwerken ist auch nur EINE Sicherheitslücke fatal (Zugriff über Freigabe, z.B. Rechnung.exe)
- Den Datenverkehr möglichst schon am Gateway überprüfen
- Mit Richtlinien arbeiten und den Internetverkehr einschränken, besonders in großen Netzen
- beten, dass es einen nicht trotzdem erwischt!
- Logs lesen, verstehen und auswerten.

Und an alle, die meinen ein CMS einsetzen zu müssen: Updaten, updaten updaten!! Und möglichst wenig Module. Erst am letzten Wochenende war ein Angriff auf eine
Sicherheitslücke in PMWIKI.

Bildschirmfoto 2012-05-19 um 01.37.57.png (93.43 KiB) 1583 mal betrachtet

[tracer]

- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.

Ich käme nie auf die Idee, für meine Server FTP zu verwenden. OK, für die Hosting Umgebungen der Kunden "muss" ich es leider, aber das ist nicht auf dem selben Server wie RHF.

[fireball]

- Windows Bitdefender ist zusätzlich drauf. Hat nix bemerkt, nichts gefunden.
- Spybot SD ist drauf. Ratet mal..

Weder das eine noch das andere sind dazu gedacht, Viren zu erkennen oder zu beseitigen (bei SpyBot mag man noch drüber streiten, wo man die Grenze zu Spyware setzt, zumal SpyBot keine RealTIme-Scanfunktionen hat - aber BitDefender ist ja nun wirklich eine ganz(!) andere Ecke...)

[pico500]

...auf die schnelle weil gleich zum 24h rennen geht
...hab getz auch die dritte mail bekommen
anhang natürlich auf keinen fall öffnen
@Hopper hatte ne seite ergoogle`t wo es bekannt war.
was man dagegen tun kann weiss ich nich...aber warnen kann ich weil sie bis
auf ne total verblööödete satzstellung "gut" gemacht sind
habs GsD erstmal auf dem iPhon angesehen,eh nicht geöffnet
und ab heut alle sofort gelöscht.
Hab @Hopper schon gesagt,würd ich die Typen bekommen,
würden sie mit nem 2 cm grossen Hämmerchen ab nach Sibirien in die Berge gehn
.
Is ne Schande das die Behörden etc. diesen Schw... nicht das Handwerk legen !!!!
.
...viel glück beim kampf gegen diese Schei....

[detlef]

- Wir arbeiten im u.a. im Webserverbereich mit Onetime Passwörtern. Wer diese Möglichkeit nicht hat, sollte nach !jedem! FTP Zugriff das FTP Passwort ändern.

Ich käme nie auf die Idee, für meine Server FTP zu verwenden. OK, für die Hosting Umgebungen der Kunden "muss" ich es leider, aber das ist nicht auf dem selben Server wie RHF.

sondern?

[fireball]

Na SCP ist wohl das sinnigste, zur not SFTP. Aber unverschlüsseltes FTP ist definitiv ein No-Go (von dem PITA bei FTP auf Firewallseite mal ganz abgesehen...)

[detlef]

Na SCP ist wohl das sinnigste, zur not SFTP. Aber unverschlüsseltes FTP ist definitiv ein No-Go (von dem PITA bei FTP auf Firewallseite mal ganz abgesehen...)

Jo, aber die Allgemeinheit ist bei "Geiz ist geil", da ist ja schon SFTP nen Luxus. Und wenn dann bitte auch nur mit Zertifikaten, weil dem Trojaner auf dem Rechner des Webmasters ist es völlig wurst, ob die Daten verschlüsselt übertragen werden - den Usernamen und das passwort hat er ja eh.

Gruss
Detlef

[tracer]

Jo, aber die Allgemeinheit ist bei "Geiz ist geil",

Das ist das Problem, viele der Clicky-Webbaukästen können nur FTP, also erwarten die Kunden der Hoster, das FTP unterstützt wird, mit allen hinlänglich bekannten Nachteilen.
Auf sichere Alternativen wird dann verzichtet, "geht ja alles" ...

Was malware per Mail angeht: Ich bin da (derzeit noch??, siehe Flashback) mit meinen Macs recht gut aussen vor, ich käme aber auch nie auf die Idee, z.B. eine ZIP-Datei zu öffnen, die mir unaufgefordert zugeschickt worden ist.

den Usernamen und das passwort hat er ja eh.

Nicht, wenn SCP oder SFTP oder FTPS verwendet wird.

[detlef]

den Usernamen und das passwort hat er ja eh.

Nicht, wenn SCP oder SFTP oder FTPS verwendet wird.

Doch! Das Passwort wird nur nicht mehr unverschlüsselt übertragen. Jede Taste die du aber auf deiner Tastatur drückst, kann doch aufgezeichnet werden, du kannst es nur nicht mehr sniffen. Und nur auf den Hostkey wollt ich mich nicht verlassen wollen.

[tracer]

Ok, wenn er nen sniffer hat, aber dann ist das Protokoll auch wieder vernachlässigbar.

[Tueftler]

Zum BKA-Virus: Ich hatte den vor längerer Zeit mal auf nem Testrechner drauf um zu gugen wie man den am Einfachsten los wird...
Hab einfach im abgesicherten Modus gestartet und per Systemwiederherstellung auf einen älteren Zeitpunkt zurückgespielt - ging
Würde bei nem Produktivsystem trotzdem die Daten dann sichern und die Kiste platt machen

Und an alle, die meinen ein CMS einsetzen zu müssen:

Das hab ich zum Glück entsprechend meinen Anforderungen selbst geschrieben

[tracer]

Das hab ich zum Glück entsprechend meinen Anforderungen selbst geschrieben

Die Option hat nicht jeder.

Ich glaube, es gibt Leute, die gar nicht programmieren können