Jun 18

Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.

Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über  JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu „schleichen“, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.

Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren.  Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.

Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.

Wie also wird vorgegangen:

1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen.  [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.

2. Das Windows nun starten, mit F8 sofort in den abgesicherten „Modus mit Eingabeaufforderung“  wechseln.

3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.

4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.

Alternativen:

Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der „letzten funktionierenden Konfiguration“ repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem „verbessert“ wurde.  Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.

 

geschrieben von Holger \\ tags: , , , , , , , , , ,

Jun 05

Die Nachrichtenlage um den Bezahlsender Sky kommt nicht zur Ruhe. Erst am 25.5.2011 hatte die Münchener Staatsanwaltschaft die Geschäftsräume von Sky sowie weitere 20 Wohnungen und Büros in Deutschland und Luxemburg durchsucht. Ermittelt werde wegen falscher Abozahlen in den Bilanzen 2007 und dem 1. Halbjahr 2008, wo es nach Angaben der BAFIN um eine „Schönung“ von 600.000 Abos geht. Daher werde nach Angaben der Münchener Staatsanwaltschaft gegen drei Exmanager des Senders wegen Kapitalanlagebetrugs, Marktmanipulation und unrichtiger Darstellung ermittelt.

Nun legt der Spiegel nach und berichtet von fragwürdigen Methoden der Kundengewinnung. Laut Bericht des Spiegel schickt der Sender an Bundesliga-Samstagen verdeckter Ermittler in Cafes, Bars und Kneipen, um zu ermitteln, ob dort mit geborgter Sky-Karte Fußball gezeigt werde.  Ertappte Wirte würden von einer Kanzlei angeschrieben und zur Zahlung einer „Strafe“ (Schadensersatz) von 3000,- Euro aufgefordert. Die Summe verringert sich auf 300,- Euro, wenn der Wirt ein Sky-Abo für seinen Betrieb abschließt. Wie moralisch diese Praktik ist, mag jeder für sich entscheiden.

Aus dem Raum Augsburg kamen aber Meldungen, wonach mehrere Wirte nachweislich gar kein TV-Gerät in den Gasträumen aufgestellt haben. Einer der beschuldigten Wirte hat seinerseits Anzeige gegen falsche Beschuldigungen erstattet.  Während Sky-Sprecher Wolfram Winter von Beweisen für valide juristische Vorgänge spricht, kam es in Augsburg zu mehreren erfundenen Fußballübertragungen eines der verdeckten Ermittlers.

Sky hat natürlich das Recht, Verstöße gegen die Geschäftsbedingungen, zu denen die Vorführung mithilfe eines Privatkundenabos sicherlich zählt, zu ahnden. Ob die Methode mit verdeckten Ermittlern imagefördernd und angemessen ist, das mag jeder für sich entscheiden. Die GEZ z.B. genießt ja auch nicht zuletzt wegen des „netten“ Aussendienstes eine ähnliche  Beliebtheit wie Zahnwurzelbehandlungen. Aber wenn eigenen Ermittler, die vermutlich Erfolgsprämien bekommen, anfangen, Verstöße wegen einer Erfolgsprämie zu erfinden, dann wird es kriminell.  Sky sollte sich von diesen Ermittlern schleunigst öffentlich distanzieren und die ganze Vorgehensweise auf den Prüfstand stellen. Sonst klingelt die Staatsanwaltschaft bald wieder an der Tür.

„Ich was Besseres“ heißt es in der aktuellen Werbung. Nein, das sehe ich nicht. Verdeckte Ermittler sind Methoden von Geheimdiensten, in seltenen Fällen auch bei der Kriminalpolizei. Wenn ein Fernsehsender zu solch drastischen Mitteln greift und seine Spitzel nicht mal richtig im Griff hat, dann sehe ich drin nicht Besseres. Mich erinnert das mehr an Stasimethoden als an besseres Fernsehen.

geschrieben von Holger \\ tags: , , ,