Aug 18

Vor mehr als einem Jahr schrieb ich hier den ersten Beitrag zum BKA-Trojaner auf Telkotalk. Seit Herbst letzten Jahres ist er der mit Abstand am häufigsten gelesene Artikel dieser Webseite – ein eindeutiges Indiz für den „Erfolg“ dieser Schadsoftware.

Offenbar ist der Trojaner auch für die Hintermänner ein wirtschaftlicher Erfolg. Der Trojaner wird recht häufig modifiziert und verändert. Allein der Verband der deutschen Internetwirtschaft zeigt auf seiner Webseite www.bka-trojaner.de [Update 2016: Die Webseite if offline, Link entfernt] aktuell 26 Screenshots von in Deutschland häufig aufgetretenen Varianten und die Galerie erhebt keineswegs den Anspruch auf Vollständigkeit. International sind auch Versionen aufgetaucht, die das Live-Bild der eigenen Webcam einbinden, was die Opfern einschüchtern soll. „Schau her, wir beobachten Dich, wenn Du nicht zahlst…“. Natürlich sollten Sie in gar keinem Fall zahlen! Noch besser: Sie beugen dem Befall vor. Dazu später mehr.

Seit einigen Wochen gibt es zwei neue, beunruhigende Neuigkeiten zu diesem Trojaner

1. Inzwischen findet er auch in den USA weite Verbreitung. Dort natürlich mit Gruß vom FBI oder dem Heimatschutzministerium. Die Webseite botnet.fr hat eine Galerie mit Screenshots der internationalen Varianten veröffentlicht und führt den Trojaner unter dem Namen „Reveton“. Ob hinter den vielen Versionen immer die gleichen Hintermänner stecken oder ob verschiedene internationale Gruppen am Werk sind, ist noch unklar.

2. Es sind inzwischen Varianten aufgetaucht, die nicht nur die Nutzung des Rechners blockieren, sondern darüber hinaus Dateien verschlüsseln. Vor diesen Varianten hatten Polizei und BSI Ende Juli gewarnt. Diese Verschlüsselungsversion wird laut BSI häufig per Mail mit infiziertem Anhang verschickt.

Die älteren Varianten des Trojaners bekommt man recht gut und sicher mit der DE-Cleaner Rettungssystem CD beseitigt. Diese CD stammt von Avira und kann kostenlos unter auf der Webseite www.botfrei.de heruntergeladen werden. Auch die Methode, die im Artikel vom letzten Jahr beschrieben wurde, funktioniert nach wie vor. Bei den vielen verschiedenen Varianten des Trojaners muss man aber zunehmend damit rechnen, eine Version vorzufinden, bei der die bewährten Methoden versagen.

Es wird also Zeit, dem Trojaner vorzubeugen.

  1. Plugins: Wie oben erwähnt, soll laut BSI die Verschlüsselungsvariante hauptsächlich per Mail verbreitet werden, während die anderen Versionen im Regelfall über Lücken in den Browser-Plugins einfallen. Hier ist also anzusetzen. Betroffen sind in erster Linie die Plugins Flash und Java. Seit Flash11 sieht Adobe einmal täglich eine Prüfung auf Updates vor – viele Nutzer ändern dies aber. Ein nicht aktueller Flash-Player ist jedoch brandgefährlich. Noch schlimmer sieht es beim Java aus.  Hier findet default nur einmal im Monat eine Prüfung auf Updates statt. Wer auf Java angewiesen ist, sollte das Prüfungsintervall unbedingt auf täglich setzen. Ansonsten ist es sinnvoll, Java zu deinstallieren.
  2. Browser: Auch beim Browser kann man ansetzen. Hier in Deutschland ist der Firefox sehr beliebt. Nicht nur bei uns Nutzern, auch die Trojaner-Mafia mag den Firefox. Googles Chrome ist in der Unterwelt dagegen sehr unbeliebt und das hat einen einfachen Grund: Bei Chrome laufen auch die Plugins (also z.B. Flash) in einer Sandbox. Das Infizieren eines Systems aus dieser Sandbox heraus ist in der Theorie unmöglich, in der Praxis durch evtl. Programmfehler möglich, aber extrem aufwendig und daher suchen sich die Gauner lieber einfachere Wege. Im Umkehrschluss heißt das: Chrome ist aktuell der sicherste Browser und aus diesem Grund wird er auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlen.
  3. Antivirensoftware: Auch wenn diese Software bei brandaktuellen Schädlingen oft versagt, so sorgt doch eine Antivirensoftware für ein gute Grundsicherheit. Sinnvoll ist eine Software, die auch eingehende Mails auf Viren prüft. Nicht notwendig sind Funktionen wie Firewall oder Spam-Schutz. Da Windows seit XP über eine eigene ausreichende Firewall verfügt, sollte die Firewall der AV-Software deaktiviert werden.
  4. Acrobat-Reader: Naben dem oben beschriebenen Weg über Plugins werden auch PDF-Dateien zur Infizierung des Rechners mit Schadsoftware genutzt. Hierzu werden Lücken im Acrobat-Reader von Adobe ausgenutzt. Hiervor kann man sich am einfachsten schützen, in dem man statt des Acrobat Readers einen alternativen Reader nutzt, z.B. den Foxit-Reader. Natürlich ist auch der nicht fehlerfrei, aber aufgrund seiner geringen Verbreitung macht sich (derzeit) niemand die Mühe, Fehler darin für seine Schadsoftware zu nutzen. Schneller als der Acrobat-Reader ist er übrigens auch.
  5. Verstand einschalten: Nicht auf alles blind klicken. Und schon gar nicht bei eMails. Weder DHL noch UPS schicken Ihnen Belege als ZIP-Datei. Und weder eine Sparkasse, Volksbank oder die Postbank schicken Mails mit der Aufforderung, sich wegen eines Problems mit Kreditkarte, EC-Karte usw. sich irgendwo anzumelden. Bei Mails mit Links können Sie mit dem Mauszeiger auf den Link gehen (ohne klicken) und Ihr Browser zeigt Ihnen die wirklich hinter dem Link steckende URL am untenren Bildrand an. Wenn da z.B. aus www.sparkasse.de/Login plötzlich sparkasse-de.betrug.com/Login wird, dann gehört diese Mail sofort gelöscht!

Am Ende noch der wichtige Rat: Sichern Sie Ihr System und Ihre Daten regelmäßig. Nicht nur Viren und Trojaner gefährden Ihre Daten, sondern auch Fehlfunktionen, Fehlbedienungen oder Defekte.  Externe Festplatten sind so günstig geworden, das man klassische Backup-Medien wie Bänder oder CD/DVD für den privaten Einsatz nicht mehr empfehlen kann. Oft gibt es bei den externen Festplatten der Markenhersteller gleich eine Backup-Software gratis dazu.

geschrieben von Holger \\ tags: , , , , , , , , , , , , , , , ,

Hinterlasse ein Kommentar

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.