Aktuelle Seite: Home Seuchen-Ecke BKA-Trojaner (UKASH)

Zitat des Augenblicks  

Schämen sollten sich die Menschen, die sich gedankenlos der Wunder der Wissenschaft und Technik bedienen und nicht mehr davon geistig erfasst haben als die Kuh von der Botanik der Pflanzen, die sie mit Wohlbehagen frisst.
[A. Einstein]
   

Umfragen  

Hohe Rechnung erhalten?

Ja, als gefährlicher Spam behandelt. - 24.3%
Ja, Anhang geöffnet. Viruswarnung. - 8.1%
Ja, Anhang geöffnet, meine Dateien sind futsch. - 8.1%
Nein, bisher nicht, aber schon davon gehört. - 43.2%
Nein, bisher nicht. - 16.2%

Abgegebene Stimmen: 37
Die Abstimmung ist beendet. on: 17 Mai 2012 - 00:00
   

Neue Beiträge  

   

Meistgelesen  

   

Besucher  

Deine IP: 38.107.179.242
Angemeldet 0
Gäste 1
Jetzt Online
-
   

Autoren-Login  

   

BKA-Trojaner (UKASH)

  • Drucken
Details
Details
Erstellt am Donnerstag, 10. November 2011 11:30
Geschrieben von IRON
Zugriffe: 5970

Bereits seit Mitte/Ende März 2011 ist ein Trojaner im Umlauf, der mittlerweile unter den Namen BKA-Trojaner, Bundespolizei-Trojaner oder UKASH-Trojaner bekannt wurde. Trotz umfangreicher Warnungen und diverser "Anleitungen" zum Entfernen werden immer noch viele Anwender Opfer dieses hartnäckigen Schädlings.


Die Malware macht mit einer oberflächlich betrachtet offiziellen Warnmeldung auf sich aufmerksam, in der behauptet wird, der Rechner bleibe wegen diverser Online-Vergehen gesperrt, bis man 100 Euro per UKASH oder Paysafecard (Bezahldienste) auf ein vermeintliches Konto des Bundeskriminalamtes überwiesen habe. Andernfalls werde die Festplatte formatiert. Auf keinen Fall zahlen! Es erfolgt keine Freischaltung und schon gar keine Bereinigung des PCs von der installierten Malware.

Nachdem die Malware das System des Anwenders infiziert hat, kontaktiert sie einen Command&Control-Server, der anhand der IP und anderer Daten ermittelt, in welchem Land der Anwender lebt, um dann eine passende Grafik mit passender Sprache und Logo der Polizei-Behörde herunterzuladen und anzuzeigen. Danach übernimmt es die Kontrolle über den Desktop und wichtige Systemprogramme wie Explorer und Taskmanager.
Beim ersten Start der Malware ohne Parameter kopiert sie sich in einen unverdächtig scheinenden Ordner mit vertrauten (variierenden!) Namen wie

c:\Documents and Settings\%user%\ApplicationData\adobeflash\adobeflash.exe.

Anschließend wird durch einen Registryeintrag dauerhafte Ausführung gewährleitet. (Dies ist der Eintrag, der in so vielen unbrauchbaren Anleitungen gerne als einziger Anhaltspunkt dient)

["c:\Documents and Settings\%user%\ApplicationData\adobeflash\adobeflash.exe -b"] Hier taucht der Parameter -b auf, um zwischen dem ersten und allen späteren Starts zu unterscheiden.

Anschließend startet die Malware sich selbst in einem speziellen Installationsmodus neu, diesmal mit dem Parameter -i:

c:\Documents and Settings\%user%\ApplicationData\adobeflash\adobeflash.exe -i

Dieser Start injiziert den Malwarecode in den Prozess der explorer.exe von Windows, so dass von nun an alle Internetverbindungen über das http-Protokoll unter Kontrolle der Malware stehen. Als erstes werden vier C&C-Server kontaktiert. Sollte das Malware-Opfer in Deutschland, Schweiz, Spanien, Frankreich, Niederlande, Italien, Belgien, England oder Österreich sein, fährt die Malware mit ihren Aktionen fort - anderenfalls erhält sie den Befehl, sich zu deinstallieren. Anschließend wird dann wie erwähnt, das passende Bild heruntergeladen und gespeichert. Teilweise erfolgt auch ein Update der Malware.
Zwei Threads werden nun gestartet - einer zur dauerhaften Anzeige der Grafik, der andere, um folgende Windows-Prozesse zu beenden bzw. ihren Start zu verhindern:
• regedit.exe
• msconfig.exe
• seth.exe
• utilman.exe
• narrator.exe

Die Verursacher bzw. Verteiler dieser Malware stehen unmittelbar mit der Verteilung weiterer Malware wie Banking-Trojanern (ZeuS, CARBERP) und Rootkits wie TDSS in Verbindung.


Zwei oder mehr weitere Malware-Dateien werden nachgeladen, die u.a. als TR/Dldr.PinchLord.C und TR/Dldr.Harnig.S.210 eventuell von Virenscannern erkannt werden. Der Hauptschädling wird u.a. als Trojan.Win32.FraudPack, Trojan-Ransom.Win32.PornoBlocker.jtg, TR/Spy.ZBot.bjtr, TR/PSW.Papras.A.2., Mal/FakeAV-EA, Win32:FakeSysdef-ED, Downloader.ADY, Adware/BroserSeek oder W32/Krap.AON!tr erkannt. Betroffen sind alle Windows-Versionen ab Windows 95.

Untrügliches Zeichen für einen infizierten Rechner waren anfangs Einträge in der Registry wie folgender:

O4 - HKCU\..\Run: [avupdate] C:\Users\<BENUTZERNAME>\AppData\Roaming\jashla.exe     (ggf. auch mahmud.exe oder eloxor.exe bzw. neuerdings Zufallszahlen-Namen)

Die Malware erzeugt unter C:\Dokumente und Einstellungen\<Benutzerkonto>\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ mehrere Unterverzeichnisse mit zufälligen Namen (8 Zeichen).

Da der Umfang und die Art, in der diese Scareware ihren Start per Registry-Eintrag sicherstellt, enorm variiert, bringen die diversen Anleitungen für einzelne, ausgewählte (und meist veraltete) Varianten herzlich wenig. Die zurzeit noch verlässlichste Spur betrifft das Datum der Erstinfektion, das sich am Datumsstempel der folgenden beiden Ordner (sofern vorhanden) erkennen lässt:

C:\Users\<BENUTZERNAME>\AppData\Roaming\kock
C:\Users\<BENUTZERNAME>\AppData\Roaming\xmldm

Infektionsweg:
Der BKA-Trojaner wird über scheinbar völlig harmlose Seiten verbreitet. Die Infektion erfolgt dabei durch sogenannte Drive-By-Downloads, die auf derart präparierten Webseiten Sicherheitslücken in veralteten Browser-Plugins des Besuchers, insbesondere bei Java, ausnutzen. Die Malware wird so ohne Interaktion mit dem Opfer installiert. Weitere Verbreitungswege sind Mailanhänge bzw. HTML-Mails und Tauschbörsen. Des weiteren werden auch ein angeblich notwendiges Java-Update oder Flash-Plugin angeboten, das z.B. zum Betrachten von Webseiten-Inhalten benötigt wird. Java und andere Browser-Plugins sind ausschließlich direkt von den Seiten der Hersteller zu beziehen! Schon gar nicht werden sie zum Betrachten einfacher JPG-Bilder benötigt. Die kann jeder Browser ohne Plugins darstellen.

WarnungBedauerlicherweise kursieren im Netz diverse verantwortungslose Tipps zur raschen Entsperrung und vermeintlichen Entfernung des Schädlings, der sich in dutzenden Einträgen der Registrierdatenbank verewigt bzw. das System tiefgreifend manipuliert. Derartige Tipps behandeln jedoch nur die Symptome. Wie oben erwähnt, wird weitere Malware nachgeladen. Da niemand mit Bestimmtheit sagen kann, welche das im konkreten Einzelfall ist und was diese zusätzlich am System ändert oder ausspioniert, muss von einer kompletten Kompromittierung ausgegangen werden und das bedeutet unweigerlich das Neuaufsetzen des Systems von einer für Windows-Malware nicht anfälligen Linux-Live-CD. Anleitungen zur Nutzung dieser CD gibts u.a. im Chip-Forum.

Beispiele für mehrere Varianten des Schädlings

UCASH-MSbka01bka02bka03gema01
gvuransom_cryptransom_crypt2ransom_uk


Hinweis

Hinweis: Der Schädling wird nach wie vor nicht zuverlässig von Virenscannern erkannt, da immer wieder neue bzw. veränderte Versionen in Umlauf kommen. Ein gezieltes Löschen einzelner Dateien, sofern man überhaupt Zugriff auf das laufende, infizierte System erhält, ist nicht erfolgreich!

 

   
© Ullrich Eisenheim