Neue Bedrohung durch Trojaner Ukash-BKA
Lesen Sie in nachfolgendem Beitrag einige Informationen über eine neue Bedrohung namens „Ukash BKA„, die sich in diesen Tagen (Mai 2011) erstaunlich schnell verbreitet und zu etlichen Verwirrungen führt. Insbesondere, da dieser Trojaner eben nicht nur sehr hartnäckig die befallenen Rechner blockiert, sondern auch der Umstand, dass es sehr unterschiedliche Aussagen über dessen Entfernbarkeit gibt.
Aus gegebenem Anlass, heute wieder mal einen Hinweis, von dem ich jedem Leser nur wünschen kann, dass er ihn nicht als Betroffener hiernach gesucht hat, aber für diesen Fall zumindest und –auch entgegen einiger Behauptungen in div. Foren– es doch eine Lösung gibt, bei der Sie nichtgleich den ganzen Rechner löschen müssen.
Ich rede dabei von einem Trojaner namens UKash BKA der sich nach dem Muster einer räuberischen Erpressung mit gezieltem Anspruch auf Bezahlung an den Besitzer wendet und die Behauptung aufstellt, dass erst eine Geldanweisung von 100,oo €uro den befallenen PC wieder freigeben würde. Ganz besonders frech ist hier der Eindruck, dass es sich um eine offizielle Meldung des Bundeskriminalamtes handeln würde und die Adresse für Rückfragen auch noch mit ukash_at_bundeskriminalamtes.org angegeben wird.
Doch schauen wir uns kurz die Fakten an: Bis zum heutigen Tage (Dienstag, der 10.Mai) gibt es noch immer erschreckend viele Antivirus- und Sicherheitsprogramme, die einen Befall des Rechners nicht verhindern, oder auch nur anzeigen würden. Ob dies auch für ihre Sicherheitssoftware zutrifft, können Sie unter anderem bei VIRUSTOTAL.COM nachlesen! Demnach –und mit Stand vom heutigen 10.Mai 2011– immerhin „gerade mal“ 27 der 40 meistgenutzten Sicherheitsprogramm den UKash BKA erkennen können. Um nun überprüfen zu können, ob auch ihre AV-Software sie schützt, können Sie entweder in dieser Liste nachsehen ab welcher Version dies der Fall ist, oder auch direkt bei dessen Hersteller anfragen.
Da ich selbst auf den meisten Systemen, die von mir betreut oder begleitet werden, den aVast von alwill einsetze, habe ich dort mal im Ticket-Center angefragt und die Nachricht erhalten, dass aVast diese Malware wohl erkennt und weiß auch mittlerweile aus anderer Erfahrung, dass ein Ausbruch nicht nur erkannt, sondern auch verhindert wird.
Doch um auch zum guten Teil der Nachricht zu kommen: die leider in gleichmehreren Foren vertretene Meinung, dass hier nur ein Neuaufbau des Rechners noch helfen würde, stimmt so nicht! Wie der Blogbetreiber Steven K. in seinem Beitrag XyliBox: Trojan.Ransom Fake Federal German Police BKA notice. auf seinem Blog erklärt, kann man das Ding durchaus abschalten!
Da Beitrag, wie Erklärung in englisch sind, hier eine rasche Übersetzung dessen:
- Starte deinen Rechner neu
- Bevor dein Windows System den s.g. „splash screen“ zeigen kann (also dort, wo auf schwarzem Hintergrund Windows Fahne, Logo, oder der XP-Kasten steht), drücke auf die F8 Taste und wechsle in „Erweiterte Optionsmenü“ von Windows, wo du dann den „Abgesicherter Modus mit Command Prompt“ auswählen musst.
- Gebe dann ‚regedit‚ in das Konsolen-Prompt ein und gehe an folgende Stelle:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Find dort den Schlüssel ‚Shell‚ und ersetze den dort eingetragenen Wert auf ‚explorer.exe‚
- Starte deinen PC neu.
Wer hier noch Unsicherheiten hat, der findet auf der zuvor verlinktem XyliBox-Seite einen YouTube-Film der nicht nur eingangs den Virusbefall zeigt, sondern auch ab 1 Minute und 8 Sekunden eine Aufzeichnung der hier beschriebenen Entfernung über die Registry – ist wirklich kein Hexenwerk.
Ein Hinweis zum Schluss noch: diese Beschreibung entfernt nicht den eigentlichen Virus! Im Film wird aber an der Stelle ab 2 Minuten und 21 Sekunden gezeigt, dass der Verfasser auch noch den vorherigen Eintrag in besagtem Registry-Wert bei ‚Shell‚ in die Zwischenablage kopiert und anschliessend –also noch im abgesicherten Modus– dann auch die dort aufgerufene Datei von seinem Rechner löscht.
Ich hoffe damit dem ein, oder anderen geholfen zu haben und wünsche allseits einen sicheren, unterhaltsamen und informativen Aufenthalt in den Wirren des Wordwide Web 😉
FCR's News- & Info Blog 
just want to say thank you very much for this information; fix need only 5 min, der_maxe
LikeLike
Nice to hear it! Those fast solutions are welcomed and simply nice, isn’t it?!
LikeLike
Hallo!
im Notebook habe dem trojaner erwischt .
Habe alles gemacht wie ihr es beschrieben habt, bis dem punkt schlüssel „shell“
bei mir steht aber schon „explorer.exe“ drin.
weis jetzt nicht weiter.
Bitte um hilfe
LikeLike
Ups, und schon habe ich deinen Eintrag um glatte 6 Tage zu spät gesehen. Doch sieh es mir bitte nach, es sind ausgesprochen anstrengende und belastende Zeiten in unserem Haus ausgebrochen 😉
Um nun aber auf deine Frage doch noch einzugehen:
Grundsätzlich, sollte es dann damit gewesen sein, zumindest im Rahmen dessen, wie die Lösung hier besprochen wurde. Die Kernfrage ist also, was passierte denn nach einem Neustart? Besserung, Veränderung, oder nur verzögertes, wiederausbrechen?
Möglicherweise verweist die bei dir eingetragene „explorer.exe“ ja noch auf einen anderen Pfad (dann stünde in der explorer.exe-Zeile noch etwas davor, meist mit einem BackSlash „\“ (also ein umgedrehter Schrägstrich) vor dem Programmnamen.
Eine andere mögliche, denkbare Variante wäre, dass die Explorer.exe in deinem Systempfad einen abgekriegt hat- Hier reichen die Thesen von einer beschädigten, über die veränderte, bis hin zur ersetzten Version. Dann wäre die erste Frage nach dem Betriebssystem und dem genauen Release-Stand. Im Internet kann man dann nachsuchen, wie groß sie dann in deinem Fall sein müsste, wo sie genau liegt und welche Datumsangaben (Erstellt am, etc.) sie haben sollte. Möglicherweise ist dir dann ja schon geholfen, wenn du ´die ganze Prozedere nochmals durch gehst und schaust, ob es noch immer die reine Angabe der explorer.exe ist, die an dieser Stelle steht und wenn nein, dann ändern und bei ja, dann ERST eine andere (z.B. von einem ähnlichem Rechner) die explorer.exe dann erst einmal austauschen.
Mittlerweile hörte ich aber auch schon, dass es die ersten abgewandelten Versionen geben soll, die sich auf unterschiedlichste Weise ins System einklinken können. Hier greift ein grundsätzlich wertvoller Rat für jede Form des Virenverdachtes – die Start- und Autostart- Funktionen. Du findest im Internet tausende gute Beschreibungen, wie man die findet, prüft und versuchsweise alles mal rausnimmt um dann einzeln einzustarten, hinzuschalten und abzuwarten ab wann die Probleme wieder anfangen. AdHoc fallen mir da die Ordner Autostart aus den Foldern „Pubilc\Startmenu\“ und „Benutzername\Startmenu\“. Dort kommst du am schnellsten hin, wenn du via Windows-Fahnentaste dein Windows-Ball (oder Menü) aufklappst, dir dort den Ordnern „Autostart“ suchst und mit deiner rechten Maustaste anklickst – für das Kontaxt-Menü. Hier werden dir beide Ordner (Pubil und akt.Username) als „Explorer“, bzw. „Explorer – alle Benutzer“ angeboten. Beide der Reihe nach öffnen und dann mal genauer schauen, was da an Programmen und Icons liegt. Im Zweifelsfall einfach mal zeitweise alles in einen Ordner auf den Desktop verscchieben und sehen, was du davon wirklich vrauchst – also via Google suchen, oder selber testen.
Eine weitere simple Quelle für eingegrabene Start-Programme liegt in der Registry, wo es auch zwei Areale gibt, in denen User und LocalMachine den Benutzer und Alle abtrennen – auch hier „Autostart registry“ googlen und evtl. noch dein Win-OS angeben – z.B. Win XP, oder Win7/64. Auch hier gilt gucken, erkennen, aufräumen.
Dann ist noch eine häufige Quelle für erneute Selbstausbrüche – deine Internet-Browser (also vom Win-IE, bis Firefox und Co.): überprüfe dort mal die AddOn’s und AddIns – und zwar für alle installierten Browser. In einigen Bedrohungen hinterlegt sich hier ein Virus immer gerne mal eine kleine Routine, die schnell nachlädt, was eben noch von Hand entfernt wurde und so ein System dann immer wieder infiziert.
Gleiches Thema, ähnlicher Grundgedanke: Die Systemdienste! Je nach OS solltest du mal STRG- & Alt- und DEL- Taste drücken und dir im Taskmanager alles rausnehmen, was nicht zuzuweisen ist (auch hier ist Google ein guter Begleiter). In Erfahrung bringen, was das namentliche Programm macht, ob es gewollt ist und im Zweifelsfall mal auf deaktivieren stellen. Wie man diese Dienste in der Konsole steuert, autostartet, oder deaktiviert, findet man auch an tausend Stellen sehr gut beschrieben. Allerdings solltest du dir bei allen Schritten gut mitnotieren, was du da verschiebst, löschst, oder verstellst – wenn man sich nicht sicher ist (und genau darauf zielen die Entwickler von Viren ab) hat man auch schnell so eine Kiste mal richtig an die Wand genagelt und hängt ’ne ganze Weile am Wiederherstellen.
Es tut mir leid, wenn ich zunächst keine bessere Antwort habe, aber es sind zumindest schon mal einige interessante und in Frage kommende Ansätze dabei – ob du nun damit klar kommst?! Wir werden sehen. Grundsätzlich sollte man sich schon im Klaren darüber sein, ab wann man sich nur noch die Daten retten und einfach neu aufspielen sollte. Fast jeden Monat erscheint irgendeine Computer-CD mit der du deinen Rechner am infizierten System vprbei starten kannst und mittels USB-Platte rasch die Daten, Bilder, Musik und Dokumenten-Dateien heruntergesichert. Wie und was das im Einzelnen sein muss, würde hier den Rahmen sprengen, aber wenn du magst, dann melde dich mal via Twitter, Facebook, oder auch telefonisch und wir reden mal über den ein, oder anderen Effekt bei dir und was ich da machen würde, okay?! Name, Rufnummern und eMailadresse findest du auf meiner virtuellen Visitenkarte unter http://www.r-quadrat.info
Dir viel Erfolg und alles gute…
LikeLike
Perfekt!! Ich danke dir!
Ich wollte schon relativ aufwändig die Platte ausbauen und von einem anderem System aus reparieren.
Du hast mir eine menge Zeit und Nerven erspart 🙂
LikeLike