Der Bundespolizei-Ukash-Trojaner im neuen Kleid

thumb bka trojaner

Ein alter Bekannter, der Bundespolizei hat sich wieder einmal eingeschlichen. Er bekam ein neues Aussehen, wobei die linke Abbildung mit den Handschellen sofort ins Auge sticht. Beim Versuch die Seite zu schließen, wird über JavaScript ein Browserfenster mit dem Text “Ihr Browser hat gesperrt” geöffnet und ein Schließen ist nicht möglich. Sein Erzeuger dürfte mit Sicherheit kein Deutscher Hacker sein, da die vielen Schreibfehler eher auf einen Ausländer weisen. Was mich besonders amüsiert ist hier die Drohung mit einer Festnahme der Daten.

China lässt grüßen

In "botfrei Blog", einer Internetseite auf welcher Experten der Provider-Initiative informieren, erfuhr ich, dass es zwei Arten dieser Viren gibt. Sie sollen aus Peking in China kommen und die Domains sollen auf den Namen Zhong Si registriert sein.

Auf einmal war das Vieh da
Eine Webseite von Facebook machte mir das Geschenk. Meine erste Reaktion war der sog. Affengriff, um mit den Tasten [Strg] + [Alt] + [Entf] gleichzeitig gedrückt, den Browser, in meinem Fall den Firefox aus dem Task-Manager zu schmeißen. Und siehe da, es genügte, den Task zu beenden.

Leider war der Kamerad nach dem erneuten Start von Firefox wieder da, doch bei Wiederholung der Prozedur öffnete sich das Trostfenster: "Entschuldigung, das hätte nicht passieren dürfen". Hier wurden die Seiten der letzten Sitzung noch einmal aufgelistet und mit einem Häkchen versehen. Auch der der Bundespolizei-Spezi stand in der Liste. Nach Entfernen des Häkchens und "Wiederherstellen" beendeten den Spuk und die weiteren letzten Seiten öffneten sich erneut.

Sofort zum Absturzbericht
Um sofort zum Entschuldigungsfenster mit der Liste zu gelangen, öffnet man den Firefox am besten mit der rechten Maustasten in einem neuen privaten Fenster.

Dass diese Methode auf Anhieb funktionierte, zeigt, diese Version des Bundespolizei-Virus wurde recht dürftig gehalten. Laut Meinung anderer Betroffener, sollen bei diesem Exemplar nicht aktualisierte Plugins der Auslöser sein und nicht unbedingt Facebook. Der Wurm kann somit als harmlose Malware eingestuft werden, mit Javascript ausgestattet, will er lediglich die User ärgern.

Das Original ist wesentlich gefährlicher
Einige ältere Varianten des Bundespolizei Virus können nur durch eine Systemwiederherstellung entfernt werden, Dazu muss beim Start mehrmals die F8-Taste gedrückt werden, um den PC im "Abgesicherten Modus mit Eingabeaufforderung" zu starten. In die Eingabeaufforderung gibt man danach den Befehl "rstrui.exe" ein, womit der Wiederherstellungs-Assistent startet, sowie ein Wiederherstellungspunkt gewählt werden kann.

Wenn nichts mehr geht
Manchmal ist der Bundespolizei-Virus besonders dreist und sperrt sogar den Start im abgesicherten Modus. Hier hilft unter Windows 7 nur noch eine vorhandene Notfall-CD, die zuvor mit Windows über "Systemsteuerung/Sichern und Wiederherstellen/Systemdatenträger erstellen" angelegt wurde. Hat man dies versäumt, muss man die Windows-Installations-DVD starten und über den Windows Boot Manager "Windows Setup" ausführen. Statt "Windows installieren" wählt man nun "Computerreparaturoptionen", worauf Systemwiederherstellungsoptionen angeboten werden. Windows 10 bietet gegen derartige Störenfiede mit den bordeigenen "Microsoft Security Essentials" einem besseren Schutz und im Falle einer Infizierung auch einfachere Reparaturmaßnahmen.

Angesichts dieser Warnung, möge man mir meine Schreibfehler verzeihen!