DE | FR | IT

Aktualisierter BKA-Virus (Bundespolizei-Trojaner) lädt Kinderpornos auf den heimischen PC und sperrt abgesicherten Modus

21.05.2013 |  Von  |  Beitrag

Über den Bundespolizei-Trojaner in seinen verschiedenen Formen (auch die Schweizer Art davon) haben wir bereits hier berichtet. Zudem ist hier ein Blogbericht über neue Varianten des Bundespolizei-Trojaners.

Ob der eigene Rechner von einem solchen „Erpressungs-Trojaner“ befallen wurde (er gibt den Zugriff auf das eigene System erst nach Zahlung von 100 Euro mit dem UKASH-System frei), kann man im Vergleich mit den Screenshots sehen, die sich auf dieser Seite befinden.

Nun ist eine aktualisierte Variante (2013) erschienen, die zunächst auch den abgesicherten Modus des Computers sperrt. Aus Sicht der Entwickler eine rein logische Schlussfolgerung, war doch bis dato der abgesicherte Modus ein einfacher Weg, den Trojaner über die Systemwiederherstellung wieder loszuwerden. Im Test funktionierte der abgesicherte Modus jedoch exakt zwei Mal problemlos, die Systemwiederherstellung brach jedoch mit einem undefinierbaren, da nicht näher protokollierten Bluescreen (Windows 7) ab. Der nächste Schritt war der Griff zur Windows 7 – DVD, über die dann die Systemwiederherstellung nochmals gestartet wurde. Unheimlich: Auch hier gab es einen Fehler bei einer Speicher-Adressierung – die Systemwiederherstellung schlug fehl. Es kann jedoch nicht ausgeschlossen werden, dass es sich bei diesem Fehler um ein Rechner-spezifisches Problem handelte.

Bei der Recherche kam zutage, dass im Mai 2013 eine wiederum aktualisierte Version dieses Schädlings auf den Markt gebracht wurde, der befallene Opfer scheinbar zum ungewollten Täter macht: Im Nachgang lädt der BKA-Trojaner Kinderpornos auf den heimischen Computer. Es wird dann eine Warnmeldung ausgegeben, welche den Text „Sie sind im Besitz von Kinderpornographie“ anzeigt und tatsächlich vier kinderpornographische Bilder einblendet, die angeblich die minderjährigen Mädchen „Gabriela Nunez“, „Linda Green“, „Chin-Sun Kim“ und „Ashlee Stiller“ darstellen. Auch bei dieser neuen Version handelt es sich um sogenannte Ransomware.

Dafür werden diese Fotos aus dem Internet auf den Computer des Nutzers heruntergeladen. Da – zumindest in Deutschland – schon allein der Besitz von Kinderpornographie – unabhängig von der Art der Beschaffung – strafbar ist, stimmt die Kernaussage des Erpressers sogar: Der PC-Nutzer hat sich unfreiwillig strafbar gemacht.

Wie Sie die aktualisierte Form des Trojaners entfernen

Die nächsten Schritte führten jedoch ans Ziel und entsperrten den Rechner wieder (die ausführliche Anleitung ist direkt bei Kaspersky zu finden):

  1. Sie brauchen einen funktionierenden zweiten PC. Bitten Sie dazu jemanden um Hilfe.
  2. Ihr befallener Rechner muss von einem externen Datenträger gestartet werden. Wir empfehlen einen USB-Stick mit mindestens 500MB freiem Speicherplatz, den Sie jetzt bereithalten sollten.
  3. Laden Sie sich auf dem zweiten Rechner eine Image-Datei mit Kaspersky WindowsUnlocker herunter
  4. Brennen Sie diese ISO-Datei mithilfe eines Brennprogramms (z.B. ImgBurn) auf eine CD
    oder
    schreiben Sie die ISO-Datei auf einen USB-Datenträger:

    • Für die Erstellung eines USB-Sticks, der beim Rechner-Start gebootet werden kann, benötigen Sie ein Hilfsprogramm von Kaspersky: Hier herunterladen!
    • Erstellen Sie anschliessend mit der heruntergeladenen Datei (rescue2usb.exe) ihren USB-Stick (Bebilderte Anleitung hier)
  5. Zurück am befallenen Rechner: Legen Sie die CD ein bzw. stecken Sie den USB Stick ein und starten Sie Ihren Rechner vom eingelegten Medium (Dazu müssen Sie eine der Funktionstasten, meistens F8 oder F12 drücken, sobald Sie den Einschalt-Knopf betätigt haben).
  6. Sie erhalten dann nach kurzer Zeit folgendes Bild:

    krd_4470_1_de

    krd_4470_1_de


  • Drücken Sie innerhalb der nächsten 10 Sekunden ein Taste, da ansonsten der Rechner neu gestartet wird. Wählen Sie Ihre Landessprache aus und starten Sie den „Textmodus“ Folgen Sie dann der Vereinbarung und bestätigen Sie diese mit Druck auf die angezeigte Taste.
  • Im Textmodus drücken Sie die Taste
    F10
    . Hinweis: Durch Drücken dieser Taste verändert sich die Bildschirmansicht nicht. Sie befinden Sie jetzt dennoch im Programm Midnight Commander. Geben Sie nun bitte den Befehl windowsunlocker ein und drücken Sie Enter.


    kwu_6989_11_de

    kwu_6989_11_de


  • Nun startet die „Befreiung“ Ihres Rechners. Wenn die dann folgenden Ansicht  Informationen über erfolgreich ausgeführte Aktionen beinhaltet, wie z. B. Registrierung „/Pfad/“ wurde erfolgreich geöffnet und „/Pfad/“ – verdächtiger Eintrag „Wert“ gelöscht, hat das Programm seine Arbeit auf dem Computer erfolgreich erledigt.
  • Starten Sie dann Ihren Rechner wieder im abgesicherten Modus und führen Sie mit einem aktuellen Antivirus-Programm einen kompletten System-Scan durch. Dabei werden Überreste des Trojaners in der Regeln entfernt. Anschliessend können Sie den Rechner wiederum – diesmal im normalen Modus – starten.

Sollten Sie jemals erneut von dem BKA-Virus befallen werden, wiederholen Sie die Schritte 1-10. Wenn Sie bisher nur ein kostenloses Antiviren-Programm einsetzen, wäre ein Umstieg auf eine Premium-Variante eventuell ein besserer Schutz vor erneuten Angriffen. Leider kann man nicht behaupten, dass man dann vor Attacken dieser Art verschont bleibt. Geben Sie also Acht, nicht auf Webseiten zu surfen, die der Grau- oder gar Schwarz-Zone zuzuordnen sind.

Weiterer Tipp: Legen Sie auf einem externen Datenträger grundsätzlich ein Backup Ihrer wichtigen Dateien ab und halten Sie dieses aktuell, um im schlimmsten Fall nicht mit einem grossen Verlust leben zu müssen.

[xcatlist name="beitrag" numberposts=24 thumbnail=yes]