Sicherheit

Das bösartige Schadprogramm „BKA-Trojaner“

Betroffenen werden Verfehlungen vorgegaukelt

Auf dem visuellen Element (Pop-up) sind nach der Infektion Vermerke wie „Ihr Computer ist gesperrt“ zu lesen. Als Grund für diese Maßnahme wird u.a. der Besuch von Webseiten „mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder“, der Download anderer Gewalt verherrlichender Inhalte oder das Vorhalten von „Spam mit terroristischen Hintergründen“ angegeben.

Eine andere Trojaner-Variante spiegelt vor, dass „auf Ihrem Computer illegal heruntergeladene Medien (Raubkopien) gefunden“ oder Lizenzverstöße festgestellt wurden. Als angebliche Absender sind dann das BSI, die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU), die GEMA oder die Antipiraterie-Abteilung von Microsoft genannt.

Die Methodik der Erpressung

Gemeinsamer Tenor aller Pop-up-Texte: Gegen ein „Bußgeld“ von 50 bis 100 Euro könne der PC wieder freigeschaltet werden. Widrigenfalls werde Anzeige erstattet. Als Überweisungssysteme werden Ukash und Paysafecard genannt. Dabei handelt es sich um elektronische Zahlungsmittel nach dem Prepaid-System. Internetkriminelle und Geldwäscher machen in zunehmendem Maße missbräuchlich von dieser Zahlungsmethode Gebrauch, weil sich der Weg des Geldes kaum nachverfolgen lässt. Je Karte ist die Höchstsumme ohne Vorlegen des Personalausweises qua Gesetz auf 100 Euro festgelegt, sonst würden die Kriminellen ganz sicher mehr verlangen. Neuerdings arbeiten die Internetkriminellen aber auch mit teuren Mehrwertdienstrufnummern oder ebenso teuren SMS.

Mit aus dem Internet kopierten Logos, beispielsweise des BKA oder der Bundespolizei, wird der behördliche Charakter der angeblichen Mitteilung in den Pop-ups untermauert. Von offizieller Seite heißt es dazu: „Weder das Bundeskriminalamt noch die Bundespolizei sind Urheber einer solchen Meldung. In dem vorliegenden Fall handelt es sich um einen Betrugsversuch. Die Polizeien in Deutschland nutzen in keinem Fall Pop-Up-Fenster, in denen zur Zahlung bestimmter Beträge aufgefordert wird.“ Auch die in London ansässige Prepaid Services Company Ltd. weist darauf hin: „paysafecard wird aktuell weder vom BKA, von der GVU, Anwälten, der Gema oder Gerichten als Zahlungsmittel genutzt“.

Zahlung des erpressten Betrages ist wirkungslos

Zudem nützt die Zahlung rein gar nichts. „Nach den bisher vorliegenden Erkenntnissen erfolgt auch nach Zahlung des geforderten Betrags keine ‚Freischaltung‘ des Rechners“, teilt das Landeskriminalamt Niedersachsen mit. In einigen dokumentierten Fällen wurden auch weitere Erpressungsbeträge gefordert. Grundsätzlich gilt daher:


  • Zahlen Sie auf keinen Fall!


Dieser Tipp ist nicht immer leicht umzusetzen, denn die Kriminellen geben sich alle Mühe, den betroffenen PC-Nutzer in Angst zu versetzen. So werden in der Pop-up-Meldung häufig die IP-Adresse und der Computername eingeblendet. Eine neue Version des „BKA-Trojaners“ treibt die Verunsicherung auf die Spitze. Auf dem Pop-up wird ein Live-Bild der Webcam, also evtl. auch ein Konterfei des davor Sitzenden, gezeigt. „Der betroffene Anwender soll auch hier eingeschüchtert werden und zu einer Strafzahlung von 100 € bewegt werden, um den Computer wieder ‚freizugeben‘ “, konstatiert das Anti-Botnetz-Beratungszentrum von eco (Verband der deutschen Internetwirtschaft e.V.)

Trojaner verbreitet sich auch über seriöse Webseiten

Der Trojaner verbreitet sich nicht nur über Webseiten pornographischen Inhalts. Auch bei Besuch seriöser Webseiten kann man sich das Schadprogramm einfangen. Eine Vielzahl solcher ganz normaler Sites wird von Hackern gezielt manipuliert, indem in iFrames/Werbebanner etc. versteckte bösartige Inhalte eingebettet wurden.

Das Prinzip des Drive-by-Downloads

Der Trojaner arbeitet nach dem Prinzip des Drive-by-Downloads. Dies bedeutet, dass bereits durch einfaches Öffnen der Internetseite ein Download ausgelöst wird, ohne dass der Nutzer dies bemerkt. Eine beliebte weitere Übertragungsmethode ist nach wie vor das Zusenden einer Mail mit einem verseuchten Anhangs bzw. eines Links auf eine manipulierte Webseite

„Verschlüsselungstrojaner“ als neue Variante

Doch es gibt es noch eine tückischere Variante, den „Verschlüsselungstrojaner“, wie das BSI berichtet. Im diesem Fall werden die Betroffenen per „Sperrbildschirm“ aufgefordert, ein kostenpflichtiges Update zu installieren, das angeblich vor Datenverlusten bewahren soll. „Die neueste Variante der Schadsoftware, der sog. Windows-Verschlüsselungs-Trojaner, wird bundesweit über Spam-Mails verbreitet.

Die angeschriebenen Personen werden z.B. im Namen einer Staatsanwaltschaft dazu verleitet, die beigefügten Anhänge zu öffnen. Doch schon beim Öffnen des Anhangs wird der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung, in der Regel 100 € per Paysafecard oder 50 € per Ukash, wird die Sperrung nicht aufgehoben. Vielmehr sind sämtliche Dateien auf dem PC so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD („Rescue Disk“) nur teilweise erfolgreich ist.“







Praxishinweise


  • Es gibt eine Vielzahl von Varianten der BKA-Trojaner. Prüfen Sie also zunächst mithilfe der Webseite http://bka-trojaner.de/ auf einem sauberen Rechner (Notebook, PC), um welche Version es sich handelt. Auf der genannten Webseite sind die unterschiedlichen Versionen und die Bereinigungsmöglichkeiten dargestellt. Noch nicht aufgelistete Schadprogramme werden in einem Support-Forum behandelt.

  • Zur Prävention: Der BKA-Trojaner dringt durch Schwachstellen in Ihr System ein. Nehmen Sie regelmäßige Sicherheitsupdates (Backups) des Systems und des Datenbestands vor, um im Fall einer Infektion mit Schadsoftware keine Daten zu verlieren. Auch Anwendungsprogramme (z.B. Webbrowser, Office-Programme, Adobe Reader, Java, Flash Player, Media Player u.a.) sollten regelmäßig aktualisiert werden.

  • Wichtig sind auch ständige Updates der Antivirenprogramme. Auch ständig aktualisierte Virenscanner ganz neu in Umlauf gebrachter Varianten sind nicht immer zu erkennen. Kostenlose Programme sind im Übrigen selten das Mittel der Wahl.

  • Verwenden Sie eine Notfall-CD in Kombination mit einem Windows-Unlocker, wie z.B. von der Softwarefirma Kaspersky angeboten.

  • Richten Sie einen Gastzugang ein. Dieser kann oft auch nach Trojanerbefall noch aktiviert werden. Mit Glück lässt sich dann der Virenscanner starten, der das bösartige Programm evtl. entfernen kann.


Für den Verschlüsselungstrojaner gelten laut BS folgende Schutzempfehlungen:

  • Öffnen Sie niemals ungeprüft Dateianhänge. Ganz gleich, ob es sich um scheinbar ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien handelt: Fragen Sie beim Absender nach.

  • Virenbehaftete E-Mails verraten sich durch eine leere oder neugierig machende Betreffzeile. Seien Sie misstrauisch, wenn Sie E-Mails mit fremdsprachigem Betreff erhalten. Wenn Sie solche E-Mails unaufgefordert erhalten, sollten Sie diese sofort löschen.

  • Vermeiden Sie es, auf Links in unaufgefordert zugesandten E-Mails zu klicken. Diese leiten oft auf infizierte Webseiten; rufen Sie diese auf, können Sie Ihren Rechner bereits mit Schadsoftware infizieren. Geben Sie die gewünschte Internetadresse per Hand ein.

  • Beim Verschlüsselungstrojaner kann eine Bereinigung nicht im Do-it-yourself-Verfahren, sondern nur von einem Fachmann vorgenommen werden. Auch ein Experte kann die verlorenen Daten meist nicht mehr vollständig wieder herstellen.