Der Verschlüsselungs-Trojaner

Kürzlich rief mich ein Bekannter an, dass er ein Problem mit seinem Computer hat. Etwas kleinlaut gestand er, einen Dateianhang einer Mail, der als Rechnung getarnt war, geöffnet zu haben, und nun könne er den Computer nicht mehr benutzen. Hilfsbereit (und auch neugierig) wie ich bin, bat ich ihn, den Computer einzupacken und bei mir vorbeizubringen, damit ich mir das Problem mal aus der Nähe angucken kann. Am darauf folgenden Tag stand er auch schon vor der Tür, und ich konnte mich des Problems annehmen. Nach dem Einschalten des Rechners hat sich mein Verdacht bestätigt:

Windows Update-Trojaner

Einer der momentan grassierenden Verschlüsselungs-Trojaner (Dateien werden verschlüsselt, und nach Eingabe eines Codes, den man nach Zahlung von x Euro mittels Ukash/Paysafe erhält, werden die Dateien wieder entschlüsselt), die dank entsprechender Logos einen offiziellen Touch haben, siehe http://www.bka-trojaner.de/ .

[Nachtrag: Da ein kompromittierter Rechner nicht mehr wirklich vertrauenswürdig ist, habe ich meinem Bekannten natürlich noch empfohlen, nach einer Datensicherung erstmal das komplette System neu aufzusetzen und entsprechend abzusichern, damit so etwas nicht nochmal passiert.]

Zur Analyse:
Natürlich ist es ratsam, den Trojaner nicht auf einem Produktivsystem zu installieren, eine virtuelle Maschine erfüllt genauso ihren Zweck, und ist im Bedarfsfall innerhalb weniger Sekunden von der Platte gefegt. Was genau macht also der Trojaner? Zeit, dem kleinen Drecksack mit Wireshark auf den digitalen Zahn zu fühlen – nach dem Ausführen der .EXE-Datei, die sich als PDF-Datei ausgibt, löscht diese sich erstmal von selbst. Wireshark selbst registriert jede Menge Traffic, der augenscheinlich nur vom Trojaner stammen kann, eine Auswertung der Logs förderte vier interessante bzw. dubiose DNS-Requests zu Tage:

HORAD-FO.COM
HORAD-FORUM.COM
SPATBE-WEB.COM
QOA-ACC.COM

Laut WHOIS sind alle Domains auf den selben Besitzer (der, anstatt seinen richtigen Namen anzugeben, anscheinend eine Katze über die Tastatur laufen liess) in China registriert.

[Nachtrag 2: Der Trojaner hat die Dateien im Benutzerverzeichnis intakt gelassen, sich dafür aber an der zweiten Partition und der externen Festplatte schadlos gehalten, wie ich heute erfahren habe. Da stehen mir noch einige stressige Tage bevor *seufz*]

5. Mai, 2012 - Posted by Oliver | Trojaner und Viren

Du hast noch keine Kommentare.

Hinterlasse einen Kommentar Antwort abbrechen

| weiter »

Suche nach:
Kalender

Mai 2012

M D M D F S S

1 2 3 4 5 6

7 8 9 10 11 12 13

14 15 16 17 18 19 20

21 22 23 24 25 26 27

28 29 30 31

Jun »
Aktuelle Beiträge
Archiv
Meta

Mai 2012
M	D	M	D	F	S	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Kategorien
- Browser
- Spam
- Technik
- Tierisches
- Trojaner und Viren
- WTF?

Der tägliche IT-Wahnsinn