BKA Trojaner

[Slay0r]

Hallo,

gestern war es wieder soweit, meine Freundin hat sich den BKA Trojaner auf dem PC eingefangen.

Nun frage ich mich, wie dieser Trojaner es schafft sich alleine auf den PC zu setzen. (Sie war am surfen auf Video streaming Portalen)

Beim klicken auf einem Link, hat sich die gewünschte Seite geöffnet, allerdings tauchte auf der Seite kurz ein Pop-up auf, welches aber sofort wieder verschwand und nach kurzer Zeit war der PC gesperrt, welcher mittlerweile aber wieder befreit ist.

Wie ist so ein Schadcode aufgebaut? Welche Sicherheitslücke nutzt der Code?
Leider konnte ich nicht zurück verfolgen welche Seite es war, sonst hätte ich den Link auf einer Virtuellen Maschine geöffnet und mir mal den Quelltext angeschaut.

Wikipedia erklärt das schon ganz gut, geht mir allerdings zu wenig in die Tiefe, ich hätte gerne Code-Beispiele gesehen oder eine genaue Funktionsbeschreibung.

Wie der Trojaner selber arbeitet interessiert mich nicht, ich möchte nur wissen, wie er sich alleine ausführen kann durch den Aufruf einer Internetseite.


mfg

 

[DerW]

Hallo,

vieles an Massenschadware wird heutzutage über Exploit Kits wie Blackhole verbreitet. Die sind im Grunde so aufgebaut, dass sie erst überprüfen, was für Software man an deinem Rechner aus dem Web ansprechen kann und anschließend wenn sie eine finden, die bekannte Lücken hat, diese ausnutzen.
Für die Lücken kannst du eigentlich jede beliebige Fachseite anschauen oder dir kurz was mit dem Metasploit Framework einrichten.
Manche dieser Exploit Kits bieten sogar Lücken an, für die es noch keinen öffentlichen Patch gibt, was es natürlich etwas schwieriger macht, den Browser abzusichern, wenn man nicht auf Komfort verzichten möchte (in diesem konkreten Fall wäre das: Java im Browser deaktivieren).

Edit: Kurz zur Ergänzung, das Prinzip nennt sich übrigens Drive by Download.

 

[jKing]

Richtig, so funktioniert das ganze

Der Rechner des potenziellen Opfers wird analysiert (Browser-Version, Betriebssystem, Browser-Erweiterungen, Aktive Inhalte). Findet das Script beispielsweise eine alte Java Version, lädt es einen dazu passenden Exploit. In den meisten Fällen bekommt man als Computernutzer nichts davon mit.

 

[Slay0r]

Das reicht mir an Informationen. Wunderlich ist nur, dass Google Chrome frisch installiert war, aber ich werde nun noscript und adblock installieren.

Und mit den Begriffen die ihr mir genannt habt, finde ich sicherlich noch genug im Internet zu dem Thema.

Allerdings sind einige Fotos verschlüsselt nun, scheint wohl so ein
Ransomware gewesen zu sein...

Morgen probiere ich

Trojan-Ransom.Win32.Rector von kaspersky
&
Dr._Web_Trojan.Encoder.94_Decryptor_d7716 (te94decrypt)

aus, ob diese helfen. Falls noch jemand andere Tools zum decrypten kennt, wär ich euch Dankbar.


mfg

 

[DerW]

Am besten ist es natürlich immer, wenn du weißt, wie die Ransomware heißt, die deine Fotos verschlüsselt hat. Verschiedene Programme benutzen (teilweise) verschiedene Algorithmen, die man dann natürlich auch unterschiedlich wieder umkehren kann, um die Originaldateien herzustellen.
Wenn du die Datei also irgendwie wiederfinden kannst, lad sie mal bei VirusTotal hoch und schau nach den bekannten Namen. Anschließend kannst du dann einfach nach dem Namen + "Decrypter" suchen und mit etwas Glück wirst du fündig.
Der beste Schutz ist dabei aber wirklich, was jKing am Ende geschrieben hat: Ein regelmäßiges Backup. Je nach verwendetem Algorithmus ist es nämlich unmöglich, deine Daten in akzeptabler Zeit/mit akzeptablem Aufwand wieder herzustellen, wenn du nicht gerade durch Zufall das Passwort abfangen konntest.