AHCT Computerladen Blog

Das Foto ist schon vor einigen Wochen entstanden und ich hätte schwören können, dass ich es schon verbloggt habe – aber da hab ich mich wohl geirrt:

(draufklicken zum Vergrößern)

Es handelt sich hierbei um eine weitere Variante der “BKA-Malware”. Ich bin des spanischen nicht mächtig, möchte aber behauten, dass der Text ähnliche Anschuldigungen erhebt wie in der deutschen Version. Selbstverständlich ist auch hier die Zahlung der geforderten 100,-€ per Ukash oder paysafecard möglich, man möchte es den “Kunden” ja nicht allzu schwer machen. Dieses Design gefällt mir etwas besser, es ist etwas luftiger… Auch wurde natürlich das Logo der spanischen Polizei eingefügt, genau wie der Schriftzug “La policía ESPAÑOLA”.

Wie man sieht, haben die Programmierer derselben einigen Aufwand betrieben und sogar lokal angepasste Versionen geschrieben und veröffentlicht. Insgesamt kennen wir jetzt also bereits vier verschiedene Varianten: Die klassische BKA-Malware, die Variante mit dem Logo der Bundespolizei, “La policía ESPAÑOLA” und ganz frisch (und billiger! Nur 50,-€ “Strafe”): die GEMA-Malware.
Wer weiß, wie viele verschiedene “Frontends” noch für diesen nervigen Vertreter der Gattung “Malware” / “Scareware” im Umlauf oder in Produktion sind … ich denke, er wird uns noch eine Weile (auch hier im Blog) begleiten.

Hinweise, wie man das Ganze wieder los wird, finden sich in den Kommentaren des ersten Beitrags zum Thema im Blog. Wer nicht selbst Hand anlegen möchte, kann gern mit seinem PC oder Notebook bei uns vorbeikommen.

Kunde: “Hallo – ich glaube ich habe da einen Virus auf meinem PC. – Können Sie das bitte überprüfen?”

Ja, können wir. Wir können danach auch gleich die nicht infizierten Daten sichern und schließlich den Rechner frisch installieren. (Und die Antivirensoftware nicht vergessen…)

(draufklicken zum Vergrößern)

Erfolgreiche Software wird ja im Allgemeinen weiterentwickelt. Es gibt neue Versionen, manche Dinge werden verändert, manche Funktionen werden hinzugefügt.

Wenn das bei normaler Software so ist, warum sollte das dann bei Viren, Trojanern, Würmern, Malware, Scareware usw. nicht auch so sein?

Die allseits “beliebte” BKA-Malware gibt es jetzt jedenfalls in einer neuen Version! Und es hat sich nicht nur das Design ein wenig verändert (man beachte den schönen schwarz-rot-goldenen Streifen), die Schirmherrschaft wurde nun komplett von der Bundespolizei übernommen, keine Rede vom BKA mehr.

(draufklicken zum Vergrößern)

Damit nicht genug: neuerdings ist die Zahlung nicht mehr nur per (dem in Deutschland recht unbekannten) UKash möglich, sondern es wird nun auch endlich paysafecard unterstützt!

(draufklicken zum Vergrößern)

Leider konnten einige der wichtige Verbesserungen in diese Version noch nicht einfließen, der Korrektor hat wohl nach wie vor Urlaub:

(draufklicken zum Vergrößern)

Alle anderen Änderungen fanden eher “unter der Haube” statt: Die Software startet sich nun zum Beispiel nicht mehr, in dem der “Shell”-Wert in der Registry verändert wird, sondern ganz klassisch per Registry-Autostart (sogar wahlweise unter verschiedenen Namen wie zum Beispiel “UserSidebar.exe”, “Proxxy32.exe”, “runddl32.exe” und vielen mehr)!

Phishingmails von Banken gibt es ja schon lange. Oft sind sie recht leicht am schlechten deutsch zu erkennen oder der Empfänger ist überhaupt nicht bei dieser Bank.

Gestern erhielt ich das erste Mal eine solche E-Mail, die sich auf meine tatsächlich Bank bezog. Auch Ausdrucksweise und Rechtschreibung waren fehlerfrei.
Der Inhalt ergab ebenfalls durchaus Sinn -vor allem weil die Dresdner Bank und die Commerzbank vor wenigen Tagen Ihre Fusion vollendet haben. Zusätzlich gibt es momentan ja auch das kleine Problem mit den (Kreditkarten)Daten bei SONY … !

Die E-Mail war allerdings als SPAM markiert, der Link ging zu “http : // laurencewyllie . com / www . commerzbank . de / dispatch . do . htm” und der Browser blockierte die Seite auch gleich (Ich konnte mir auf meinen Testrechner einen Klick nicht verkneifen):

Der Text der E-Mail ist übrigens 1:1 von der Bankseite kopiert.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Betreff: — Spamwarnung — Commerzbank AG MasterCard® SecureCode? / Verified by Visa

Mehr Sicherheit beim Online-Shopping Damit das Einkaufen mit Ihrer Commerzbank Kreditkarte in Zukunft noch sicherer ist, gibt es ein neues Sicherheitsverfahren: den MasterCard® SecureCode” beziehungsweise Verified by Visa. Dadurch werden Ihre Kreditkartendaten vor unberechtigten Verfügungen geschützt, wenn Sie bei teilnehmenden Online-Händlern einkaufen.

“Jetzt registrieren” Klicken Sie einfach auf den Button “Jetzt registrieren”. Halten Sie Ihre Kreditkarte sowie Ihre letzte Kreditkartenabrechnung bereit.
Je nachdem, ob Sie eine MasterCard oder eine Visa Card besitzen, sehen Sie bei der Registrierung das jeweilige Logo:

Alternativ können Sie sich während Ihres nächsten Online-Einkaufs bei einem teilnehmenden Händler registrieren.

Commerzbank AG 2011
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Da hat es einen Kunden aber richtig böse erwischt! Das BKA hat die Kontrolle über seinen Computer übernommen.
Zum Glück muss er nur 100,- Euro Strafe zahlen, dann wird die Sperre des Computers wieder aufgehoben, ansonsten “wird Ihre Festplatte unwiderruflich formatiert gelöscht”.

Wir haben es hier im Computerladen in Frankfurt immer mal wieder mit alten bekannten zu tun. Entweder mit (Stamm-)Kunden, wiederkehrenden Fehlern (verschmutzte Kühler), oder – wie in diesem Fall – mit Viren.

In diesem Fall war das Fehlerbild des Kunden, dass nicht alle Webseiten erreichbar waren. Auch eine Neuinstallation des Systems wurde vom Kunden schon vorgenommen, hatte aber nicht den erhofften Erfolg gebracht.
Dieser zuletzt angesprochene Punkt hatte mich zwar kurzzeitig ins Grübeln gebracht, aber dann hatte ich ihn (dummerweise) nicht weiter beachtet.

Anfangs lief alles wie am Schnürchen. Gerät neu installiert, Zugriff auf alle Webseiten möglich. Dann testete ich den Internetzugang des Kunden, bei dem es sich um einen “Medionmobile”-UMTS-Stick handelte – und die Probleme begannen von neuem.

Schließlich kam mir endlich die Idee, das ich es mit einem Virus zu tun haben könnte – nur wie hatte der es auf das neue System geschafft?
Eigentlich einfach: über den UMTS-Stick!

Dieser hat nämlich (wie fast alle Geräte dieser Gattung) neben dem UMTS-Modem einen Flash-Speicher verbaut, auf dem der Treiber und die Zugangssoftware verfügbar ist. (Damit kann man sich dann das herumschleppen einer Treiber- / Software-CD sparen.)

Den Stick einmal an unseren Testrechner (mit aktuellem MSE) gesteckt: “tadaa”

(draufklicken zum Vergrößern)

Es handelte sich um den “Conficker“-Wurm, der selbst bei der Landesregierungen, Bundeswehr & co schon einiges an Schaden angerichtet hatte.

Glücklicherweise bietet unter anderem Microsoft ein Tool zur Entfernung des Wurms an (MSRT / Microsoft® Windows®-Tool zum Entfernen bösartiger Software), welches Conficker in allen bekannten Varianten restlos entfernen kann – dadurch blieb mir eine erneute Installation dann erspart.

Lange Rede, kurzer Sinn:
Immer schön Betriebssystem und Virenscanner aktuell halten!

Unter einem “Virus” fasst man umgangssprachlich alle Arten von Schadprogrammen zusammen. Sie sind ein großes Übel der digitalen Welt und finden sich mittlerweile sogar im Handy. Im besten Fall stören Sie den Betrieb des PCs, meist aber sind sie darauf ausgelegt, realen Schaden anzurichten (verleiten einen “Virenschutz” zu kaufen, spionieren Bank oder Zugangsdaten aus, dienen für Angriffe auf Server und Webseiten, … ).

Daher sollte ein sinnvoller Schutz vor Viren Pflicht sein!

Ob mit Schutz oder ohne – oft genug findet so ein Schädling trotzdem den Weg auf den PC. Ins solchen Fällen müssen Sie schnell reagieren. Entweder Sie verfügen über genug Kenntnisse, den Eindringling selbst wieder loszuwerden, oder Sie sollten sich sofort an einen Fachmann wenden.
Grundsätzlich gilt “Haben Sie erstmal einen Virus, dann kommen schnell mehr dazu!”

Auch wir können nicht 100% der befallenen Systeme zu 100% säubern – zumindest nicht mit vertretbaren Zeit- und Kostenaufwand! In solchen Fällen hilft dann eine Datensicherung mit anschließender Neuinstallation.

Unser Tipp für einen kostenlosen Virenscanner auf einem Windows-PC:
Microsoft Security Essentials

 Loading ...

Apple-Geräte wie iPad oder iPhone können aufgrund von Sicherheitslücken im Betriebssystem “iOS” bereits durch den Besuch verseuchter Internetseiten mit Schadcode infiziert werden. So langsam muss sich damit wohl auch der Apple-Fan eingestehen, dass selbst in Cupertino Fehler gemacht werden und man ohne einen Virenschutz inzwischen auch mit einem Apple nicht mehr unbedingt sicher surfen kann …

Quelle & mehr: CRN.de

Inspiriert von einem Beitrag des Computerfuzzis fiel mir noch folgende Geschichte ein, die schon eine Weile her ist:

Ein Kunde von uns hatte Viren auf dem PC und wir haben sie entfernt bzw. das System neu installiert.

Monate später wurde ich zur Polizei gebeten, um eine Aussage zu machen. Der Kunde hatte Anzeige gegen Unbekannt erstattet, da er sich überwacht und ausspioniert fühlte. Als einen Beweis gab er der Polizei auch unsere Rechnung.

Bei der Kripo gab es bereits eine ganze Akte mit vielen Fotos. So – zum Beispiel - ein verdächtiges Stück Metall am Balkon der Nachbarn – das musste eine WLAN Spionage Antenne sein!! Und dann liefen da immer Jugendliche mit Handys vorm Haus rum. Und am Stromzählerkasten ist sein Zähler der Einzige, der nicht beschriftet ist und er klickt immer so komisch. Es gab noch mehr “Beweise” in der Art.

Insgesamt war ich über eine Stunde da, redete mit den Polizisten, schaute mir das Beweisstück “PC” an und gab ein paar PC / Hardwaretipps (einer der Beamten ist auch Kunde von uns )

Die Beamten MUSSTEN dem “Fall” nachgehen, die Begeisterung könnt ihr Euch vorstellen …

Aus einer Mail von einem Kunden:

Pack ich gerade ne externe WD Platte aus… nagelneu und verschweißt … schließ die an und es kommt diese Meldung o_O

Versucht WD da heimlich, Conficker Konkurrenz zu machen?

Heute morgen hatte ich einige Nachrichten von Kunden / Bekannten in meinem Messenger.
MSN hat sich selbständig gemacht und diese Nachricht verschickt:

“u gotta check this! Go here: http://>name des Opfers<-cool-4u2.com”

Jemand hat meinen MSN Account gehackt. Das Problem lässt sich lösen, indem man ein neues Passwort vergibt. Hier der Link:

http://messenger.live.de/Hilfe-Support/Tutorials/Sicherheit.aspx?ci=kennwort_aendern&n=48_M_a_search_top

Im ersten Moment war der Fehler klar. Laut Kundenaussage wurde der PC immer langsamer und einige Meldungen von Trojanern erschienen ab und zu auf dem Desktop. Der Verdacht lag also nahe, dass es sich “nur” um ein virenverseuchtes System handelt. Da half auch nicht, dass der Kunde selbst einen Norton 2006 CD installierte. Ganz im Gegenteil, das System wurde danach noch langsamer.

In solchen Fällen probieren wir zuerst, die Störenfriede zu entfernen. Sollte dies nicht gelingen bzw. zu aufwendig werden, empfehlen wir dem Kunden eine Neuinstallation.

Beim ersten Test in der Werkstatt stellte ich eine extreme “Lahmheit” (vor allem beim runterfahren) fest, konnte aber auf den ersten Blick nichts von Trojanern oder Viren sehen. Also öffnete ich das immernoch versiegelte FSC Gehäuse.

Lassen wir die Bilder sprechen:

(draufklicken zum Vergrößern)

So kann ein PC nach ca. 3 bis 4 Jahren aussehen. Da immernoch das FSC Siegel dran war, gehe ich davon aus, dass das Gerät noch nie geöffnet oder gar gereinigt wurde.