Angeblich kommt er vom BKA und er versucht, seine Opfer zu Erpressen…
Die Rede ist vom Trojaner UKASH, benannt nach dem Bezahlservice Ukash, den die Erpresser nutzen, um an ihr Geld zu kommen..
Sobald man sich diesen Trojaner eingefangen hat, meldet er sich mit seiner Erpressung. Dabei behauptet ein Hinweisfenster, es handele sich um einen Virus des BKA und dieser habe illegale Daten, wie z.B. kinderpornographisches Material gefunden.
Aus diesem Grunde würde der Rechner nun gesperrt und wenn der Besitzer des PC nicht 100 Euro zahle, dann würde die Festplatte gelöscht.
Nach Expertenangaben nistet sich das Ding an etwa 30 Stellen im System ein und ist schwer zu entfernen.
Allerdings IST er zu entfernen und wie das geht, schildern das BSI und der Verband eco auf der Seite botfrei.de.
Dort sind 2 PDF-Dateien zu finden, die (für Experten und für Laien) Schritt für Schritt erklären, wie man den Trojaner los wird.
Außerdem findet sich dort eine Telefonnummer, die werktags Unterstützung bietet.
Eine weitere, private und recht ausführliche Anleitung findet ihr hier. Dort wird der Trojaner „Bundespolizei Virus“ genannt und jemand hat sich die Mühe gemacht, umfangreiches material dazu zusammenzutragen. Inklusive einer ISO-Datei zum Brennen einer CD, mit der man das System starten und reinigen kann.
Es kursiert eine virenverseuchte Mail, die vorgibt, aufgrund einer Durchsuchung des Rechners mit dem sogenannten Bundestrojaner illegale Daten aus Tauschbörsennutzung gefunden zu haben.
Betreff:
Aktenzeichen [57940995]
Aktenzeichen [08038143]
Onlinedurchsuchung NR-[90587231]
Aktenzeichen [zufällige Zahl]
Mailtext:
Sehr geehrter Internetnutzer,im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.
IP: 81.187.113.176
Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.
Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com
An der Mail befindet sich ein Anhang namens
nr-[57940995].zip (NR-[08038143].zip) (Die Zahl korrespondeirt immer mit der im Betreff)der wiederum die Datei „Aktenzeichen.exe“ beinhaltet (mit Icon einer PDF-Datei)
Antivir kennt ihm am 5.5.07 nicht… Während die Onlineversion einen Trojaner erkennt.Jotti sagt:
| Datei: |
Aktenzeichen.exe |
| Auslastung: |
|
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
–
|
| |
| A-Squared |
Keine Viren gefunden
|
| AntiVir |
TR/Dldr.iBill.AP gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Trojan.Fakebill-1 gefunden
|
| Dr.Web |
DLOADER.Trojan gefunden (mögliche Variante)
|
| F-Prot Antivirus |
W32/Downloader.gen2 gefunden
|
| F-Secure Anti-Virus |
Keine Viren gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.bm gefunden
|
| NOD32 |
a variant of Win32/TrojanDownloader.Nurech.BG gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| Rising Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Keine Viren gefunden
|
Virustotal sagt:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.5.4.0 |
05.04.2007 |
no virus found |
| AntiVir |
7.4.0.15 |
05.05.2007 |
TR/Dldr.iBill.AP |
| Authentium |
4.93.8 |
05.04.2007 |
W32/Downloader.gen2 |
| Avast |
4.7.997.0 |
05.05.2007 |
no virus found |
| AVG |
7.5.0.467 |
05.04.2007 |
no virus found |
| BitDefender |
7.2 |
05.05.2007 |
no virus found |
| CAT-QuickHeal |
9.00 |
05.05.2007 |
no virus found |
| ClamAV |
devel-20070416 |
05.05.2007 |
Trojan.Fakebill-1 |
| DrWeb |
4.33 |
05.04.2007 |
DLOADER.Trojan |
| eSafe |
7.0.15.0 |
05.03.2007 |
no virus found |
| eTrust-Vet |
30.7.3614 |
05.04.2007 |
no virus found |
| Ewido |
4.0 |
05.05.2007 |
no virus found |
| FileAdvisor |
1 |
05.05.2007 |
no virus found |
| Fortinet |
2.85.0.0 |
05.05.2007 |
no virus found |
| F-Prot |
4.3.2.48 |
05.04.2007 |
W32/Downloader.gen2 |
| F-Secure |
6.70.13030.0 |
05.05.2007 |
no virus found |
| Ikarus |
T3.1.1.7 |
05.05.2007 |
no virus found |
| Kaspersky |
4.0.2.24 |
05.05.2007 |
Trojan-Downloader.Win32.Nurech.bm |
| McAfee |
5024 |
05.04.2007 |
no virus found |
| Microsoft |
1.2503 |
05.05.2007 |
TrojanDownloader:Win32/Nurech.gen!B |
| NOD32v2 |
2242 |
05.05.2007 |
a variant of Win32/TrojanDownloader.Nurech.BG |
| Norman |
5.80.02 |
05.04.2007 |
no virus found |
| Panda |
9.0.0.4 |
05.04.2007 |
Suspicious file |
| Prevx1 |
V2 |
05.05.2007 |
no virus found |
| Sophos |
4.17.0 |
05.04.2007 |
Mal/Behav-105 |
| Sunbelt |
2.2.907.0 |
05.05.2007 |
no virus found |
| Symantec |
10 |
05.05.2007 |
no virus found |
| TheHacker |
6.1.6.104 |
04.15.2007 |
no virus found |
| VBA32 |
3.11.4 |
05.04.2007 |
no virus found |
| VirusBuster |
4.3.7:9 |
05.04.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
05.05.2007 |
Win32.NewMalware.FA!20480!3 |
Diese Mail ist Unsinn, die IP ist aus England, ein LKA-Mitarbeiter mit AOL-Emailadresse?!
Einfach löschen…
Haben Sie in letzter Zeit Email vom BKA bekommen? Es wird auf ein Ermittlungsverfahren Nr. xxxxxx hingewiesen.
Das allein verleitet vermutlich schon so manchen Zeitgenossen, sich die Email einmal anzuschauen.
Der Text in der Mail ist auch besorgniserregend:
Sehr geehrte Damen und Herren,das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 212.227.116.110 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.Hochachtungsvoll
i.A. Jürgen StockBundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 – 55 – 12331
Fax.: +49 (0)611 – 55 – 0
Die Email hat als Anhang eine Datei mit Namen wie
7837661.exe
Dieser Anhang enthält einen Trojaner. NICHT ÖFFNEN!!! Nun ja, bei mir konnte er nicht fruchten… Zuerst einmal hat Ihn der Spamfilter Spamihilator aufgehalten. Der Text hat mich in mehrfacher Hinsicht amüsiert. Es fängt damit an, dass sich das Aktenzeichen im Betreff sowie das Aktenzeichen in der Mail unterscheiden.Außerdem habe ich keine Filme und MP3-Dateien geladen, nur frei verfügbare Software (
Freeware tec.)
Und schließlich ist die IP-Adresse völliger Unsinn und hat mit meinem Provider nichts zu tun.
Doch vor allem: Das BKA versendet keine Strafanzeigen per Email. Außerdem: Wer füllt Strafanzeigen selbst aus? ;-)
Also… was tun? Spamfilter anschaffen, und ungelesen löschen.
Nachtrag am 2.2.2007
Statt als ausführbare EXE-Datei kam gerade eine Mail mit einem gezippten Anhang hier an.
„Akte58391.zip“, die wiederum eine „Akte.pdf.exe“ enthält.
AVG-Free erkennt da nix gefährliches, bei http://virusscan.jotti.org/de/ schlagen nur 3 Scanner Alarm.
Die halten das Teil für eine Trojanervariante.