[HT4U_Newsbot]

GVU-Trojaner greift nun auch auf die Webcam zu
                 

Schon seit geraumer Zeit ist Ukash-Erpresser-Malware im Umlauf und setzt dabei die Opfer massiv unter Druck. Die aktuelle Version geht dabei noch weiter und greift die Bilder der Webcam ab.  
                 

http://ht4u.net/news/25799_gvu-trojaner_greift_nun_auch_auf_die_webcam_zu/
         

[Saxler]

Hallo zusammen,

das besagte Rootkit läßt sich ganz einfach Entfernen. In dem Artikel sollte vielleicht noch Aufgeführt werden, wo die besagte Datei hingeladen wird. Zumeist handelt es sich um eine "Exe" Datei mit kryptischen Namen wie "4200977cos1105141.exe". Diese wird dann in das Verzeichnis "Benutzer/Benutzername/AppData/Local/Temp" Geladen, dort Landen dann nach dem Aufruf dieser Datei auch die ganzen Bilddateien, welche zum Ausführen bzw. Anzeigen der besagten Meldung notwendig sind.

Es reicht streng genommen, wenn man eine gängige Windows-Boot Cd/DVD zur Hand hat mit einem Dateimanager, in das besagte Verzeichnis "Temp" Verzeichnis geht und den Inhalt einfach löscht. Es gibt Boot-CD`s bzw. DVD`s bei denen auch ein Programm zur Autostart-Bearbeitung dabei ist. Aber wenn man die Dateien in dem Temporären Verzeichnis gelöscht hat und nach dem Neuerlichen Booten nicht gleich Online geht - sonstig könnten die Dateien evtl. nochmal geladen werden - und mit "MsConfig" die entsprechenden Einträge unter dem Tab "Systemstart" bereinigt, sollte das System in Ordnung sein. Dann nochmal einen Sauberen Scanner durchlaufen Lassen und das war es. Dieser Rootkit ist vor allem eben Ärgerlich. Weil man zuerst einmal einen gewaltigen Schreck kriegt.

So long...

[BisMarck]

Mich hat das Mistvieh auch erwischt. Habe dann mit Desinfec`t versucht das System zu reinigen. Allerdings hatten bis auf Kaspersky alle Virenscanner die Signatur noch nicht drin. Da ich keine Lust hatte irgendein Risiko einzugehen habe ich dann doch noch die Platte formatiert und neu installiert. Wollte auf dem Laptop eh auf 64bit Win7 umsteigen. Trotzdem ganz schön lästig...diesen kleinen Betrüger-***** würde ich gern mal persönlich zeigen was ich von Ihren "geschäftlichen Aktivitäten" halte, aber die sitzen wohl in Russland oder sonst wo.

[Saxler]

Hallo zusammen,

@ BisMarck

Mir ist dieses Rootkit unter Windows 7 64 Bit reingeschneit! Ich habe Gdata Total Protection 2013, der hat auch Angeschlagen, aber das Rootkit ist so ausgeklügelt, daß es sogar Neu Bootete! Kein Witz! Ich konnte nicht mehr die Schaltfläche von "Gdata" betätigen, um das Zeug zu Entfernen bzw. zu Blockieren.

Überhaupt ist es bemerkenswert, wie ich zu dem Ding kam. Ich wollte per "Wiziwig" in Verbindung mit Sopcast eine Sportveranstaltung über Internet Schauen. Bei Wiziwig - http://www.wiziwig.tv/ - fand ich auch einen Russischen Sender, der eine Verbindung mit 2000 Kb/Sec. anbot. Ich gehe also auf die betreffende Schaltfläche, es poppte auch ganz normal die Schaltfläche in Firefox auf, mittels welcher der Stream an Sopcast übergeben wird. Und offenbar war genau da ein Script drin, welches das Rootkit herunter geladen hat. Kein Scherz.

Ich werde Garantiert niemals wieder einen Russischen Sender bei Wiziwig in Anspruch nehmen. Wie Sie treffend bemerkten, die Typen sitzen wirklich in Russland. Das war schon Hammerhart. Glücklicherweise gehe ich nur mit meinem Notebook ins Internet, daher konnte ich mit meinem Desktoprechner eine komplett Neue Gdata Total Protection Bootdisk mit den Aktuellsten Definitionen drüberlaufen lassen, nachdem ich das Rootkit per Hand entfernt hatte. Dabei fand sich auch die besagte "MsConfig.dat" Datei, die hatte ich nämlich Übersehen bzw. diese nicht zu dem Rootkit gehörend befunden. Wenn man es so macht, wie von mir beschrieben, ist nichts mehr vorhanden auf dem Rechner.

Achso, was auch noch Bemerkenswert war, ich hatte die Windows Benutzerkontensteuerung auf dem höchsten Level stehen und es kam keinerlei Meldung, als das Rootkit sich startete. Die haben also auch die Benutzerkontensteuerung ausgetrickst.

So long....