Nachrichten Testberichte Downloads Forum

Top-Nachrichten der vergangenen 7 Tage

Neueste Nachrichten


Aktuelle Artikel & Tests

Treiber

Tools

Programme

Treiber Alle Treiber anzeigen
Tools Alle Tools anzeigen
Programme Alle Programme anzeigen

Hallo! Log dich direkt im Forum ein oder registriere dich kostenlos.

HT4U.net Forum

Aktuelle Artikel

Tomb Raider im Test
Tomb Raider im Test		Bioshock: Infinite im Test
Bioshock: Infinite im Test		Amazon Kindle Fire HD im Test - das etwas andere Tablet
Amazon Kindle Fire HD im Test - das etwas andere Tablet		Sapphire Edge VS8 im Test
Sapphire Edge VS8 im Test
Nachrichten

GVU-Trojaner greift nun auch auf die Webcam zu

Software | 14.07.2012, 14:48
Schon seit geraumer Zeit ist Ukash-Erpresser-Malware im Umlauf und setzt dabei die Opfer massiv unter Druck. Die aktuelle Version geht dabei noch weiter und greift die Bilder der Webcam ab.

Die GVU-Version ist nur eine von vielen Varianten, welche im Umlauf sind. Wirklich bekannt wurde die Malware durch die BKA-Variante zu Beginn des Jahres. Die aktuelle Version ist allerdings noch etwas schärfer, da sie auf die Webcam zugreift und die Bilder abfängt.

Die Methodik ist jedoch grundsätzlich gleich. Der Desktop, sowie Taskmanager und Registry werden abgeschaltet, stattdessen erscheint ein Fenster, in welchem dem Opfer angebliche Urheberrechtsverletzungen vorgeworfen wird. Die Täter fordern eine einmalige Zahlung von 100 Euro, andernfalls könnten bis zu neun Jahre Haft und eine Strafzahlung von 250.000 Euro erfolgen.

Auf keinen Fall zahlen


Nach erfolgter Zahlung soll der Computer innerhalb von 72 Stunden freigegeben werden. Dies ist natürlich nicht der Fall, so dass der Anwender hier weiterhin vor einem unnutzbaren Computer steht. Somit sind die Gewinner die Täter, welcher mit der Zahlung über Ukash das Geld wirklich nutzen können.

Doch wie ist der hartnäckige Virus zu entfernen? Die erste Methode ist dabei die Wiederherstellung des Systems. Hierfür muss beim Starten des Computers die Taste F8 gedrückt werden, so dass man den Abgesicherten Modus mit Eingabeaufforderung starten kann. Der Computer fährt nun hoch und fragt gegebenenfalls auch das Benutzerpasswort ab. Danach erscheint ein Fenster mit blinkenden Balken. Hier muss der Befehl rstrui.exe eingegeben werden.

Allerdings kann es passieren, dass dabei ein Punkt hergestellt wird, bei welchem der Virus schon auf dem System vorhanden war. Weiterhin kann ein entsprechender Sicherungspunkt auch schlicht fehlen. In solchen Fällen gibt Kapersky eine passende Rescue Disk zur Hand und erklärt auf der Homepage auch sogleich, wie diese benutzt werden muss.
[dk]







Stichworte zur Meldung: Gvu Trojaner Virus Wbcam Bka Ukash Zahlung Kapersky Urheberrecht Verstoß Wiederherstellung
 
3 Kommentare

Re: [Software] GVU-Trojaner greift nun auch auf die Webcam zu

Gast
(vom 15.07.2012 um 12:08)
Hallo zusammen,

das besagte Rootkit läßt sich ganz einfach Entfernen. In dem Artikel sollte vielleicht noch Aufgeführt werden, wo die besagte Datei hingeladen wird. Zumeist handelt es sich um eine "Exe" Datei mit kryptischen Namen wie "4200977cos1105141.exe". Diese wird dann in das Verzeichnis "Benutzer/Benutzername/AppData/Local/Temp" Geladen, dort Landen dann nach dem Aufruf dieser Datei auch die ganzen Bilddateien, welche zum Ausführen bzw. Anzeigen der besagten Meldung notwendig sind.

Es reicht streng genommen, wenn man eine gängige Windows-Boot Cd/DVD zur Hand hat mit einem Dateimanager, in das besagte Verzeichnis "Temp" Verzeichnis geht und den Inhalt einfach löscht. Es gibt Boot-CD`s bzw. DVD`s bei denen auch ein Programm zur Autostart-Bearbeitung dabei ist. Aber wenn man die Dateien in dem Temporären Verzeichnis gelöscht hat und nach dem Neuerlichen Booten nicht gleich Online geht - sonstig könnten die Dateien evtl. nochmal geladen werden - und mit "MsConfig" die entsprechenden Einträge unter dem Tab "Systemstart" bereinigt, sollte das System in Ordnung sein. Dann nochmal einen Sauberen Scanner durchlaufen Lassen und das war es. Dieser Rootkit ist vor allem eben Ärgerlich. Weil man zuerst einmal einen gewaltigen Schreck kriegt.

So long...

Re: [Software] GVU-Trojaner greift nun auch auf die Webcam zu

BisMarck
(vom 15.07.2012 um 18:02)
Mich hat das Mistvieh auch erwischt. Habe dann mit Desinfec`t versucht das System zu reinigen. Allerdings hatten bis auf Kaspersky alle Virenscanner die Signatur noch nicht drin. Da ich keine Lust hatte irgendein Risiko einzugehen habe ich dann doch noch die Platte formatiert und neu installiert. Wollte auf dem Laptop eh auf 64bit Win7 umsteigen. Trotzdem ganz schön lästig...diesen kleinen Betrüger-***** würde ich gern mal persönlich zeigen was ich von Ihren "geschäftlichen Aktivitäten" halte, aber die sitzen wohl in Russland oder sonst wo.

Re: [Software] GVU-Trojaner greift nun auch auf die Webcam zu

Gast
(vom 15.07.2012 um 18:16)
Hallo zusammen,

@ BisMarck

Mir ist dieses Rootkit unter Windows 7 64 Bit reingeschneit! Ich habe Gdata Total Protection 2013, der hat auch Angeschlagen, aber das Rootkit ist so ausgeklügelt, daß es sogar Neu Bootete! Kein Witz! Ich konnte nicht mehr die Schaltfläche von "Gdata" betätigen, um das Zeug zu Entfernen bzw. zu Blockieren.

Überhaupt ist es bemerkenswert, wie ich zu dem Ding kam. Ich wollte per "Wiziwig" in Verbindung mit Sopcast eine Sportveranstaltung über Internet Schauen. Bei Wiziwig - http://www.wiziwig.tv/ - fand ich auch einen Russischen Sender, der eine Verbindung mit 2000 Kb/Sec. anbot. Ich gehe also auf die betreffende Schaltfläche, es poppte auch ganz normal die Schaltfläche in Firefox auf, mittels welcher der Stream an Sopcast übergeben wird. Und offenbar war genau da ein Script drin, welches das Rootkit herunter geladen hat. Kein Scherz.

Ich werde Garantiert niemals wieder einen Russischen Sender bei Wiziwig in Anspruch nehmen. Wie Sie treffend bemerkten, die Typen sitzen wirklich in Russland. Das war schon Hammerhart. Glücklicherweise gehe ich nur mit meinem Notebook ins Internet, daher konnte ich mit meinem Desktoprechner eine komplett Neue Gdata Total Protection Bootdisk mit den Aktuellsten Definitionen drüberlaufen lassen, nachdem ich das Rootkit per Hand entfernt hatte. Dabei fand sich auch die besagte "MsConfig.dat" Datei, die hatte ich nämlich Übersehen bzw. diese nicht zu dem Rootkit gehörend befunden. Wenn man es so macht, wie von mir beschrieben, ist nichts mehr vorhanden auf dem Rechner.

Achso, was auch noch Bemerkenswert war, ich hatte die Windows Benutzerkontensteuerung auf dem höchsten Level stehen und es kam keinerlei Meldung, als das Rootkit sich startete. Die haben also auch die Benutzerkontensteuerung ausgetrickst.

So long....