Der Besuch einer völlig normalen Webseite, einem liebevoll gestalteten Blog der sich mit Hochzeits­fotografie befasst, und schon war er da: Der Bundespolizei-Trojaner!

Augenscheinlich geht nichts mehr und nur der Hinweis:

Bundespolizei – Achtung!!! Es ist die ungesetzliche Tätigkeit enthüllt!

ist auf dem Monitor zu sehen. Die Grammatik, die Rechtschreibung, der Ausdruck und auch die Zeichensetzung würden vermutlich noch immer nicht für einen Hauptschulabschluss in Deutschland reichen, aber vermutlich trauen noch immer einige Opfer dies unserer Bundespolizei zu und zahlen den geforderten Betrag.


An dieser Stelle gleich noch der Hinweis: Nicht zahlen! Dadurch wird der Rechner auch nicht wieder funktionstüchtig. Lieber einen Teil des geforderten Betrags an jemanden spenden, in Sicherheitssoftware investieren oder die Rechnung eines IT-Technikers begleichen. Die Problembehebung war in diesem Fall allerdings nicht sonderlich schwierig, somit dürfte die Rechnung für einen Techniker schon mal nicht notwendig werden.
Da ich diese Variante des BKA-Trojaners so noch nicht gesehen hatte, die vermeintliche Quelle noch geöffnet und der JavaScript-Code gesichert werden konnte, gibt es somit doch noch ein weiteren Artikel zum Thema BKA-Trojaner und seine Modifikation von mir.

Der Schädling verändert sich

Meine bisherigen Erfahrungen mit dem Bundespolizei Trojaner zeigten, dass es ihn in einer ganzen Reihe Variationen gibt bzw. geben wird. Ich kann an dieser Stelle lediglich von dem von mir heute gesichteten Exemplar berichten. Beim Anti-Botnet Beratungszentrum befassen sich eine ganze Reihe Leute mit dieser Thematik nicht nur wie ich nach Feierabend. Gut möglich, dass es dort noch weitere Hinweise zu dieser Trojaner-Variante gibt oder geben wird.

Erscheinungsbild auf einem Windows 7 Rechner

Auch in diesem Derivat konnte man lediglich die bekannte Hacker-Meldung sehen und man wurde zum Klick auf einen Entsperren-Button aufgefordert. Ich habe es leider „versäumt“ diesen zu betätigen und weiß somit nicht, was sich dahinter verborgen hat. Möglicherweise kam dann hier der Hinweis und die Zahlungsaufforderung. Es kann in den Kommentaren gern jemand des Rätsels Lösung posten.

BKA-Trojaner entsperren

BKA-Trojaner entsperren

Den Bundespolizei-Trojaner entfernen

Die Problembehebung war in dieser Ausführung des BKA-Trojaners recht einfach, da die Tastenkombination [STRG] + [ALT] + [ENTF] eingesetzt werden konnte, stand schnell fest, dass der Trojaner in diesem Fall lediglich ein Prozess war. Dieser lässt sich per Task-Manager beenden und nun brauchte man somit nur noch im Autostart nach einer ungewöhnlichen exe-Datei Ausschau halten. Das Systemstartelement wie auch der Befehl waren mit reichlich kyrillischen Zeichen ausgestattet und die exe-Datei selbst lag im Pfad C:\Users\[Username]\AppData\Local\Temp. Der Name der Datei war eine lange, sicherlich zufällige Zahlenkette.

Natürlich kam mir diese Ransomware-Variante aus den Kommentaren meines ersten Artikel bereits bekannt vor, was die Problembehebung immens vereinfachte und nach 2 Minuten als „erledigt“ angesehen werden konnte.


Möglicherweise reicht es aus, den Prozess zu beenden und msconfig aufzurufen … Aber ich möchte hier in wenigen Schritten meine Vorgehensweise schildern.

  1. Rechner im abgesicherten Modus mit Eingabeaufforderung neu starten (mehrfach die Taste [F8] bei Booten drücken)
  2. öffnet sich das DOS-Eingabefenster, dann den Befehl msconfig eingeben
  3. sollte das Fenster sich nicht geöffnet haben, dann einfach die [Windowstaste] + [R] drücken und
  4. in das sich öffnende Eingabefeld msconfig eingeben und Enter drücken
  5. im Systemkonfigurationsprogramm nach dem Reiter Systemstart / Autostart Ausschau halten und auswählen
  6. jetzt nach einem Programm suchen, das „ungewöhnlich“ erscheint (der obere Bereich, sozusagen die Tabellenüberschriften, lassen sich durch ziehen vergrößern)
  7. dort findet man ein Verzeichnis, das in etwa wie folgt aussehen könnte C:\Users\[Username]\AppData\Local\Temp\0.123456…890.exe
  8. dort den Haken für den Autostart entfernen und mit OK bestätigen
  9. den Rechner noch nicht neu starten, sondern den Schädling löschen
  10. dazu mit dem Explorer zum Pfad C:\Users\[Username]\AppData\Local\Temp navigieren und
  11. den Trojaner suchen (die lange Zahlenkolonne) und löschen
  12. Papierkorb leeren und den Rechner ganz normal neu starten

Eine weitere Variante des BKA-Trojaners deaktiviert den Windows Task-Manager und verhindert das Ausführen des Aufrufs msconfig. Im Artikel BKA-Trojaner verhindert den Zugriff auf den Task-Manager wird erklärt, wie in diesem Fall vorgegangen werden muss.

Woher kommt der BKA-Trojaner

Der JavaScript-Code

Die oben bereits erwähnte Webseite, ein WordPress-Blog, war noch geöffnet der Zugriff auf den Quellcode problemlos möglich. Hier fiel ein kryptisch gehaltener JavaScript-Code auf. Dieser war zwischen Style-Informationen der hier verwendeten WordPress-Plugins OIO Publisher und CSS And Script Files Aggregation im head-Bereich unter gebracht. Wer Interesse an diesem Code hat, kann sich gern bei mir melden. Wäre sicherlich interessant zu erfahren, was das Script genau macht; hierfür fehlen mir leider die entsprechenden JavaScript-Kenntnisse.

<link rel="stylesheet" href="http://www.example.org/wp-content/plugins/oiopub-direct/images/style/output.css" type="text/css" />
<!-- HIER STAND DER SCHADCODE -->
<link rel='stylesheet' id='combined-style-all-css' href='http://www.example.org/wp-content/plugins/css-and-script-files-aggregation/combined-style-all.css?ver=204' type='text/css' media='all' />
BKA-Trojaner JavaScript-Code

BKA-Trojaner JavaScript-Code

WordPress unsicher?

Nicht wirklich! Allerdings kann jeder Plugis für WordPress entwickeln und hier können natürlich Sicherheitslücken auftreten. Außerdem sind viele WordPress-Betreiber eher unerfahren im Umgang mit Datei-/ Verzeichnisberechtigungen, nachlässig wenn es um Updates geht und oftmals sind Webauftritte nur durch einfache Passwörter beim FTP-Zugang oder beim Zugriff auf das CMS-Backend geschützt. Somit stehen kriminellen Hackern diese Installationen zur Verbreitung von Schädlingen, wie dem BKA-Trojaner, nur geringe Hürden im Weg. Die Blogbetreiber selbst merken sicherlich nichts von dem Treiben.

Ich wollte an dieser Stelle eigentlich noch Maßnahmen für Webseiten- und Blogbetreiber aufzeigen. Aber ich denke dieser Beitrag ist bereits lang genug geworden und nehme mir schnellstmöglich einen entsprechenden Artikel für redirect301.de vor.