GVU-Trojaner im Domänennetzwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits Ende Januar in einem Artikel vor einer neuer Variante des BKA- bzw. GVU-Trojaners. Nun ist dieser Schädling in einem Domänennetzwerk aufgetreten und musste beseitigt werden.

Fehlermeldung

In dem mir vorliegenden Fall handelt es sich um den GVU-Trojaner in einer neuen Version. Dieser Schädling deaktiviert den Windows-Desktop, den Task-Manager und die Registry. Der User erhält eine Warnmeldung eingeblendet, die sich nicht schließen lässt. Die Meldung suggeriert, dass illegale Aktivitäten entdeckt und daraufhin der Rechner gesperrt wurde. Gegen eine Zahlung von 100 € könnte dies aber wieder Rückgängig gemacht werden.

So, oder so ähnlich sind auch die anderen Varianten gestrickt.

Hintergrund

Es deutete alles darauf hin, dass der Schädling eine Schwachstelle in der installierten Java-Version ausnutzte. Entsprechende Logfiles des Proxys lassen darauf schließen, dass dies vermutlich über einen Werbebanner initiiert wurde.

Analyse

Der Trojaner versuchte innerhalb weniger Minuten weitere Schädlinge in das Temp-Verzeichnis des  infizierten Rechner zu laden. Die installierte Virenschutz-Software erkannte dies und schob die Dateien in die Quarantäne.

Da der angemeldete Benutzer keine administrativen Rechte besitzt, konnte der Virus keine weiteren Profile oder Systemdateien infizieren.

Lösung

Im Internet gibt es unzählige Lösungsvarianten. In der neuen Variante des Schädlings, ist es nicht mehr empfehlenswert durch eine Systemwiederherstellung den Trojaner zu umgehen. Eine sehr ausführliche Anleitung mit Hinweisen gibt es auf den Seiten von redirect301.de. Diese Lösung wäre in dem hier vorliegenden Fall denkbar gewesen, wurde aber nicht umgesetzt. Hintergrund hierfür war, dass nur eines der lokalen Profile betroffen war (Vorsicht erhöhtes Risiko).

Vermutlich hätte das Löschen des lokalen Profils ausgereicht um den Schädling zu beseitigen. Ungeachtet dessen wurde eine andere Lösung umgesetzt.

Die Firma Kaspersky bietet eine Rescue Disk an, die auch hier zum Einsatz kam. Nach dem Start dieser Live-CD wurden die Anweisungen gem. Anleitung durchgeführt. Tatsächlich wurde der entsprechende Trojaner im befallenen Benutzerprofil erkannt und erfolgreich entfernt.

Hinweis zur Lösung

Ein mit der DE Cleaner Rettungs-System durchgeführter Scan und ein zweiter lokaler vollständiger Scan blieb negativ. Das entsprechende Profil konnte wieder reibungslos genutzt werden. Zur Sicherheit wurde allerdings das betroffene Profil über einen administrativen Account entfernt. Das Löschen sowie die Neueinrichtung nach einem Neustart verlief problemlos.

Wenn man dieses Risiko nicht eingehen möchte und sich 100% sicher sein möchte, dass der Trojaner vollständig entfernt wird, kommt man um eine Neuinstallation nicht herum.

Man sollte darüber hinaus unbedingt die installierte Java-Version auf den neusten Stand (7u13 bzw. 6u39) bringen.

Es macht durchaus Sinn, den Netzwerkverkehr bereits auf dem Proxy auf Schädlinge hin zu überprüfen. Dan wäre u.U. den hier vorliegenden Fall gar nicht erst aufgetreten.

In dem hier vorliegenden Fall handelte es sich um einen Benutzer ohne administrative Berechtigungen. Sollte dies auf einem priviligierten Konto geschehen, kann ich eine Neuinstallation des Betriebssystems nur empfehlen.

Zeitlich hat sich die hier vorgestellte Lösung nicht gelohnt. Eine Neuinstallation wäre um einiges effektiver gewesen. Allerdings ging es hier auch nicht um Schnelligkeit.

Weitere Hinweise

Laut einem Beitrag auf heise Security wird Oracle am 19. Februar 2013 ein weiteres Update veröffentlichen, da noch nicht alle Lücken geschlossen werden konnten.

Solange die Lücken nicht geschlossen sind, empfiehlt das BSI in einem Artikel, Java zu deinstallieren bzw. im Browser zu deaktivieren. Eine entsprechende Anleitung zum deaktivieren von Java im Browser liefert das Bundesamt auch gleich mit.

[Update 14.02.2013]

Anscheinend sind die Urheber gefasst worden. Ein entsprechender Beitrag ist auf golem.de erschienen.

Weitere Verweise/Quellen

2 Gedanken zu „GVU-Trojaner im Domänennetzwerk

  1. Kurzer Hinweis: im Abschnitt „Lösung“ im Satz „Eine sehr ausführliche Anleitung mit Hinweisen gibt es auf den Seiten von rediret301.de.“ ist ein Link, der statt unterstrichen durchgestrichen ist. Wahrscheinlich hat das CMS o.ä. das selbständig gemacht. Es handelt sich um einen Tippfehler, denn dort steht rediret301.de und nicht redireCt301.de. Der Link „[…] Ausführliche Anleitung […]“ auf eine Seite der selben Adresse funktioniert ja auch.

Kommentar verfassen