Unrat des BKA-Trojaners finden und löschen

gegnersuche schrieb am 21 Mai, 2013 - 14:24

Jürgen Schmidt - 08.05.2013

Der aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. So kann es durchaus passieren, dass man bei einem Viren-Scan den eigentlichen Trojaner entdeckt und entfernt, aber die Bilder, deren Besitz strafbar ist, nach wie vor dort verbleiben.

Erschwerend kommt hinzu, dass Kinderpornografie ein echtes Minenfeld ist. So würden auch wir uns strafbar machen, wenn wir uns ein Exemplar dieses Trojaners besorgen würden, um zu testen, welche Programme diese Bilder tatsächlich entdecken und nachhaltig löschen. Damit Betroffene sich dieser Dateien trotzdem zuverlässig entledigen können, geben wir im Folgenden eine kurze Anleitung, wie man mit Desinfec't auf einem mit BKA-Trojaner infizierten System alle Bilder aufspüren und löschen kann, die dieser eventuell angelegt hat.

Als erstes muss man die eigentliche Trojaner-Datei lokalisieren. Im Idealfall erledigt dies einer der in Desinfec't eingebauten Viren-Scanner. Ansonsten kann ihn jemand, der weiß wo er hinschauen muss, in der Regel auch recht zuverlässig durch Inspektion der üblichen Autostart-Mechanismen von Windows ausfindig machen.

Wenn man diese Datei gefunden hat, kann man deren Erstellungsdatum als Referenz verwenden, um alle Dateien beziehungsweise Bilder aufzuspüren, die erst danach angelegt wurden. Das funktioniert übrigens auch dann noch, wenn Sie die Trojaner-Datei bereits umbenannt und mit der Endung .VIRUS versehen haben, um sie unschädlich zu machen. Die Suche erledigt ein einfacher Kommandozeilenbefehl, den man im Terminalfenster eingeben muss:

find /media/Windows
-newer /media/Windows/Windows/System32/bka-trojaner.exe

Dabei ist /media/Windows das Verzeichnis unter dem die Windows-Festplatte eingebunden ist und der zweite Pfad ein Verweis auf die Trojaner-Datei. Den können Sie einfach im Browser-Fenster mit den Scan-Ergebnissen markieren, mit Strg-C kopieren und dann mit Strg-Shift-V im Terminalfenster wieder einfügen. Durch ein abschließendes "-iname \*.jpg" beschränken Sie die Suche auf Dateien mit der Endung JPG und checken anschließend sicherheitshalber auch die Dateien, die auf .jpeg, .gif, .tif, .png und .bmp enden. Ist die Ausgabeliste zu lang, können Sie sie durch ein Anhängen von "| xargs ls -alt" nach dem Erstellungsdatum sortieren, um die Verdächtigenliste einzuschränken. "-altr" dreht die Reihenfolge um.

Nach bisherigen Berichten liegen die fraglichen Dateien in einem Ordner für temporäre Dateien im Benutzer-Verzeichnis (AppData\Local\Temp\) und heißen 1.jpg, 2.jpg und so weiter. Das kann sich jedoch jederzeit ändern. Dateien in Temp\ kann man in aller Regel auf Verdacht einfach löschen; bei anderen Dateien muss man aber schon genauer hinschauen, denn die gefundenen Dateien könnten ja durchaus auch die Schnappschüsse vom letzten Familienausflug sein.

Aber Vorsicht: Spätestens hier betreten Sie jetzt ein Minenfeld! Denn Sie dürfen sich natürlich keinen Zugang zu Kinderpornografie verschaffen. Um zu entscheiden, ob die Dateien Ihnen gehören, können Sie sich im Zweifelsfall mit dem Dateimanager zu dem Ordner mit der Fundstelle vorhangeln und dann zum Beispiel an Hand der Vorschau entscheiden, ob das eine Datei ist, die Sie behalten wollen oder die Sie lieber von Ihrem System entfernen.

Statt die Dateien einfach zu löschen, ist es sinnvoller, sie zunächst zu überschreiben. Damit ist einigermaßen sicher gestellt, dass auch spezielle Analyseprogramme die Dateien nicht ohne weiteres wiederherstellen können. Auf Grund von diversen Low-Level-Mechanismen funktioniert auch das nicht hundertprozentig; wer auf Nummer sicher gehen will, muss die ganze Festplatte überschreiben. Das erledigt das Skript "Platten löschen mit dc2dd" in den Experten-Tools von Desinfec't.

Für nur durchschnittlich ausgeprägte Paranoia genügt es jedoch, die fraglichen Dateien mit dem Befehl

shred -u AppData\Local\Temp\*.jpg

zu überschreiben und dann zu löschen; letzteres erledigt das -u wie unlink. Dazu muss die Windows-Partition jedoch im beschreibbaren Modus eingebunden sein.

Das alles ist natürlich immer eine Krücke für diejenigen, die partout ihr System retten wollen. Die bessere Vorgehensweise ist es, die Sachen, die man aufheben möchte, in Sicherheit zu bringen und das System einschließlich des Betriebssystems komplett neu einzurichten. Nur so kann man ganz sicher sein, dass danach wieder alles richtig sauber ist. (ju)

Quelle: http://heise.de/-1859558