Beiträge von MaTel im Thema „Virus Bundespolizei“

    Wie ich schon mal meinte, ich würde nicht drauf wetten, dass der nur in diesem "unverbastelten" Urzustand durchs Netz geistert. Kann gut sein dass da irgend einer seine Finger dran hatte, so dass der bei weitem nicht mehr so friedfertig ist, wie die Version die du beschreibst.

    Kann auch gut sein, dass dein System schon seit Jahren kompromitiert ist, ohne dass du davon weißt? :anonym Scherz bei Seite... . Hatte nicht ohne Grund "bisher" in Tütelchen geschrieben. Aber die Versionen die mir in die Hände gefallen sind und das waren mehrere unterschiedliche Versionen haben im Grunde nur das Gleiche gemacht. Jede Version, der ich habhaft werden kann schmeiss ich bei mir in die Sandbox, um zu sehen, was sich da im System verändert und protokolliere es. Für die Zukunft vermag ich nicht zu sprechen, aber bis heute ist das Teil eher harmlos. Da sind mir schon ganz andere Dinger in meiner Sandbox gelang und es war erschreckend dabei zuzusehen, wie es quasi das ganze System in seinem Bann zog, weil es jede bekannte und unbekannte Schwachstelle im System ausnutze um sich mehrfach im System festzusetzen... da ist dann auch Hopfen und Mals verloren.

    wenn ich sowas verteilen wollen würde, täte ich das ja im bundle mit so einer bunten scareware tun die vermeintlich harmloses tut und von "experten" leicht "entfernt" werden kann...

    kannst du ja machen, aber die Bundespolizeiscareware macht es definitiv nicht. Habe ihn schon mehrfach meiner SANDBOX zum Fraß vorgeworfen um zu sehen, was dieses Teil am System verändert. Der nistet sich "bisher" nur als einzelne Datei im Userbereich eines Accounts ein... mehr macht er nicht. Kann jeder gern nachprüfen.

    Die Bundespolizei Scareware ist doch einfach zu entfernen und ist im Grunde harmlos. Nein, er zerstört auch nicht die GUI oder sonstwas auf der Festplatte. Das Teil ist eigentlich eine Lachnummer, da sehr einfach gestrickt.

    Einfangen tut man ihn sich auch mit eingeschränkten Rechten, da er sich als EINZELNE Datei in den Userbereich schreibt und so über die Registry ( des betreffenden Users ) gestartet wird.
    Wenn man mit einem nicht befallenen Useraccount startet ( üblicherweise den Admin-Account ), reicht eine kurze Analyse meist der Verzeichnisse Localfiles...Temp....etc, um durch einfaches Umbennen der Scareware-Datei es unschädlich zu machen. Über Systemstart in msconfig ist er üblicherweise NICHT zu finden. Mit einem Registry-Analysetool, der die Autostarteinträge analysiert, sollte er auch leicht zu finden sein.
    Ich beforzuge das Starten direkt in die Eingabeaufforderung über F8 beim Systemstart und wurste mich durch die betreffenden Verzeichnisse des kompromitierten Users.
    Einige Versionen von diesem Virus setzten sämtliche Dateien des betroffenen Useraccounts auf "versteckt", was aber sehr einfach wieder rückgängig gemacht werden kann.
    Bisher habe ich das Teil aber immer komplett, erfolgreich und vermutl. Rückstandslos entfernen können.

    Habe diese Scareware schon bei vielen Leuten erlebt, die stein und bein behaupteten, nicht auf irgendwelchen obskuren Seiten gewesen zu sein. Ich glaube man fängt ihn sich durch kompromitierte Werbeserver oder gehckte Webseiten ein.
    Schlimmer sind die Viren, die sich direkt in Systemverzeichnisse schreiben bzw. sogar Systemdateien befallen. Da bleibt nur Datenrettung und Neuinstallation bzw. Rückspielung einer älteren virenfreien Datensicherung.