uweli1967
18.12.2011, 16:26
ZITAT
Seit Kurzem stellen wir fest, dass ein neuer Ableger des BKA-Virus (ähnlich), um sich greift und die Rechner von Dortmundern infiziert. Dieser Virus nennt sich GEMA-Virus.
Der GEMA-Virus ist hartnäckiger als der BKA-Trojaner - somit schwerer zu entfernen.
Ein weiterer Unterschied ist, dass sich der Task-Manager nicht mehr öffnen lässt und der abgesicherte Modus unter Windows lässt sich ebenso nicht mehr starten.
Auch beim GEMA-Virus soll man durch eine Zahlung über Ukash sein Betriebssystem wieder freigeschaltet bekommen. Bitte folgen Sie dieser Aufforderung nicht! Im besten Fall ist nur Ihr Geld weg, im schlimmsten Fall öffnen Sie Tür und Tor für weitere Schädlinge.
Quelle:
http://www.computer-notdienst-dortmund.com...gema-virus.htmlNoch mehr dazu:
http://blogpirat.de/vorsicht-vor-gema-viru...rus-wieder-weg/http://www.combrella.net/online-helpdesk/w...des-virus-gema/
Seit kurzem??
Die Namensgebung ist aber immer fantastisch, schon BKA-Virus war so ein Knüller. Auch von diesen Ransoms gibt es unzählige Varianten, die eigentlich nur gemeinsam hatten was von BKA zu schreiben.
markusg
18.12.2011, 20:09
aber im moment ist echt extrem
http://www.trojaner-board.de/einfach mal im bereich logfiles und plagegeister gucken, überall wo was mit windows blockiert im topic titel steht, oder halt klassisch bka oder gema, ist alles ransom ware, würd gern mal wissen warum so viele leute das dieses wochenende bekommen
ZITAT(markusg @ 18.12.2011, 20:08)
aber im moment ist echt extrem
Ja schon klar, aber solche dummen Aussagen, die dann so tun als wäre es "ein" Virus nerven mich immer. Dann wird fleißig gegooglet und irgendwelche Entfernungstips für ganz andere Varianten werden durchprobiert etc.
ZITAT(markusg @ 18.12.2011, 20:08)
... halt klassisch bka oder gema, ist alles ransom ware, würd gern mal wissen warum so viele leute das dieses wochenende bekommen
Ich halte mich mit Mutmaßungen meist zurück, aber zumindest bei den BKA Dingern kam das meist über "gewisse" Filmchen
markusg
18.12.2011, 20:53
naja ich meinte eig eher wo dieser extreme anstieg her kommt. wie gesagt musst dir mal angucken wie viele themen im moment allein bei trojaner board in bearbeitung sind. da gabs nen extremen anstieg.
ja ich finds auch nciht gut wenn dann irgendwelche tipps ausprobiert werden und dann kommen die leute am ende noch an und man hatt mehr arbeit als es normalerweise gewesen währe
Schattenfang
19.12.2011, 12:06
ZITAT(markusg @ 18.12.2011, 20:52)
naja ich meinte eig eher wo dieser extreme anstieg her kommt.
java - need i say more
markusg
19.12.2011, 13:48
naja das ist mir schon klar wie solche malware verteilt wird, mich hatte nur der starke anstieg an diesem wochenende gewundert, waren ja sehr viele mit diesem teil auf einmal da und vor allem fast ausschließlich ransom ware sonst ist das ja eher gemischt
Schattenfang
19.12.2011, 13:50
ZITAT(markusg @ 19.12.2011, 13:47)
waren ja sehr viele mit diesem teil auf einmal da
vielleicht waren die so hübsch bunt funkelnden adventskalender schuld, die es überall im internet gibt. ein guter marktplatz dafür.
markusg
19.12.2011, 14:31
jo, oder weils wetter so schlecht ist bleiben viele zu hause...
ZITAT(Schattenfang @ 19.12.2011, 12:05)
java - need i say more
Yes! Gib mir mal ein Beispiel wo sowas aktuell über Java daherkommt. Ich kenne es nur in irgendwelchen Installern oder Videos.
markusg
19.12.2011, 14:39
bei den deutschen variannten weis ichs nicht so genau, hatte aber zumindest mal eine die über blackhole exploit verbreitet wurde ist dann halt nicht nur java sondern auch flash usw.
Schattenfang
19.12.2011, 14:43
http://www.viruslist.com/de/weblog?weblogid=207319727vieles kommt da rüber. das ist der einzige weg inkl. dem anderen von mir genannten punkt der wirklich zu dieser verbreitung führt.
@edit, markus hats schon geschrieben
markusg
19.12.2011, 14:48
obwohls da ja eher um andere malware geht die verbreitet wird.
wie gesagt kenne ich keine seite im moment wo gema oder sonstige deutsche ransom ware verbreitet wird deswegen kann ich dazu nichts sagen, hatte nur mal eine seite gefunden wo es über das blackhole gemacht wurde, muss aber nicht ständig so sein :-)
Schattenfang
19.12.2011, 14:51
ZITAT(markusg @ 19.12.2011, 14:47)
hatte nur mal eine seite gefunden wo es über das blackhole gemacht wurde, muss aber nicht ständig so sein
man sieht in den logfiles ganz gut die infizierten js in verbindung mit der gedroppten firefox.exe. sicherlich nicht alles, aber beim großteil kann man das ganz gut nachvollziehen.
Guten Abend,
auf alle Fälle, ist da bei den gelben Nachbarn eine Menge los, diesbezüglich.
markusg sollte sich seine Kräfte schon mal einteilen, wer weis was da die nächsten Tage noch auf ihn zukommt.
markusg
19.12.2011, 19:22
na noch mehr kann ich kaum machen außer ich stehe früher auf, schreibe so in den letzten tagen 120 bis 150 posts
markusg
20.12.2011, 13:16
alle die ich in den letzten tagen gefragt haben, haben sich das über kino streaming seiten oder serien streaming eingefangen, also sollte man sich von solchen seiten fern halten.
aber naja, das sage ich ja schon lange, ne zeit lang wurde über solche seiten auch massiv spyeye verbreitet.
Schattenfang
20.12.2011, 13:42
ZITAT(markusg @ 20.12.2011, 13:15)
aber naja, das sage ich ja schon lange, ne zeit lang wurde über solche seiten auch massiv spyeye verbreitet.
dann hat das ganze ja sogar einen politischen hintergrund. ein gema-virus über streamingseiten, ein schelm wer böses dabei denkt
wenn ich ehrlich bin (und das bin ich jetzt einfach mal) könnten auf allen seiten, die illegal filme oder serien zur verfügung stellen (waren das in diesem fall solche?) noch viel mehr malware verteilt werden. damit die lektion aber perfekt ist, solltest du ab morgen deutlich länger schlafen und die leute nicht mehr im forum betreuen
markusg
20.12.2011, 13:55
hehe, ich glaub das würde die leute auch nciht abhalten sich dort die filme reinzuziehen...
ja, zb wohl hier:
movie2k
musst mal bei google eingeben, will jetzt da nicht direkt hinverlinken.
hab jetzt keine zeit großartig zu testen aber wenn man ne vm mit ungepatchtem java und ohne irgendwelche werbeblocker nutzt kann man sich da evtl. was einfangen.
Wireshark sollte dann zeigen wo genau der trojaner her kam.
na heute war noch nicht so viel zu tun, unter der woche lässts immer n bissel nach.
uweli1967
20.12.2011, 13:58
markusg, du solltest mal im Trojaner Board deinen "Stundenlohn" erhöhen(lassen)
und bestimmten Usern dort(ich lese dort nicht mit)nahe legen sich um Systembackups ihrer Systeme zu kümmern wenn die noch clean sind.
markusg
20.12.2011, 14:08
naja bin ja nicht der einzige dort
uweli1967
20.12.2011, 14:14
Aber ich glaube du bist dort sehr aktiv und die User hören auch auf dich wenn ich das richtig "aufgeschnappt" habe
und mal ehrlich: sollte sich bei mir oder auf dem PC meiner Frau so ein Fiesling wie Gema Virus oder dergleichen einnisten, würde ich die Paragon Boot CD einlegen und das jeweils letzte Systembackup einspielen die auf externen USB Festplatten "gelagert" sind. Dann müsste ich mich nicht mit Bereinigungsaktionen rumschlagen oder gar das System neu aufsetzen was bei XP schon mal 7-8 Stunden oder noch länger dauern kann.
ZITAT(uweli1967 @ 20.12.2011, 14:13)
Dann müsste ich ... gar das System neu aufsetzen was bei XP schon mal 7-8 Stunden oder noch länger dauern kann.
Ja, so einen langsamen Rechner hatte ich auch mal...
Voyager
20.12.2011, 16:31
Oh Gott , was sind denn das für Kisten
uweli1967
20.12.2011, 16:37
@Voyager
Du "Meckerheini"
das liegt nicht an unseren Kisten sondern an XP. Wenn man XP mit einer XP SP3 CD installiert, kommen da schon mal 80-90 Updates nach, die installiert werden wollen. Dann noch das ganze System mit Programmen usw eingerichtet, schwupps sind die 7-8 Stunden um
Aber zum Glück hat man ja..........
Voyager
20.12.2011, 16:48
Achso Ja die Neueinrichtung dauert etwas je nachdem wieviel man hat. Das XP + den WF UpdatePack ist relativ schnell drauf selbst bei älteren Athlons je nachdem wieviel Arbeitsspeicher der hat also 1GB Minimum, ich dachte das würde bei euch 8h dauern.
uweli1967
20.12.2011, 17:08
Voyager, falls ich mich vorher falsch ausgderückt habe: ich meinte, XP SP3 samt allen Upates, Programmen usw. einrichten dauert gut und gerne mal 7-8 Stunden wenn man die "Kiste" wieder so haben will wie sie davor war.
Solution-Design
20.12.2011, 18:36
ZITAT(uweli1967 @ 20.12.2011, 17:07)
ich meinte, XP SP3 samt allen Upates, Programmen usw. einrichten dauert gut und gerne mal 7-8 Stunden wenn man die "Kiste" wieder so haben will wie sie davor war.
Die Zeit benötige ich mittlerweile auch unter Win7. Wobei sich bei mir alle CDs gar in einem geordnetem Verzeichnis befinden. Und trotzdem fehlt am Ende des Tages noch was bezüglich der angepassten Konfiguration. Wer es schneller kann
Was hat die GEMA jetzt mit Paragon zu tun?
Elendes Threadhijacking.
Ich dachte hier ist der Forenbereich in dem es um Viren, Trojaner und Co. geht und nicht um Allerweltssprüche über Backups/Images etc.
uweli1967
20.12.2011, 20:19
SLE, siehe Beitrag Nr. 23, immerhin ist das ja auch eine Möglichkeit der "Systembereinigung" falls man sich diesen GEMA Virus eingefangen hat
ZITAT(uweli1967 @ 20.12.2011, 20:18)
...siehe Beitrag Nr. 23...
Genau der war Stein des Anstoßes...
uweli1967
20.12.2011, 20:56
Ja und? auf diesem Wege bekommt man auch die Infektion GEMA Virus weg.
Voyager
20.12.2011, 21:32
Wer hat die Anweisung aus dem Sempervideo im Win7/64 umgesetzt um die CMD Eingabekonsole auf die Benutzereingabe umzubiegen über den Button der Erleichterten Bedienung (den man in der Regel nicht braucht) und ist daran gescheitert ?
Die korrekte Utilman.exe die nach dem Anklicken auf dem Button benutzt wird verbirgt sich hier :
c:\Windows\winsxs\amd64_microsoft-windows-utilman_31bf3856ad364e35_6.1.7600.16385_none_5e9ea1964aee5579\
Es scheint sich um eine Updateversion zu handeln weil sie größer ist als die im System. Wenn man diese austauscht bekommt man das CMD Fenster in der Benutzereingabe.
NETacc.
21.12.2011, 10:12
Die Verteilung von Malware über o.g. Streamingseiten ist recht effektiv, weil viele der Nutzer es gewohnt sind unterstützende Software oder Plugins installieren zu müssen, um einen reibungslosen Transfer sicherzustellen. Und sei es nur ein "Real Gold Player" mit speziellem Ländercodec o.ä..
Im Avira-Forum berichten einige Fälle, dass sie trotz interaktiver Warnung des Programms auf "Zugriff erlauben" geklickt haben und somit infiziert worden sind.
Leider habe ich bisher keine detaillierte technische Analyse gefunden, so dass man sich mal ein genaueres Bild davon machen könnte.
edit:
Hier ein Artikel von Heise zum Thema. BlackHole scheint tatsächlich den Infektionsweg zu ebnen.
http://www.heise.de/security/meldung/Schad...te-1398669.html
markusg
21.12.2011, 15:54
@NETacc
hab ja oben geschrieben wo du mal anfangen könntest zu suchen und das du dann den netzwerk verkehr überwachen musst.
einfach dort einige filme serien dokus anklicken, die werbebanner testen usw.
aber du musst dazu dann halt ein system mit wenigen updates oder besser keinen updates nutzen.
java, adobe reader, flash quicktime alles so was sollte man drauf haben
man kann im netz beschreibungen finden welche lücken blackhole genau nutzt.
aber mir machen die feiertage schon angst und die zeit wo die leute dann urlaub nehmen bis nächstes jahr, also zwischen den feiertagen, da wird bestimmt noch mehr los sein...
Von diesem Mist Teil kann ich mittlerweile auch ein Lied singen. Ein alter Schulkollege rief mich vor ein paar Tagen an und meinte auf seinem PC geht gar nichts mehr, es kommt nur noch ein Bild wo man per Ukash Geld an das BKA schicken sollte wegen angeblichen Urheberrechtsverstößen. Und ich müsse ihm dringend Helfen wegen einer wichtigen Studienarbeit die er darauf geschrieben hatte. Natürlich gab es weder von der Arbeit noch von den sonstigen Daten auf dem PC ein Backup. Und auch keine Notfall CD von einem AV-Hersteller.
Taskmanager funktionierte gar nicht mehr, Abgesicherter Modus funktionierte dann nachdem 2 oder 3 Versuch. Antivir ging auch nicht mehr richtig und hatte den Virus nicht geblockt oder er hatte auf erlauben geklickt.
Dann wurde erst mal Hitman Pro drüber gejagt der auch einiges gefunden hatte, nach einem Neustart kam dann immer noch das Bild. Dann nochmal Malwarebytes drüber wo auch nochmal einiges gefunden wurde und nach der Reinigung ließ sich Windows dann endlich wieder normal starten.
Das Beste kam aber erst noch, ich sagte ihm er solle zur Sicherheit unbedingt Windows nochmal neuinstallieren. Was nach seiner Auffassung aber nicht nötig tat, schließlich fand Hitman und Malwarebytes jetzt nichts mehr und es müsse nur Antivir neuinstalliert werden. Ich erklärte ihm dann, dass trotzdem im Hintergrund noch was laufen kann, was seine Passwörter ausspioniert oder neuen Schadcode nachlädt. Und PCs auch als Bots verwendet werden können um Angriffe auszuführen, Spam oder Malware zu verteilen etc. Notfalls wäre ich auch vorbei gekommen um das zu machen aber wollte nicht und dann habe ich es auch dabei belassen.
Mehr als meine Hilfe anbieten kann ich auch nicht.
Scheint aber wieder zulaufen, denn gehört habe ich nichts mehr von ihm.
uweli1967
22.12.2011, 00:01
Tja Andy, so ist das: man wird als Helfer dann gerufen wenn es "brennt" und wenn man erfolgreich war und wichtige, gute Tipps gibt, werden die nicht selten ignoriert. Kenne ich auch in etwa so wie du es geschildert hast auch teilweise aus meinem Umfeld, nur zum Glück noch nicht mit BKA/GEMA Virus/Trojaner.
Ich habe einen Bekannten der eine sog. PC Service Werkstatt betreibt und er hatte in den letzten Wochen 25 Kunden die ihm um Hilfe baten weil sich bei denen der GEMA Virus/Trojaner auf ihre Systeme eingenistet hatte und er "durfte" den 25 Leuten ihre Systeme bereinigen und neu aufsetzen(war seine Empfehlung)und alle betroffenen Kunden hatten bis dahin Avira Free installiert gehabt. Er sagte wörtlich zu mir am Telefon: Avira Free kannste in die ...schüssel kippen, das lässt zu viel durch.
Zumal er nicht mal ein unbeschriebenes Blatt ist. Als er noch bei seinen Eltern gewohnt hat war ich öfter mal bei ihm und sein PC war gemessen an der verbauten Hardware extrem langsam unterwegs. Ich fragte dann ob er mal nen Virenscan gemacht hat, er antwortete dann nur dass er kein Antivirenprogramm drauf hätte. Sein Vater sei angeblich ein Experte und hätte im Router einige Ports gesperrt dadurch könnten sie sich Antivirenprogramme sparen.
Mir ist sowas mittlerweile aber auch egal, ich gebe Tipps und biete meine Hilfe an. Wenn sie dann nicht angenommen wird habe ich wenigstens meine Zeit nicht weiterverschwenden müssen.
uweli1967
22.12.2011, 00:23
Ich hab auch nen Bekannten(Neffen, 23)der täglich mit seinem Notebook hauptsächlich bei Facebook usw online ist und er meinte auch er brauche kein Virenschutz Programm. Wenn ich mal nachhake und ihm frage ob er denn mittlerweile auf mich gehört hat und sich eines installiert hätte, sagt er nein das habe er noch nicht gemacht. Er wohnt noch daheim und auf dem PC der Eltern ist Avira Free installiert, aber die Updatefunktion ist wohl deaktiviert und wenn ein Hinweisfenster für Updates kommt, klickt man es weg habe ich selbst schon gesehen. Was will man dazu noch sagen
metabolit
22.12.2011, 02:12
Das hat sicherlich nicht damit zu tun das Avira daran Schuld hat, das grösste Problem sitzt vor dem Rechner.
Wer auf Dinge klickt die er nicht kennt oder Risiken eingeht ohne Sandboxie und Co., na dann bitte schön, von irgendwas muss ein PC Dienst ja Leben und jeden Tag steht immer irgendwo gerade ein Dummer auf.
uweli1967
22.12.2011, 08:18
ZITAT
das grösste Problem sitzt vor dem Rechner.
Stimmt auch metabolit, ich seh's ja am Verhalten der Leute in meinem Bekanntenkreis wie fahrlässig manche Leute da teilweise sind.
NETacc.
22.12.2011, 09:27
ZITAT(uweli1967 @ 22.12.2011, 00:00)
Avira Free kannste in die ...schüssel kippen, das lässt zu viel durch.
Im TB-Forum sind auch infizierte Rechner gelistet, die F-Secure, Avast oder Norton als AV/IS installiert hatten. Wie beschrieben, werden Warnmeldungen von Nutzern häufig ignoriert oder einfach "weggeklickt". Avira erkannte so gut wie alle Varianten am Samstag - zumindest die, die ich auftreiben konnte. Das gilt indes für die meisten, die erkennungstechnisch in der oberen Liga spielen.
markusg
22.12.2011, 12:03
naja die neuen variannten die ich finde werden eig eher selten von avira erkannt, also die die ich von den infizierten pcs hohle.
eher von kaspersky, mse und jetzt auch vermehrt emsisoft, per signatur.
NETacc.
22.12.2011, 12:09
Meist schaltet sich das Webmodul bezüglich BlackHole ein. Eine nachträgliche Erkennung im System habe ich nicht getestet. Leider sind per Default die Heuristikeinstellungen nicht auf hoch gesetzt. Das macht oft den Unterschied aus.
uweli1967
22.12.2011, 12:15
ZITAT
Meist schaltet sich das Webmodul bezüglich BlackHole ein.
Ich schätze mal viele User die Avira Free nutzen, verzichten unbewusst auf den optionalen WebGuard den es nur in Verbindung mit der Ask Toolbar gibt oder wollen beides nicht und so haben wohl bestimmte Varianten des Gema Virus bzw Ransom Infektionen dann "leichtes Spiel" damit Systeme mit Avira Free ohne WebGuard zu infizieren.
markusg
22.12.2011, 12:56
oder sie haben halt noch avira 10. na ob man immer vor dem blackhole pack sicher ist, bzw vor den seiten, häufig wechseln solche seiten ja ziemlich schnell.
ich lasse die user dann sowieso auf emsisoft oder avast umsteigen, die lösung mit toolbars sagt mir irgendwie nicht recht zu :-)
uweli1967
22.12.2011, 13:05
ZITAT
die lösung mit toolbars sagt mir irgendwie nicht recht zu :-)
Mir auch nicht markusg, ich finde es gelinde gesagt unschön von Avira den Usern der Free die Ask Toolbar "aufzuzwingen" wenn die den WebGuard mitbenutzen wollen.
ZITAT
na ob man immer vor dem blackhole pack sicher ist, bzw vor den seiten, häufig wechseln solche seiten ja ziemlich schnell.
Darauf verlassen kann man sich auch nicht vermeintlich immer geschützt zu sein wenn man ein Vienschutz Programm mit Webschutz hat, aber es ist eine zusätzliche Schutzebene wenn man den Schutz durch einen Webschutz hat.
NETacc.
22.12.2011, 13:31
ZITAT(markusg @ 22.12.2011, 12:55)
ich lasse die user dann sowieso auf emsisoft oder avast umsteigen
Emsisoft oder die Bezahlvariante von Avira sind gute Alternativen. Einen Wechsel zu Avast würde ich persönlich nicht empfehlen, da das Programm eine niedrigere Erkennungsrate besitzt und zudem wenig Technologie anbietet, die dieses auffangen könnte.
markusg
22.12.2011, 14:32
ja, aber wenn es kostenlos sein soll gibts ja auch nicht mehr so viele alternativen, avg ist mir persönlich zu zäh und außerdem bekommt mans häufig nur mit removern vom pc
schweift ja jetzt wieder vom thema ab, aber ich schlage dann halt noch die sandbox und update checker usw. vor womit das risiko dann ja noch minimiert werden sollte
du weist ja selbst, es muss am besten immer kostenlos sein :-(
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte
hier klicken.