Neuer BKA-Trojaner kompromittiert Systeme mit kinderpornografischen Bildern

Seit längerer Zeit ist der sogenannte „BKA-Trojaner“ ein großes Ärgernis für Nutzer von Windows-Rechnern. Bei betroffenen Systemen wird der komplette Internetverkehr auf nicht zurückverfolgbare Webseiten umgeleitet, fiktive Protokolle und BKA-Logos weisen darauf hin, dass der Computer vom Bundeskriminalamt wegen mehrerer illegaler Downloads beschlagnahmt sei. Die einzige Abhilfe sei die Bezahlung eines hohen Betrages an ein ausländisches Konto. Ein Großteil der Nutzer fällt darauf zwar vermutlich nicht herein, das Entfernen des Trojaners ist trotz diverser Tools jedoch nicht so einfach. Jetzt ist eine gänzlich neue Version des BKA-Trojaners im Netz aufgetaucht. Dieser nutzt eine perfide Methode, die Nutzer zu schocken und zum Bezahlen zu zwingen, denn er lädt kinderpornografische Bilder auf den Computer und droht Nutzern mit einem Ermittlungsverfahren.

Die Spitze der Scareware?

Wie bereits beschrieben sind die BKA-Trojaner nichts neues und in einer schwächeren Form bereits seit Monaten im Netz unterwegs, der neue Kinderporno-Trojaner ist aber insofern wirklich gefährlich, da selbst das unbewusste Herunterladen kinderpornografischer Schriften eine Straftat darstellt. Das Bundeskriminalamt gibt jedoch Entwarnung, gegen betroffene Rechner wird kein Ermittlungsverfahren geführt und auch die Zahlung der verlangten Summe hilft nur den Programmierern der skrupellosen Software. Der Trojaner muss, auch zum Schutz gegen das Herunterladen möglicherweise weiterer illegaler Bilder, so schnell wie möglich restlos entfernt werden. Den Trojaner zu entlarven ist nicht schwer, er nutzt das Logo der Pressestelle des Bundeskriminalamts, die verwendeten Bilder sind immer die gleichen, die Bildunterschriften tragen die Namen der Mädchen: „Gabriela Nunez“, „Chin-Sun Kim“, „Ashlee Stiller“ und „Linda Green“. Zudem zeigt der Trojaner bei vorhandener Webcam ein Bild des Nutzers und gibt an, dieses würde im Rahmen der Ermittlung für die Identifizierung verwendet.

So verbannt man den BKA-Trojaner vom Computer

Hinweis: Da sich die Software des BKA-Trojaners in den letzten Monaten mehrmals verändert hat und immer wieder neue Revisionen auftauchen, gibt es momentan noch keine Tools, die eine vollständige Entfernung garantieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deswegen eine manuelle Deinstallation und die Durchführung eines kompletten Scans mit der Software „HitmanPro„, die mehrere Suchengines vereint.

  1. Da der Trojaner den Zugriff auf Task-Manager und weitere Windows-Funktionen sperrt, starten Sie ihren Computer neu und wechseln Sie in den „Abgesicherten Modus„. Diesen erreichen Sie durch Druck auf die Taste [F8] vor dem Bootvorgang.
  2. Melden Sie sich als Administrator an.
  3. Öffnen Sie das Startmenü oder den Windows-Explorer und geben Sie in das Suchfeld „.exe“ ein. Gehen Sie dabei sicher, dass „Versteckte und Systemdateien“ in die Suche einbezogen werden. Diese Option finden sie in den Ordneroptionen unter „Systemsteuerung“.
  4. Nach dem Suchvorgang sortieren Sie die Liste durch einen Rechtsklick nach dem Filterkriterium „Änderungsdatum“. So werden die zuletzt veränderten Einträge ganz oben angezeigt. Suchen Sie hier nach Dateien, die aus zufälligen Zahlen- und Buchstabenkombinationen bestehen. Zudem haben die vom Trojaner erstellten Dateien kein Symbol und das Änderungsdatum entspricht dem Tag, an dem das Trojaner-Fenster zum ersten Mal angezeigt wurde.
  5. Schließen Sie den Explorer und wechseln Sie in die Registry, indem Sie die Tastenkombination [Windows-Taste][R] drücken und „regedit“ eingeben.
  6. Suchen Sie dort die Schlüssel „HOTKEY_CURRENT_USER“ und „HOTKEY_LOCAL_MACHINE“ sowie nach den Einträgen „Run“, „RunOnce“ und „RunServices“. Auch hier suchen Sie wieder nach Einträgen, die zuletzt geändert wurden und aus zufälligen Zahlen- und Buchstabenkombinationen bestehen.
  7. Löschen Sie alle Dateien im Papierkorb
  8.  Starten Sie den Rechner neu, öffnen Sie den Browser und überprüfen Sie die Startseite. Handelt es sich dabei um die gewohnte Webseite oder die vom Browser als Standard gesetzte, wurde der Trojaner erfolgreich entfernt.
  9. Wer ganz sicher gehen will, nutzt nach dem manuellen Entfernen zusätzlich das vom BSI empfohlene HitmanPro, jetzt sollte der Trojaner restlos entfernt sein.