BKA Trojaner Popup geschlossen und keine Probleme, oder doch ?

[Nico2504]

Hallo,

Bei mir hat sich eben in Google Chrome ein neuer Tab geöffnet mit der BKA Warnung: PC sei gesperrt und Geld soll gezahlt werden etc.

Das lese ich mir schon gar nicht mehr durch, weil ich weiß, dass das ein Fake ist und habe daher einfach den PC neu gestartet und alles läuft wieder ohne Probleme. Meine Firewall hat auch keine Probleme angezeigt.


Ich frage mich, ob die automatische Öffnung dieses BKA Tabs und anschließendem Neustart irgendeine Auswirkung auf meinen PC hat, auch wenn er ohne Probleme weiter läuft ?

Hatte das ganze schonmal vor 2 Jahren und dann vllt alle 2 Monate mal, aber habe nach jeweiligem Neustart nie irgendwelche Probleme gehabt...

Liege ich richtig mit der Annahme, dass die automatische Öffnung dieses Tabs eher darauf hinweist, dass die besuchte Seite unsicher ist und nicht mein PC ?

 

[Phoenix3000]

Das klingt danach als hattest du dir irgendeine Malware eingefangen.

Überprüfe das mal mit malwarebytes.

 

[IRON67]

Liege ich richtig mit der Annahme, dass die automatische Öffnung dieses Tabs eher darauf hinweist, dass die besuchte Seite unsicher ist und nicht mein PC ?

So ähnlich. Die fragliche Seite hat versucht, bei dir nur den EINDRUCK zu erwecken, Browser oder PC wären gesperrt. Dies wird mittels JavaScript realisiert, wovor man sich mit einem geeigneten Scriptblocker bzw. einem sicher konfigurierten Browser schützen kann. Diese billige Nachahmer-Varianter des "echten" BKA-Trojaners nennt sich BrowLock(er) und richtet in der Tat keinen Schaden an.

Das klingt danach als hattest du dir irgendeine Malware eingefangen.

Nein.

 

[tree-snake]

Nein.

Naja kann trotzdem was auf dem PC sein. Scannen kostet nix und es gibt genug so Malware welche auf den PC ist und dann bei neuen Taps genau sowas weiterleitet.

 

[Cin-Hoo]

Noch besser ist ein vorheriger Scan mit einem Linux Live-System, das mehrere Scanner umfasst, wie z. B. c't Desinfec't (mit Avira, BitDefender und Kaspersky) und erst danach ein benutzerdefinierter Komplettscan mit Malwarebytes AntiMalware Home.

Gruß von Cin-Hoo

 

[IRON67]

Naja kann trotzdem was auf dem PC sein. Scannen kostet nix und es gibt genug so Malware welche auf den PC ist und dann bei neuen Taps genau sowas weiterleitet.

Mein NEIN bezog sich auf dein "klingt danach als hattest du dir irgendeine Malware eingefangen". Und dabei bleibts auch. Es klingt nämlich eben NICHT danach, denn hätte er sich etwas eingefangen, das eine Bedrohung darstellt, hätte ein Neustart das "Problem" nicht behoben.

Ein Scan (womit auch immer) wiederum ist extrem unzuverlässig und bietet keinerlei verlässliche Entwarnung, falls nichts gefunden wird. Viel wichtiger wäre es, den Browserverlauf zu prüfen, um an die präzise Adresse zu gelangen, die die Fake-Meldung produzierte. Diese Adresse ließe sich dann viel leichter prüfen.

 

[Cin-Hoo]

Überhaupt auf einer solchen Fake-Website zu landen, attestiert dem TE aber auch ein nicht gerade besonders gut durchdachtes Surfverhalten, weshalb ich, wie Phoenix3000 und tree-snake, eine (zusätzliche) Malware-Infektion (jetzt oder bereits länger zurückliegend) nicht ausschließen würde.

Wenn man mehrere Scans über ein sauberes Live-System mit einem nachträglichen Malwarebytes-Scan (und vielleicht noch einem der installierten AntiMalware-Suite) kombiniert, erhält man durchaus ein verlässliches Ergebnis.

Gruß von Cin-Hoo

 

[Nico2504]

So ähnlich. Die fragliche Seite hat versucht, bei dir nur den EINDRUCK zu erwecken, Browser oder PC wären gesperrt. Dies wird mittels JavaScript realisiert, wovor man sich mit einem geeigneten Scriptblocker bzw. einem sicher konfigurierten Browser schützen kann. Diese billige Nachahmer-Varianter des "echten" BKA-Trojaners nennt sich BrowLock(er) und richtet in der Tat keinen Schaden an.

Vielen Dank, das ist genau das was ich hören wollte und ich mir auch schon gedacht (oder erhofft) hatte


Klar nebenbei noch scannen kann natürlich nie schaden.

Ich muss gestehen, dass ich mich dabei bisher nur auf den Windows Defender und meine Fritzbox verlassen hatte.

Ich habe mir eben mal Avira gezogen und zum ersten mal überhaupt einen AntivirusTest gestartet und wie erwartet wurde nichts gefunden.

Darüber hinaus habe ich den Avira Browser Safety installiert und werde in Zukunft mir komisch erscheinende Seiten nicht mehr besuchen.

 

[Cin-Hoo]

Einen reinen Scan mit einem neu installierten Avira Free Antivirus kannst du wirklich vergessen, wenn du zuvor so unvorsichtig vorgegangen bist und dich nur auf den Windows-Defender verlassen hast (bis einschließlich Windows Sie7en bot er nur AntiSpyware-Funktionen, ich hoffe deshalb, dass du Windows 8.1 oder 10 einsetzt), denn dann kann die Avira-Installation bereits manipuliert wurden sein und das Ergebnis ist dadurch nutzlos. Wenn du wirklich Gewissheit haben willst, musst du nach meiner Methode vorgehen (Scans über sauberes Linux Live-System + nachträglicher Scan mit Malwarebytes AntiMalware Home). Im Übrigen bietet dir Avira Free Antivirus auch keinen optimalen Schutz, weil es nur einen Lokalguard und für die Browser das Cloudbewertungs-Add-On besitzt (also keinen anwendungsübergreifenden Webguard, wie im Gegensatz dazu z. B. avast! Free Antivirus einen umfasst).

Gruß von Cin-Hoo

 

[IRON67]

Überhaupt auf einer solchen Fake-Website zu landen, attestiert dem TE aber auch ein nicht gerade besonders gut durchdachtes Surfverhalten...

Nein. Du begibst dich auf ein sehr wackliges Podest. Es ist absolut trivial, auf einer an sich vertrauenswürdigen Seite entweder einen Link oder eine Weiterleitung oder Werbepartner einzubinden, so dass eine entsprechend präparierte Seite geladen werden kann, zumal sehr oft gerade solche gut beleumundeten Seiten schlecht administriert werden und daher anfällig für kriminelle Manipulationen sind. Niemand - auch DU nicht - kann ausschließen, selbst bei vorsichtigstem Surfen einmal auf so einer Seite zu landen.

Das ist aber auch gar nicht das Problem. Die Browser-Konfiguration und der Update-Stand des Systems entscheiden letztlich darüber, ob so eine Seite Schaden anrichten kann. Ein Virenscanner dagegen schafft das nicht.

 

[Cin-Hoo]

@IRON67
Das mag sein, aber ein Werbeblocker mit integriertem oder separatem Tracking-Schutz gehört bei der heutigen Gefahr durch Malvertising zur Grundausstattung und da Werbung und Tracker den größten Teil der (unkontrollierbaren) extern eingebundenen Inhalte ausmachen, sollte sich das diesbezügliche Risiko dadurch, zumindest auf seriösen Websites, doch um einen hohen Faktor reduzieren lassen (auf NoScript verzichte ich, weil mir das ewige Whitelisten zu aufwendig ist). Außerdem gab er ja zu, dass er es bis zum jetzigen Zeitpunkt mit der allgemeinen Sicherheit nicht sehr eng sah (zumal ich seine neuerliche Wahl von Avira Free Antivirus aus den o.g. Gründen auch nicht für besonders optimal halte), weshalb deine These, einen Scan für vollkommen unnötig zu erklären, ohne überhaupt den Zustand seines Systems zu kennen, auch ziemlich wackelig war.

Gruß von Cin-Hoo

 

[IRON67]

@IRON67
Das mag sein, aber ein Werbeblocker mit integriertem oder separatem Tracking-Schutz ... (auf NoScript verzichte ich, weil mir das ewige Whitelisten zu aufwendig ist).

Warum wohl habe ich etwas von einem sicher konfigurierten Browser geschrieben? Übrigens ist das "Whitelisten" keineswegs aufwändig. Man sollte das tunlichst unterlassen und stattdessen allenfalls temporär von Fall zu Fall Skripte der Domain selbst zulassen, wenn eine Seite partout nicht funktioniert.

...weshalb deine These, einen Scan für vollkommen unnötig zu erklären, ohne überhaupt den Zustand seines Systems zu kennen, auch ziemlich wackelig war.

Das ist nicht meine These, sondern deine voreilige und kurzsichtige Interpretation. Wenn ich schreibe, dass ein Scan (womit auch immer) extrem unzuverlässig und das Ausbleiben von Funden nicht als Entwarnung gewertet werden darf, dann meine ich das genau so und nicht anders! Ich mache damit auf den Kardinalfehler der meisten User aufmerksam, sich blind auf Virenscanner zu verlassen und ebenso auf den wohlmeinender Helfer, die es nicht für nötig halten, auf die immanenten Schwächen aller Schutzsoftware ausdrücklich hinzuweisen, so dass die potenziellen Opfer all zu schnell beruhigt so weitermachen wie bisher.

Wie du auf die Idee kommst, ich hätte einen Scan für vollkommen unnötig erklärt, ist mir schleierhaft.

 

[Dr. McCoy]

Hatte das ganze schonmal vor 2 Jahren und dann vllt alle 2 Monate mal, aber habe nach jeweiligem Neustart nie irgendwelche Probleme gehabt...

Wenn Du das alle zwei Monate hat, ist das zuviel. Selbst ein Mal ist eigentlich schon zuviel. Verwende im Browser einen Adblocker (z.B. uBlock Origin) sowie einen Scriptblocker (wie z.B. NoScript, mit deutlich mehr Funktionsumfang, als es ein reiner Scriptblocker bietet), konfiguriere und bediene diese sinnvoll, und halte sie, wie den Browser selbst, stets auf dem aktuellsten Stand.

Ich muss gestehen, dass ich mich dabei bisher nur auf den Windows Defender und meine Fritzbox verlassen hatte.

Inwiefern die FritzBox? Diese bietet keinen anwendungsbezogenen Schutz, das heißt, wenn Dein Browser schlecht konfiguriert, gewartet, etc. wurde, dann kann auch ohne Weiteres sehr schnell Dein System mit Malware infiziert werden. Und wenn Du Dich bisher zudem nur auf einen Virenscanner verlassen hast, ob der nun Windows Defender, Avast, AntirVir oder noch anders heißt, ist das immer schlecht, denn die Wirkungsbreite von Antimalware-Programmen ist prinzipiell stark begrenzt.

Von daher stellen Deine nun getroffenen Maßnehmen ...

Darüber hinaus habe ich den Avira Browser Safety installiert und werde in Zukunft mir komisch erscheinende Seiten nicht mehr besuchen.

... keine signifikanten Vorteile im Vergleich zu bisher dar, im Weiteren verfolgst Du mit dem Versuch der Meidung "komisch erscheinender Seiten" den falschen Ansatz -- wenn sie Dir z.B. erst nach Aufruf (optisch) komisch erscheinen, kann es bereits zu spät sein (Drive-by-Infektion), zudem kann Malware -- oder solche PopUps -- auch auf "normalen" Webseiten hinterlegt sein, z.B. über infizierte/präparierte Werbebannter, etc.

 

[purzelbär]

Meine Zusammenfassung zu User Nico2504: das war eine Fake Seite im Browser die vorgaukelt das en BKA Trojaner da wäre und sobald der Browsercache gelöscht ist, ist das weg. Infektion brauchst du da keine zu befürchten. Aber: setz dich mal hin und kümmere dich mehr darum wie du dein System und deinen Browser absichern kannst, dazu wurde dir ja schon einiges genannt und es ist zu wenig wenn du sagst du hättest ja ein Virenschutz Programm installiert. Aktualisiere immer zeitnah dein Windows, Programme, Browser Browser Plugins usw und mach dich damit vertraut wie die Plugins für Browser funktionieren und konfiguiert werden können. Weiterhin überlege dir künftig 2 mal wo du im Internet unterwegs bist und überprüfe regelmässig dein System mit dem OnDemand Scanner deines AV's und danach zusätzlich mit einem OnDemand Scanner wie EEK oder Malwarebytes Free. Ausserdem mach regelmässig Systembackups deiner im PC verbauten Festplatte auf der Windows und alles installiert ist auf eine USB Festplatte denn wenn du mal an richtig fiese Malware wie Locky, Teslacrypt oder ähnliche Erpresser Trojaner gerätst siehst du sonst alt aus wenn du keine Backups auf der USB Festplatte hast die nur dann angeschlossen werden sollte wenn sie für Backups auch benutzt wird.

 

[Cin-Hoo]

@IRON67
Meinen ersten Satz bezog ich lediglich darauf, dass man auch ohne NoScript einen (relativ) sicher konfigurierten Browser haben kann und ich damit, sofern Werbe- und Trackingblocker aktiviert waren, ein solches Problem noch gar nicht hatte (gerade ein derartiger Fake-Banner ist mir noch nie über den Weg gelaufen). NoScript aktiviert zu haben, wäre mir, egal ob mit temporären Erlaubnissen oder mit einer langen Whitelist, auf Dauer einfach zu nervig (ich weiß nicht, ob Wau Holland persönlich über meinen PC wacht, aber bis jetzt hatte ich, wie bereits erwähnt, auch immer ohne diesen zusätzlichen Schutz Glück ). Dass du die Wichtigkeit eines sicher eingerichteten Browsers schon genannt hattest, wollte ich mit dem Einleitungssatz gar nicht in Frage stellen.

Wenn ich deine Aussage falsch interpretiert habe, tut es mir Leid. Nur da du sofort zu 100 % ausgeschlossen hast, dass dabei etwas Derartiges passiert sein könnte oder bereits vorhandene Malware zum Aufruf dieses Banners beigetragen haben könnte und auch die Aussagekraft jeglicher Malwarescan-Ergebnisse in Frage stelltest, ergab sich für mich einfach diese Interpretation. Dann formuliere es das nächste Mal doch bitte etwas dezenter. Aber was sollte man, deiner Meinung nach, bei einem schwachen Verdacht (z. B. weil man nicht sofort alle Updates installieren konnte oder eine Website doch nicht so vertrauenswürdig wirkt, wie in den Suchergebnissen erst angenommen) tun, wenn alle Malwarescanner keine ausreichenden Ergebnisse liefern (die Frage ist ernst gemeint)? Immer sofort Windows komplett neu installieren? Eigentlich müsste man einer großen Kombination aus Scans, von denen, wie bei meiner Methode, die meisten über ein sauberes Linux Live-System durchgeführt werden, doch vertrauen können?

@Nico2504
Halte dich auf jeden Fall an die von purzelbär genannten Maßnahmen, um das Risiko in Zukunft minimal zu halten.

Gruß von Cin-Hoo

 

[IRON67]

...Nur da du sofort zu 100 % ausgeschlossen hast, dass dabei etwas Derartiges passiert sein könnte...

Du tust es schon wieder. Ich habe nichts zu 100% ausgeschlossen. Ich habe nur deinem "sieht so aus, als hättest du dir Malware eingefangen" widersprochen, denn - ich wiederhole mich nun zum zweiten Mal - es SAH NICHT SO AUS.

Es gibt einen erheblichen Unterschied zwischen "sieht so aus" und "hast dir definitiv etwas eingefangen".

Dann formuliere es das nächste Mal doch bitte etwas dezenter.

Nein. Du höre bitte auf, mir die Worte im Mund zu verdrehen und etwas hinein zu interpretieren, was da nicht steht und was auch völlig absurd wäre.

Aber was sollte man, deiner Meinung nach, bei einem schwachen Verdacht (z. B. weil man nicht sofort alle Updates installieren konnte oder eine Website doch nicht so vertrauenswürdig wirkt, wie in den Suchergebnissen erst angenommen) tun, wenn alle Malwarescanner keine ausreichenden Ergebnisse liefern

Das schrieb ich bereits. Man eruiert anhand der Uhrzeit, zu der sich das ereignete, die im Verlauf (Chronik) in diesem Zeitfenster aufgerufenen Seiten und nennt diese. Erfahrene Helfer können dann mit ihren sicherer konfigurierten Browsern ggf. prüfen, welche davon der Verursacher war und was genau sich da tut oder recherchieren, ob eine davon bereits negativ aufgefallen ist.
Ebenfalls hilfreich wäre es, die konkreten Einstellungen und ggf. installierte Add-ons des betroffenen Browsers inkl. relevanter Versionsnummern zu nennen.

Und eine weitere Wiederholung: Nach einem solchen Vorfall zu scannen, ist extrem unzuverlässig. Im ungünstigsten Fall (Malware wurde installiert), ist der Scan sogar NOCH unzuverlässiger. Daher müssen erstmal Fakten gesammelt werden, die von eventueller Malware höchstwahrscheinlich nicht verfälscht werden.

 

[Cin-Hoo]

Na gut, dann habe ich dich wirklich missverstanden.

Klar, ohne die genaue URL der verdächtigen Website und Details zur verwendeten Software zu nennen, macht es natürlich keinen Sinn hier anzufragen.

Aber angenommen, ich würde nach einem Verdacht alle internen Datenträger mit z. B. c't Desinfec't (wo Avira, BitDefender und Kaspersky ja in einer wirklich sauberen Ubuntu-Umgebung durchgeführt werden) scannen, kann ich damit doch schon einmal schwerere Infektionen ausschließen, die nötig wären, um die installierte AntiMalware-Suite zu manipulieren (sehe ich das falsch?)? Wenn ich nun noch mit der installierten AntiMalware-Suite und danach mit Malwarebytes AntiMalware Home scanne, habe ich auch noch Registry-Manipulationen abgedeckt und alles wurde zusätzlich mit Code-Emulation geprüft, sodass ich doch eigentlich ein verlässliches Ergebnis haben müsste (es sind schließlich fünf von einander unabhängige Resultate)? Oder sind AntiMalware-Suites wirklich so unzuverlässig? Und wenn ja, was können Skripte anrichten, was nicht auch von unversehrter Schutzsoftware erkannt werden könnte?

Gruß von Cin-Hoo

 

[IRON67]

Aber angenommen, ich würde nach einem Verdacht alle internen Datenträger mit z. B. c't Desinfec't ...scannen, kann ich damit doch schon einmal schwerere Infektionen ausschließen, die nötig wären, um die installierte AntiMalware-Suite zu manipulieren

Nein, kannst du nicht und ja, siehst du falsch. Malware muss nicht das laufende AV manipulieren, weil die meisten AVs inklusive solcher auf CDs unter Linux die Malware einfach nicht erkennen.

.....sodass ich doch eigentlich ein verlässliches Ergebnis haben müsste

Es gibt keine verlässlichen Scanergebnisse. NIE. Das zu akzeptieren und zu begreifen, fällt den meisten Menschen leider extrem schwer und darum gibts auch so viele dauerinfizierte Rechner.

...(es sind schließlich fünf von einander unabhängige Resultate)?

Und wenn du mit zwanzig AVs scannen würdest, können immer noch alle versagen. Aktuelle Malware wird bestenfalls zu 40% erkannt.

 

[Cin-Hoo]

So schlimm hatte ich mir das Ganze wirklich nicht vorgestellt, das sind ja tolle Aussichten.

Da frage ich mich allerdings, inwieweit die kostenpflichtigen (und teilweise sehr teuren) AntiMalware- und Internet Security-Suites überhaupt noch ihre Daseinsberechtigung haben, wenn man zum größten Teil sowieso auf sich allein gestellt ist und noch nicht einmal die Scanergebnisse der Bootmedien verlässlich sind? Dann kann man doch auch zu einer der kostenlosen AntiMalware-Suites greifen, von denen es mittlerweile ja auch kommerziell nutzbare Varianten gibt?

Wenn es wirklich so drastisch ist, wie du schreibst, muss man doch auch davon ausgehen, dass die meisten Smartphones (zumindest die bereits im Malware-Fokus befindlichen Android-Geräte) "Zombies" sind, oder? Denn dort wird der Großteil der Aktivitäten ja über separate Apps erledigt, für die der im Browser installierte Skriptblocker nicht greift. Wenn nun der Server, über den z. B. die Wetter- oder News-App ihre Inhalte abruft, kompromittiert wurde, werden die bösartigen Skripte doch nicht geblockt und können, zumindest auf Benutzerebene, ihre Befehle ausführen? Oder wie ist das bei Smartphone-Apps?

Gruß von Cin-Hoo

 

[IRON67]

Da frage ich mich allerdings, inwieweit die kostenpflichtigen (und teilweise sehr teuren) AntiMalware- und Internet Security-Suites überhaupt noch ihre Daseinsberechtigung haben...

Du darfst eines nie vergessen. Diese Produkte werden verkauft. Das heißt, ihre Daseinsberechtigung war von jeher und wird es auch immer sein, dem Hersteller Geld einzubringen. Die kostenlosen dienen dem Image, der Werbung und der Aquirierung neuer Kunden für kostenpflichtige Lösungen.

Wenn es wirklich so drastisch ist, wie du schreibst, muss man doch auch davon ausgehen, dass die meisten Smartphones (zumindest die bereits im Malware-Fokus befindlichen Android-Geräte) "Zombies" sind, oder?

Wieso begrenzt du das auf Smartphones? Das gilt ebenso für Privat-Rechner. Aber es stimmt schon: der Anteil der mobilen Bedrohungen ist in den letzten paar Jahren sprunghaft gestiegen und ist mittlerweile die Hauptbedrohung für User.