Direkt zum Inhalt | Direkt zur Navigation

Benutzerspezifische Werkzeuge

This Logo Viewlet registered to Business4 Theme
Sie sind hier: Startseite / PC-Service / Allgemeine Betrachtungen zum UCASH: Entwicklung, Wissen, Loswerden, Gegenmaßnahmen

Allgemeine Betrachtungen zum UCASH: Entwicklung, Wissen, Loswerden, Gegenmaßnahmen

Abdruck eines eigenen Beitrages aus dem forum.botnet.de.

von allegronet (veröffentlicht im Forum: www.forum.botfrei.de am 6.7.2012 gegen 11.00 Uhr)
im nachhinein (15.7.2012) mit einigen anmerks versehen)

Allgemeine Betrachtungen zum UCASH: entwicklung,wissen,loswerden,gegenmaßnahmen

Guten Tag allerseits,
ich meide meistens die anti-viren-foren, weil zu oberflächlich, zu autoritär, teilweise dämlich, und und und. aber hier scheint es sich zu lohnen, mal ein beitrag abzusetzen.
Vor allem: die adresse http://www.bka-trojaner.de/ hat mich beeindruckt! Großes Lob für die Zusammenstellung!

Der Hauptgrund: ich fühle mich seit ca 2 Wochen stark verunsichert, was die erfolgreiche Bekämpfung der mannigfaltigen Erscheinungsformen des UCASH angeht. Teilweise bin ich hilflos! Auslöser: heute der VIERTE anrufer seit ca 2 wochen in meiner PC-Werkstatt, der den UCASH zum wiederholten(!!!) male meldet. ich meine, ich habe vier kunden, die vor monaten den UCASH hatten, ich habe ihn erfolgreich (welche frage) wegmachen können, aber sie stehen wieder auf der matte. also quasi "stammkunden". so soll es NICHT sein! ziel meiner bemühungen ist, die leute sauber zu bekommen und zu halten, daß sie ohne angst und furcht und sauber weiterarbeiten können. egal, was sie im internet machen. schweinkram :-): sich anschauen, hart arbeiten usw usw.


fangen wir mal ein paar "fakten" zusammenzutragen...


Was weiss ich über den virus?
-ich bezeichne mal "Ucash" als den stammnamen für den typ
-er kommt in sehr vielen erscheinungsformen vor (s.a. [URL="http://www.bka-trojaner.de/"])
-es gibt ihn mindestens seit dem 1.4.2011 (es hat laut BKA? oder einem anderen Bundesinstitut einen presseerklärung zum 1.4.2011 gegeben, mit dem versprechen in kürze ein gegenmittel zu präsentieren). nun, da kam "natürlich" nichts.
-ein virus, der seit über einem jahr NICHT geschlagen wurde.
-er scheint auf linux-systemen nicht vorzukommen
-er scheint auf nichtjugendfreien seiten aufzutauchen. KEINER konnte mir bislang eine quelle, eine http-seite nennen. ich hätte ihn gerne selbst "erlebt"! es kann nicht im sinne der p-industrie sein, viren zu verteilen. sie sollen freude verteilen, dafür geld nehmen dürfen, aber eben keine viren. obwohl ich immer scherzhaft meine leuten sage: NIE OHNE KONDOM INS INTERNET!
-er tauchte auch mal auf einer gewerblichen kfz-seite in raume sachsen auf.
-einmal hat ihn jemand sich von einer facebook-seite reingeholt (es war eine freundschaftsanfrage... ich erinnere mich, es war im herbst 2012; seitdem nie wieder vorgekommen).
-zufällig im märz/april 2012, auf den oracle-seiten, die das java herstellen, habe ich eine warnung gelesen, die sich auf den ucash bezog. es wurde gesagt, wer altes java bis inclusive 6_30 hätte, müsse unbedingt updaten. 6_31 sei sicher, sowie die damals noch nicht offizielle 7'er serie. merkwürdig ist, daß ich diese meldung NUR auf den orcale-seiten gelesen habe, aber in der c't schien mir nichts darüber geschreiben worden zu sein.
-die aussage: 6_31 sei sicher, ist seit dem april2012 nicht mehr zu halten. bei den "stammkunden" wurde natürlich auch immer das java erneuert, es half nichts.
-sicherlich wurde er auch in der c't erwähnt, mit ein paar viel zu simplen bekämpfungstips. (dazu später)
-also ist seit vielen monden sehr aktiv, mega-aktiv (ich habe es bei keinen anderen virustyp als so negativ aufdringlich erlebt, wie diesen....)
-er hat definitiv und nur ausschliesslich mit java etwas zu tun (beim entfernen stosse ich immer auf hinweise "meines" antivirenprogrammes, die auf ein java-verzeichnis im usersprofile zeigen)
-es ist völlig egal, ob der user ein admin-typo war oder ein kastrierter nutzer! (das c't-gerede vom no-admin ist mumpitz!)
-vereinzelt wird ein proxyserver in de MSIE eingetragen (bei socks ein 5stelliger port)

-es wird eine internetverbindung -irgendwie- genutzt. ich habe später (nach erfolgreichem entfernen) dann die DROHseite auf diese www-adresse zugreifend gesehen: http://flake.flakehouse.com/pc2/poli...EB4A5B5D9E2555
flakehouse.com resolves to 64.202.189.170
googelt man, so bekommt keine wesentlichen hinweise.
ich würde diese adresse NICHT aufrufen. ich habe es gerade trotzdem gemacht (mit dem eintrag "zyx-PC"!). es passiert nichts. nur die DROH-seite kommt. antimalwarebytes fängt nicht an zu bellen. ebenso MSE. ich denke, es ist "nur" die DROHseite. der virus findet woanders statt, der virus ruft nur(?) diese seite auf.
nebenbei: da oben steht zyx-PC. in wirklichkeit stand da die setvariable für "userdomain" (also name des befallenen PC's). vermutlich ist flake ein gekaperter (billig)server, wo die betreiber des servers -wie so oft- keine ahnung zum thema sicherheit eines internet-servers haben.

-er wird von den großen vertretern nicht erkannt, oder durchgelassen. ich kann nur von den fällen reden, die in meiner werkstatt auftauchen. will sagen, ich kenne keine positiven fälle, wo die großen vertreter ihn beseitigen.
-er wurde auch von meinem derzeit favourisierten antivirusprogramm (MicrosoftSecurityEssentials=MSE) bei meinen "stammkunden" nicht erkannt. UND DAS IST DiE KATASTROPHE. erst im nachhinein.


einen besonders schweren fall "der verschlüsseler" habe ich im juni 2012 erlebt.

ein bibliotheksprojekt, welches mir sehr am herzen liegt, hatte den ucash mit verschlüsselung bekommen.
das netz: 1x linuxserver und ca 20 windows-clienten (mit smb an die datenbank gebunden).
ein client: schwupps: ucash. naja, wird wohl nicht so schlimm sein, wir haben ja übung. dachte ich, als ich telephonisch davon hörte. das ganze lief dann telephonisch ab, es hat ca 6 std gedauert.
der client, ein windowsXP war wohl genügend gesichert (ich kann dazu nicht viel sagen. die lokalen admins haben sich darum immer gekümmert), der "schirm" hat wohl nix geholfen. egal. alles im normalbereich. dachte ich.
FALSCH. wie sich herausstellte, waren ALLE dateien auf dem clienten verschlüsselt. egal. viel schlimmer: alle dateien, die der client auf dem linuxserver zu sehen bekommen hatte, waren ebenfalls verschlüsselt.
die tools, die der schirm (damals) anbot, und ein anderer entschlüsseler aus russland, haben nicht helfen können, da es keine äquivalente datei gab, die man miteinander hätte vergleichen können. die datenbankdateien haben sich immer vergrössert! ein sekundenaltes backup hätte NIE helfen können. grosses schlamassel.
GUT war: dass die datenbankdateien nur in den ersten 1000 zeichen veschlüsselt war, und man diese 1000 zeichen mit einem hexie wegschneiden konnte. es betraf nur die ersten 10-15 datensätze. GUT war eben, daß die datenbank mit viel glück (fast) ascii-lesbar war. (auf die besonderheiten von allegro-C mag ich jetzt nicht eingehen, wer sich dafür interessieren sollte, kann dieses seitenweise auf meinen seiten tun.) fast war ich soweit, daß ich die erpressung bezahlt hätte. da kam das erste mal das gefühl der onmacht auf! leute! leute!


ich bezeichne mich als hilflos!
4 stammkunden, die innerhalb "kurzer" zeit wieder kommen, die eigentlich alles drauf haben (dazu später noch), die also mit kondom ins internet gehen.
NEE! ich bin hilflos!
das kondom hat ein loch!
haben "wir" wirklich gegen das virus verloren?


ok: wie werde ich das dreckzeug los? (jetzt wirds interessant!)
was muß ich als werkzeug einsetzen, um den pc sauber zu bekommen?
ich erwarte aktive mithilfe von den mitleidenden mitlesern. ;-)

vorweg: so schön und evtl hilfreich das forum http://www.bka-trojaner.de/ ist, so wenig hilfreich im konkreten fall ist es meistens. allgemeines gejammer, hilfestellungen, die gut gemeint sind. wer als leidender keine stabilen grundkenntnisse des betr.systems, braucht gar nicht erst anzufangen. die tips aus dem forum helfen selten.
warum diese negative einstellung? es gibt KEINE generelle lösung, um ucash wegzubekommen. es gibt zu viele ucash-arten.
ich kann nur gedankenanstösse geben. vorgehenstips, die mir geholfen haben, die aus meiner "ultralangen" erfahrung kommen ;-)
ich behaupte, für mich eine erfolgsquote von 80-90% erfolgreichen (und dauerhaften?) beseitigung der befälle zu haben, ohne den rechner neuzuinstallen. widerspruch: 4 stammkunden sind wiedergekommen.

ich hab mal die überlegungen in einer art zeitlicher reihenfolge notiert.
so gehe ich vor:
1. aktueller user ist blockiert. gibt es einen zweiten user?
2. aktueller und alle anderen user sind blockiert. komme ich in den abgesicherten modus rein? kann ich einen neuen sauberen user anlegen und mit ihm die maschine sauber zu machen ?
2a. manchmal klappt es nicht, den verseuchten user sauberzubekommen. dann müssen seine daten und einstellungen in einen neuen user verbracht werden.
3. ich komme nicht mal in den abgesicherten modus rein. was nun?
4. mit externen iso-cd's vom regenschirm, vom russen (es gibt spezialtools!) probieren. oder auch die inzwischen brauchbare desinfect-cdrom der c't (sie war einige jahre nicht wirklich brauchbar!)
5. der rechner ist so alt/exotisch, daß die iso nicht bootet.
6. platte ausbauen, an eine testmaschine als zweitplatte ranhängen (es soll von ihr nicht gebootet werden), dann mit normalem virenscanner ran (z.b. MSE)
7. wenn ich !kann!, installiere ich antimalwarebytes. er findet die meisten befälle.
=das klappt meistens in 80-90% der fälle...
=man rechne sich mal die zeit zusammen, die man aufbringt, wenn man bei punkt 6 angelangt ist. der kunde bekommt dafür bald einen neuen pc. ich habe einen effektiv stundensatz von €25-35,-

was ich nicht weiss:
1. ist ESET brauchbar?
2. spybot gibt es als bootbare cdrom (kommerziell): V1.63 oder so. der kommt in die registry rein. irgendwie. ist alles sehr mühsam und dauert SEHR viel zeit! zu viel zeit! die version ist auch zu alt. nur ich "traue" spybot nicht mehr. ich installiere es seit ca 1 jahr nicht mehr. es hat keinen säuberungseffekt mehr. es war früher mein mittel der ersten wahl!
wer sich mal das drama/gehampel um die neuentwicklung V2.0 anschaut, der verzeifelt. seit 2 oder 3 jahren gibt es mehr oder weniger unbrauchbare betaversionen (letzter stand 2.0.8. beta 6). falsch. ok. juhu! seit kurzem: 2.0.9 RC1. als 46MB-paket. dürfen wir alle hoffen? es ist fünf nach zwölf! ich würde gerne (wieder) spybot meinen leuten empfehlen. natürlich nur zusätzlich! info an die profis (die damit geld verdienen!) unter uns: bei spybot es gibt service-aufkleber zu kaufen, die man im voraus kauft (ich glaube €5,- pro stück), damit kann man spybot an seinem gewinn beteiligen.
3. als kommerzielles produkt könnte man antimalwarebytes als zusätzliches antivirentooll empfehlen. könnte man wirklich?
wer weiss mehr?



ok: was kann man gegen ucash tun? (jetzt wirds interessant!)
wie kann man den PC für den Kunden aktiv schützen?
ich erwarte aktive mithilfe von den mitleidenden mitlesern. ;-)
1. java erneuern. bei 64bit-maschinen beide varianten des javas installen (64bit und 32bit). die aktuelle version ist 7_5.
2. ein anständiges antivirenprogramm installieren. meine wahl ist seit anfang 2011 auf MSE (MicrosoftSecurityEssentials) gefallen.
warum dieses? sicherlich ist ein argument: es ist auch für gewerbetreibende kostenlos. obwohl: die paar euros (20-50,-) pro jahr sollte man für ein sicheres kondom schon ausgeben, gelle?
warum kein anderes: ich habe zu viele namhafte anti-viren-programme gesehen, die nicht auf das eindringen des ucash reagiert hatten. da lautete die entscheidung ganz schnell: deinstall! bis vor kurzem schien ich auf der sicheren seite zu sein, daß MSE eine gute wahl sei....
ich denke, daß ich alle anti-viren-prg's kenne (clamav lassen wir mal als spass-programm beseite, nicht wirklich ...). allerdings: zu ESET kann ich nichts sagen. wer weiss darüber? (ja, bei der c't, den sonderheften oder sondercd's gibt es immer eine kostenlose lizenz. aber das zeitfenster, um es zu registrieren, ist zu klein. ich habe es nie geschafft... ;-(
bitte auch bedenken: auf ältere maschienen kann ich keinen russen (oder andere boliden der antivirenindustrie) installen, sie zwingen die rechner in die knie! der regenschirm war ne gute lösung (allerdings wird er imme r fetter), MSE ist es auch. (keine ahnung, wie das neue spybot sein wird!)
3. dem benutzer hygiene predigen: klick nicht auf alles, was dir alles verspricht. manchmal hilfts. obacht: mal kommt der virus auch ohne irgendwelche "klickmich's" rein.
4. natürlich, aber das ist selbstverständlich: alle betriebssystemupdates müssen drauf sein.
5. ebenso: mit raubkopien sollte nicht gearbeitet werden.
[6. bitte nicht mit dem vorschlag kommen: nur eine neu aufgesetzte maschine ist sauber. das ist unfug. das ist faulheit. das ist: feigheit vor dem feind!]
so! obige 4 sicherheitsmaßnahmen scheinen in einigen fällen nicht auszureichen!
wer weiss mehr?



ehe sich nun ganz vorwitzige jungspunde ans antworten machen. so bedenket: habe ich ein antiviren-prg, das mir geholfen hat, muss es längst nicht anderen helfen. wenn der jungspund nur einen microkosmos an erfahrung hat [nein, sorry. bitte nicht mistverstehen...]. wir brauchen die erfahrung im großen kosmos (heisst es makrokosmos? :-). ).
also jemand, der positiv antworten kann, der schon hunderte dieser viren beseitigt hat. und dauerhafte gegenmaßnahmen kennt. und bereit ist, dieses uns allen hier mitzuteilen ;-)

und falls es nicht klar wurde: ich habe keine probleme, den ucash wegzubekommen. das dauert manchmal seine zeit, aber es klappt.
es geht mir um die "nachhaltigkeit" [nebenbei das blödeste deutsche wort der letzten 5-10 jahre, aber in diesem fall passt es!].
meine leute sollen in die zukunft gehen können, und meinetwegen auch keine angst auf schweinkram-seiten mehr haben ;-)

ich freue mich auf einen großartige diskussion!
klaus
PS: Nun warte ich schon fast 1 1/2 Jahren auf die "großartige" Diskussion. Niente. Denen geht es wohl nur um die Selbstdarstellung. naja&seufz. Dann machen WIR eben weiter! und besiegen die 7köpfige Schlange!