BKA-Trojaner expandiert international

Der BKA-Trojaner, nach der bevorzugten Bezahlmethode auch als Ukash- oder Paysafe-Trojaner bekannt, ist bei weitem nicht nur in Deutschland aktiv. In den USA gibt er sich als FBI-Blockade aus, in Portugal als Rechner-Sperrung durch die Polícia de Segurança Pública Portuguesa – die Website botnets.fr protokolliert einige Spielarten unter dem Namen "Reveton" in einer Galerie. In den USA nimmt die Verbreitung derzeit so zu, dass das FBI auf seiner Website ausführlich vor dem Schädling warnt.

Demnach beklagt das US-amerikanische Internet Crime Complaint Center eine wahre Beschwerde-Lawine. Das Geschäft mit dem schlechten Gewissen läuft offenbar gut: Viele Leute zahlen zunächst und rufen erst beim vermeintlichen Verantwortlichen für den Sperrbildschirm an, weil ihr Rechner nicht entsperrt wurde. Je nach Variante verlangt der Trojaner 100 oder 200 US-Dollar, zahlbar per "MoneyPak" oder "Paysafecard".

Wie in Deutschland wirft der Trojaner auch international sowohl Copyright-Verstöße als auch den Besitz verbotener Pornografie vor. Der Text holpert meist etwas; so buchstabieren etwa die britischen, kanadischen und US-amerikanischen Texte Zoophilie fälschlicherweise als "Zoofilia", wie es in romanischen Sprachen üblich ist. Einige Varianten binden ein Live-Bild der Webcam in den Sperrbildschirm ein. Nach bisherigem Kenntnisstand wird dieses nicht etwa ins Internet gestreamt, sondern dient nur der Einschüchterung: "Wir beobachten Sie."

Eine Zahlung des Lösegelds bringt dem Opfer nichts: Der Trojaner übermittelt lediglich die Zahlungsdaten an einen Kontrollserver; der befallene PC bleibt hingegen gesperrt. Die Entfernung des Trojaners ist nicht trivial; Webseiten wie das Anti-Botnet Beratungszentrum bieten Werkzeuge und Anleitungen zur Desinfektion. Einige Revisionen verschlüsseln sogar Dateien der Anwender. Im Regelfall ist Reveton weder der einzige noch der erste Schädling auf dem befallenen Rechner. Meist wurden zuvor schon alle auf dem PC gespeicherten Zugangsinformationen, Lizenzen und Kennwörter ausgelesen.

Auf den Rechner gelangt der Trojaner für gewöhnlich über eine Sicherheitslücke in Browser-Plug-ins wie Flash, Java oder Adobe Reader; insbesondere bei Windows-XP-Rechnern hat der BKA-Trojaner oft leichtes Spiel. Adobe Flash 11 hat mittlerweile eine Auto-Update-Funktion an Bord, die täglich einmal nach Updates sucht. Das Java-Plug-in von Oracle sucht von sich aus nur einmal im Monat nach einer neuen Version. Diese Frequenz sollte man auf jeden Fall per Hand hochsetzen. Wer Java nicht aktiv nutzt, kann das Plug-in auch ersatzlos deinstallieren.

Derzeit ist noch unklar, ob die zahlreichen Reveton-Varianten alle zentral oder von mehreren international verteilten Gruppen gesteuert werden. GVU-Sprecherin Christine Ehlers spekuliert in einem Blog-Eintrag mutig, dass hinter der Trojaner-Lawine die Betreiber des Streaming-Angebots Kinox.to stecken könnten. Beweise liefert sie dafür allerdings keine. Mehrere Versionen der deutschen Variante Erpressungstrojaners geben die Gesellschaft zur Verfolgung von Urheberverletzungen GVU als Sperrer an – im Rest der Welt geben sich die Trojaner durchgehend als Staatsgewalt aus. (ghi)