AV-Software beseitigt Unrat des BKA-Trojaners
Nach einem Stupser durch heise Security und das BSI erkennen und entfernen Antiviren-Programme nun auch die nachgeladenen kinderpornographischen Bilder des BKA-Trojaners.
Aktuelle Versionen des BKA-Trojaners laden unter anderem Bilder mit Kinderpornographie auf den Rechner der Opfer. Bei einer oberflächlichen Reinigung durch AV-Programme kann es passieren, dass diese Dateien, deren Besitz strafbar ist, auf dem PC verbleiben. Erste AV-Hersteller haben jetzt reagiert und erkennen und löschen diesen Unrat ebenfalls.
Im Rahmen der Berichterstattung stieß heise Security auf dieses mögliche Problem. Da Besitz und Beschaffung solcher Dateien strafbar sind, kam ein entsprechender Test der Antiviren-Software nicht in Frage und wir wandten uns an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf das Problem der unter Umständen auf den Rechnern der Betroffenen verbleibenden, kinderpornographischen Bildern angesprochen, nahm das BSI den Ball sofort auf und kontaktierte einige Antiviren-Hersteller. Es ging dabei vor allem darum, sicherzustellen, dass nicht nur die eigentliche Trojaner-Datei vom Rechner gelöscht wurde, sondern auch die Bilder, von denen zwar im technischen Sinn keine Gefahr ausgeht, deren Besitz aber strafbar wäre.
Avira reagierte auf die Anfrage des BSI sofort und erstellte Signaturen für die eigene Antiviren-Software. Nach Auskunft des Unternehmens erkennt Avira ab sofort nicht nur die eigentliche Trojaner-Datei (TR/Crypt.ULPM.Gen) sondern auch die von ihr hinterlassenen strafbaren Bilder (TR/Ransom.Cpron). Bei einer Reparatur werden die Bilder jetzt mit gelöscht.
Das gilt nicht nur für die installierten AV-Produkte sondern auch für die Avira Rescue Disk und den in Desinfec't enthaltenen Avira-Scanner. Allerdings ist zu beachten, dass beim Einsatz dieser externen Scanner die vom Trojaner vorgenommenen Änderungen an der Windows-Registry nicht beseitigt werden. Manche Versionen registrieren sich als Windows-Shell, was dazu führt, dass nach dem Löschen des Trojaners Windows nicht mehr bootet. Dies kann unter Desinfec't der Kaspersky Windows Unlocker in den Experten-Tools korrigieren.
Auch Symantec hat bereits reagiert und versichert, dass Norton nun die Kinderpornos erkennt und beseitigt. Die spezielle Reinigungs-Software Hitman Pro war bereits vorher dazu in der Lage. Es ist davon ausgehen, dass andere AV-Hersteller ebenfalls folgen. Allerdings funktioniert das nur für die aktuelle Version des BKA-Trojaners zuverlässig; weil die Erkennung durch AV-Software in der Regel an Hand von einfachen Signaturen erfolgt, müssen diese bei der nächsten Welle wahrscheinlich nachgebessert werden.
Einen etwas systematischeren Ansatz, der allerdings etwas Handarbeit erfordert, stellt der Artikel Unrat des BKA-Trojaners finden und löschen vor. (ju)
