ubuntuusers.de

Hallo, Ihr da draußen!

Heute habe ich mir beim Surfen den Bundestrojaner gefangen. Eswurde ein Bildschirm geöffnet, in dem u.A. gefordert wurde, 100 € zu bezahlen, um den Browswer wieder freizschalten. Ich kann das natürlich hier nicht zeigen, da Firefox nichtmehr öffnet. Ich habe mit dem Forum über Windows Kontakt aufgenommen.

Wie werde ich diesen Trojaner wieder los? Besten Dank für Eure Hilfe. Helmut

Den hast Du Dir unter Ubuntu gefangen oder unter Windows? Und der verhindert nur den Start von Firefox?

Gruß, Martin

Hi Newibunti,

Danke für die prompte Antwort. Gefangen habe ich ihn unter Ubuntu. Es wird nur der Firefox blockiert!

Hallo Helmut,

öffne mal Deinen persönlichen Ordner, drücke dann die Tasten STRG+h, um die verborgenen Dateien und Ordner in Deinem persönlichen Ordner anzuzeigen und benenne dann den Ordner .mozilla mal um in .old-mozilla.

Dann starte mal Firefox neu, wenn es dann geht, dann können wir uns darum kümmern, wie wir die Einstellungen aus Deinem alten Profil übernehmen bzw. wie wir dieses bereinigen.

Gruß, Martin

Guten Morgen Martin,

nachdem ich meinen Rechner heute Nacht richtig heruntergefahren hatte, startet Firefox heute früh ganz normal. Habe, wie vorgeschlagen .mozilla umbenannt in .old-mozilla und Firefox neu gestartet. Wie soll ich jetzt weiter vorgehen? Gruß Helmut

Der "Bundestrojaner" sollte eigentlich kein Lösegeld verlangen 😉 . Wenn es eine Variante des "BKA-Trojaners" ist, wäre das interessant, denn ich habe noch von keiner Linux-Version gehört. Hat jemand dazu Infos?

Thomas Do, eben. Das ist alles albern. "Trojaner", einer, der sich durch simples Löschen/Umbenennen eines Verzeichnisses aushebeln läßt. Na, klar doch. 🙄

Helmut Müller schrieb:

Guten Morgen Martin,

Habe, wie vorgeschlagen .mozilla umbenannt in .old-mozilla und Firefox neu gestartet. Wie soll ich jetzt weiter vorgehen?

Also wenn ich Dich richtig verstehe, dann ist Firefox alleine nachdem herunterfahren wieder richtig gestartet? Und erst anschließend hast Du das Verzeichnis .mozilla umbenannt, oder?

axt schrieb:

Thomas Do, eben. Das ist alles albern. "Trojaner", einer, der sich durch simples Löschen/Umbenennen eines Verzeichnisses aushebeln läßt. Na, klar doch. 🙄

Ähm, warum muss man die Worte von Nutzern immer so auf die Goldwaage legen?

Es hört sich nach der Beschreibung des TE eben nach einer der zahlreichen UKASH-Varianten an, die AFAIK auch unter Windows von den Betroffenen - auch wenn falsch - als "Bundestrojaner" bei der Anfrage in Foren bezeichnet werden. Das liegt eben daran, dass die eben irgend einen Bildschirm mit "Bundespolizei" oder ähnlichem generieren und die Betroffenen die genaue Bezeichnung gar nicht kennen können, weil z.B. der lokale Virenscanner ja gar nicht mehr zugänglich ist.

Und davon abgesehen lassen sich fast alle Varianten von UKASH durch Umbennenen der Datei, die er startet oder des Verzeichnisses aus dem er startet grundsätzlich unschädlich machen - unter Windows - unter Linux habe ich ihn auch noch auf keinem Rechner gesehen.

Nach den bisherigen Infos gehe ich davon aus, dass es sich wahrscheinlich um den initialen Teil einer Windows-Variante handelt, die möglicherweise hier auf dem Linux-System soweit funktioniert, soweit sie nur den Browser betrifft.

Auch unter Windows kommen die Trojaner ja nicht irgendwo her, sondern in sehr vielen Fällen über den Browser-Cache. Der Browser-Cache-Teil müsste eigentlich grundsätzlich auch unter Linux-Distris funktionieren können.

Ganz klar ist mir die Situation aufgrund der bisher wenigen Infos auch noch nicht.

Aber albern, nein albern ist es nicht deswegen, weil "Umbenenen" bereits ausreicht. Die Bezeichnung "Bundestrojaner" ist halt nicht treffend.

Gruß, Martin

Newubunti schrieb:

Ähm, warum muss man die Worte von Nutzern immer so auf die Goldwaage legen?

Ganz einfach. Warte darauf, daß der Nächste, der nur irgendwas ohne Hintergrundwissen überfliegt, erzählt, jetzt gäbe es diese und jene "Viren" etc. und eben den "Bundestrojaner" auch unter Linux, das habe er gelesen!

Es hört sich nach der Beschreibung des TE eben nach einer der zahlreichen UKASH-Varianten an,

Brauchst Du mir nicht erklären. Aber die lassen sich auch schwerer eliminieren als durch simples Umbenennen eines Konfigurationsverzeichnisses (solche einfachen Eingriffe werden verhindert).

axt schrieb:

Brauchst Du mir nicht erklären. Aber die lassen sich auch schwerer eliminieren als durch simples Umbenennen eines Konfigurationsverzeichnisses (solche einfachen Eingriffe werden verhindert).

Also die meisten UKASH-Varianten, die ich behandeln durfte, lassen sich Dich durch Umbenennen von Verzeichnissen oder Dateien unschädlich machen. Dass man dazu gegebenenfalls - auch nicht immer - ein Zweitsystembraucht (BootCD, etc.), dachte ich muss ich hier nicht erwähnen.

Dass es sich nicht um die gleiche - vom Umfang her - Infektion wie unter Windows sonst üblich handelt, sieht man bereits daran, dass hier offenbar "nur" der Browser betroffen war/ist. Aber IMO ist das an dieser Stelle genau genommen auch nur eine Vermutung, wahrscheinlich zwar, aber trotzdem nur eine Vermutung.

axt schrieb:

Newubunti schrieb:

Ähm, warum muss man die Worte von Nutzern immer so auf die Goldwaage legen?

Ganz einfach. Warte darauf, daß der Nächste, der nur irgendwas ohne Hintergrundwissen überfliegt, erzählt, jetzt gäbe es diese und jene "Viren" etc. und eben den "Bundestrojaner" auch unter Linux, das habe er gelesen!

So Missverständnisse kannst Du sowieso nicht verhindern und davon abgesehen muss man die Geschichte des TE deshalb nicht komplett als "albern" abtun - zumal bisher auch viel zu wenige Infos vorliegen.

Und nein, ich halte eine richtige vollständige Infektion hier auch nicht für wahrscheinlich und ich halte es auch nicht für wahrscheinlich, dass es sich hier um eine Linux-Variante handelt.

Trotzdem ist das ganze nicht albern.

Gruß, Martin

Hallo Martin, genau so war's. Habe heute Nacht den Rechner heruntergefahren und später dann wollte ich überprüfen, ob der Trojaner noch vorhanden ist. Das war nicht der Fall. Firefox ließ sich normal starten. Habe aber trotzdem .mozilla umbenannt in .old-mozilla. Seitdem sind die Lesezeichen weg. Wollte eigentlich nur wissen, was ich tun soll, damit Du prüfen kannst was los ist. Für mich ist der Fall eigentlich gelöst. Ich werde die Lesezeichen von meinem Desktop rüberkopieren auf dieses Netbook.

Besten Dank Helmut

Ich hätte einen Screenshot gemacht. Hast du daran gedacht?

Hallo Helmut,

eigentlich hatte ich gehofft, dass Du den .mozilla-Ordner vor dem Herunterfahren umbenennst. War aber heute Nacht auch zu müde, um darauf hinzuweisen. Die Idee dahinter war halt, dass Du den Ordner auf Deine Windows-Partitions verschiebst und dort dann mit aktualisiertem Virenscanner scannen lässt.

Das kannst Du jetzt natürlich immer noch machen, aber da nichts mehr auftaucht, wird wahrscheinlich auch nichts mehr gefunden. Wenn der Virenscanner unter Windows etwas im dem Ordner gefunden hätte, dann hätte man IMO ziemlich sicher sein können, dass Du den Teil einer Windows-Variante von UKASH bei Dir unter Ubuntu laufen hattest - was dann harmlos wäre.

Es ist auch gut möglich, dass hier Firefox unter Umständen im Hintergrund noch irgendwie von dem UKASH-Teilen offen gehalten wurde und UKASH demnach auch nach vermeintlichen Firefox-Neustart noch aktiv erschien. Oder konntest Du Firefox einfach nur nicht mehr öffnen gestern Nacht? Wie hat sich das genau dargestellt? Du hast Firefox - ohne Neustart des Rechner - neu geöffnet und dann ging Firefox einfach nicht oder dann kam wieder das UKASH-Fenster?

Wenn Du bei einem Scann des Ordners .old-mozilla von Windows aus nichts findest - was ich nach Deiner Beschreibung für wahrscheinlich halte - dann kannst Du den neuen Ordner den Du angelegt hast auch einfach wieder durch den alten ersetzen.

Das Scannen von Windows aus soll übrigens nur dazu gedacht sein, den UKASH als Windows-Variante zu identifizieren, wenn er denn überhaupt noch im alten .mozilla-Verzeichnis nach dem Neustart liegen sollte.

Ich vermute mal, dass Du Dir auf irgend einer Webseite den initialen Teil einer Windows-UKASH-Variante eingefangen hast, die eben nur soweit lief, soweit das Firefox unter Linux/Ubuntu erlaubt. Unter Windows hätte er sich dann von dort aus weiter in Deinem Profil-Verzeichnis verankern können unter Linux/Ubuntu müsste er dazu erstens auf die dort andere Verzeichnis-Struktur ausgerichtet sein und dann ist auch noch unklar, ob da die Infektion auf grundsätzlich gleichem Wege möglich wäre.

Also alles in allem besteht aus meiner Sicht kein weiterer Anlass zur Sorge.

Hast Du bei Dir das JRE von Oracle unter Ubuntu im Einsatz?

Gruß, Martin

Und ich dachte schon wir hätten hier ein wenig echte action am laufen 😬

Glück für den Ubuntu Rechner 👍

hallo zusammen. weiss nicht ob es hier noch aktuell ist aber ich denke ich habe die lösung hierfür. es handelt sich hierbei nicht um einen trojaner oder ein virus. vielmehr ist es ein script welches verhindert, dass man firefox schliessen kann. wenn man firefox per taskmanager beendet und neu startet, öffnet der standardmäßig die tabs, die vor dem absturz geöffnet waren. somit wiederholt sich der vorgang. ist sozusagen eine endlosschleife. abhilfe kann man hier schaffen, indem man das addon "noscript" verwendet oder firefox dazu bringt, nach nem absturz keine tabs wiederherzustellen. ist etwas frickelig muss per about:config gemacht werden. der eintrag heisst irgendwie restore browser session crash oder so. da von true auf false stellen. schon hat man das problem mit dem "sogenannten trojaner" also der seite die dieses sript ausführt nicht mehr wenn man firefox neustartet. das scheint also ein os unabhängiges phänomen zu sein. hab schon von mac/win/linux usern gehört, die dieses verhalten kennen. zumindest für die windows user, würde ich empfehlen, einen ausführlichen check auf viren/malware durchzuführen um sicher zugehen, dass es nicht doch der bka-trojaner ist. jedenfalls ist das täuschend echt, hatte auch panik, hab sogar mein system neu aufgesetzt. grüße

kleiner nachtrag: jre ist unschuldig ausnahmsweise mal, nachdem ich mein system neuaufgesetzt hatte, hatte ich kein jre, da ich das auch erst in verdacht hatte. ist wirklich einfach nur son dusseliges javascript geschissen, wie es aussieht auch harmlos, (dafür gebe ich keine garantie^^)