Und wieder erreicht uns ein neuer Trittbrettfahrers des Bundespolizei-Ukash-Trojaner. Dieser recht einfach gehaltene Drive-By-Infektion fallen in der Regel die Anwender zum Opfer, die ihren Browser, bzw. deren Plugins nicht auf dem aktuellsten Stand halten.

Bildschirmfoto 2014-01-20 um 12.42.34

Bundespolizei – Ihr Browser hat gesperrt!

Bei Aufruf dieser Seite im Browser, erscheint direkt die Meldung der Bundespolizei mit dem bekannten Sperrbildschirm (siehe Bild). Möchte man diese Internetseite schließen wird über JavaScript ein Browserfenster mit dem Text “Ihr Browser hat gesperrt” geöffnet und das Schließen des Tabs, bzw. des Browsers wird unterbunden. Diese Infektion zielt auf unbedarfte User ab, die nicht in der Lage sind, z.B. über den Taskmanager den Browser zu beenden, bzw. den Rechner neu zu starten.

Die Adresszeile im Browser könnten so aussehen:
hxxp://polizei.dx.id346363659-9347378233.b3289.com hxxp://polizei.dx.id912311752-3590827352.s6907.com
hxxp://polizei.dx.id940864313-8972711659.p250632.com

Wenn man sich diese Adressen anschaut, fällt einem direkt “polizei.de” ins Auge. Allerdings bei weiterer Durchsicht sieht man, dass die Hauptdomains hier z.B. auf s6907.com enden. Recherchen ergaben, dass diese Domains in Peking/China auf den Namen Zhong Si registriert wurden.

Wie beseitige ich diesen Sperrbildschirm:

  1. Bewahren Sie Ruhe und zahlen Sie in keinem Falle den geforderten Betrag!
  2. Öffnen Sie den Taskmanager (Strg-Alt-Entf.), innerhalb des Taskmanagers wechseln Sie zum Reiter “Anwendungen” und beenden Sie durch “Rechtsklick” – Task beenden den Browser.
  3. Wenn das nicht funktioniert, starten Sie den Rechner neu.
  4. Öffnen Sie den Browser und stellen Sie nicht die alte Sitzung wieder her.
  5. Löschen Sie den Browser Cache und evtl. den Verlauf.(Chrome/Firefox/IE)
  6. Überprüfen Sie den Rechner mit HitmanPro oder mit Malwarebytes

 
Und so schützen Sie sich vor einer Infektion:
Der beste Schutz würde durch generelles deaktivieren von JavaScript (nicht Java) erreicht werden, aber da viele andere Webseiten dies auch benötigen empfiehlt sich der Einsatz eines Addons wie NoScript, um JavaScripte selektiv zu erlauben. Auch könnte man über den Einsatz eines Addons wie Adblock Edge nachdenken.
Diese “Infektion” ist Betriebssystem unabhängig und kann wird im Browser ausgelöst!
Benachteiligt sind die Besitzer von mobilen Endgeräten, hier hat man keine Möglichkeiten Addons zu installieren bzw. JavaScript kann man nur komplett (de)aktivieren, ohne feinere Einstellungsmöglichkeit für einzelne Webseiten zu erstellen.

  • Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf Erweiterungen wie Noscript, Adblock und WOT zurück.
  • Installieren Sie eine professionelle AV-Software (Amazon) und achten Sie darauf, dass diese immer aktuell und im Hintergrund (als Guard) mitläuft.
  • Überprüfen Sie Ihren Rechner regelmäßig auf Schadcode-Befall, und holen Sie sich hierbei IMMER eine zweite Meinung durch HitmanPro oder unsere DE-Cleaner ein!
  • Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
  • Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
  • Halten Sie Ihre Software aktuell: Hierbei hilft Ihnen z.B. CSIS Heimdal Security Agent.
  • Nutzen Sie die “Windows Systemherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis True Image. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
  • Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!

ABBZ:
Bei diesem Trittbrettfahrer kann man eigentlich “noch” nicht von Infektion, bzw. Malware sprechen. Dennoch ist das “Original” des Bundespolizei-UKASH Trojaner auch im Umlauf. Sollte also spätestes nach Neustart des Rechners, weiterhin diese oder andere Probleme auftauchen, ist Ihr Rechner evtl. mit einem originalem UKASH-Trojaner infiziert, der eine explizite Überprüfung und Bereinigung des Rechners erfordert. Dazu melden Sie sich kostenfrei in unserem Forum an und erstellen dort einen Beitrag. Die Experten helfen “Schritt für Schritt” bei der Lösung des Problems.