Bislang unbekannter BKA/GVU-Trojaner (oder was davon noch über war)

Ich habe heute mal wieder eine neue Variante des allseits beliebten und bekannten BKA/GVU/Sonstwas-Trojaners bei einem Kunden kennengelernt.

Dem Kunden kann man dabei keinen Vorwurf machen, surft er doch mit aktuellen Updates, aktuellem Virenscanner, eigener Benutzer (mit nur Benutzerrechten) für’s Internet, keine Schmuddelseiten usw.

Das „gute“ Stück hat sich schlicht als alternative Shell im Benutzerprofil eingetragen und ist relativ leicht zu entfernen. Das Relativ bezieht dabei auf das Wissen und Können des Technikers, der die „Sauerei“ wegmachen darf.

Der entsprechende Eintrag in der Registry findet sich unter

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Dort den Eintrag „shell“ löschen.

Der eigentliche Übeltäter findet sich im Dateisystem unter:

C:\Users\%username%\AppData\Roaming\skype.dat

Selbst die 44 Scanner die bei VirusTotal hinterlegt sind, kannten die Variante nicht.

Ein Kommentar

  • Ich hatte diese GVU-Version auf meinem heimischen PC beim Surfen eingefangen. Keine Ahnung welche Sicherheitslücke das Ding ausnutzt, denn auch bei mir ist alles auf dem aktuellen Stand, als Virenscanner benutze ich MS Essentials. Habe den Eintrag mit Autoruns.exe aufgespürt und beseitigt.
    Im gleichen Verzeichnis gab es noch die Datei Skype.ini, deren Funktion mir nicht klar ist, die aber möglicherweise auch etwas mit dem Virus zu tun hat (Allg. Windows Shell-DLL).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.