skip to Main Content

BRD-Trojaner (Ransomware)

Hier eine weitere Variante des sogenannten “BKA-Trojaners”, die ich heute erstmalig zu Gesicht bekommen habe. Die Betrugs- bzw. Erpressungssoftware (Ransomware) blockiert sämtliche Zugriffe auf dem infizierten PC und blendet eine vermeintliche Mitteilung der Bundesrepublik Deutschland ein, in der der Nutzer zur Zahlung einer vermeintlichen Strafe via Ukash bzw. Paysafecard in Höhe von 250 Euro aufgefordert wird. Mehr […]

Achtung: Tätigen Sie keine Zahlung per Ukash oder Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte User zu bestehlen.

BRD-Trojaner (Pop-up-Fenster)

Eingabe des Voucher Codes

Eingabe des Voucher Codes

Nach der Eingabe eines Phantasiewertes erscheint eine Fehlermeldung, was eine Verbesserung darstellt. Freundlicherweise wird man darauf hingewiesen, wie die PIN auszusehen hat! 😉

Eingabe des Voucher Codes

Die Beträge müssen ebenfalls manuell eingegeben werden und werden automatisch addiert. Eine Gesamtsumme von mindestens 250 Euro muss erreicht werden.

Windows 7

Dateisystem:
Im Rahmen der Infektion wurden folgende Ordner und Dateien angelegt:
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EB1TOMB0 (hidden)
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EB1TOMB0\desktop.ini (hidden)
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EB1TOMB0\ib2[1].htm
C:\Benutzer\”Benutzerkonto”\AppData\Local\Temp\~DF55E836E0EB406204.TMP
C:\Benutzer\”Benutzerkonto”\AppData\Roaming\bz1ziwhv.exe
C:\Benutzer\”Benutzerkonto”\AppData\Roaming\khxrzg9vg5gft6wu.dat
bzw. modifiziert:
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Benutzer\”Benutzerkonto”\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

Registry:
Damit der BRD-Trojaner bei jedem Neustart des infizierten PC’s automatisch wieder aufgerufen wird, legt er unter ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ folgenden Registry-Key an: C:\Benutzer\Admin\AppData\Roaming\bz1ziwhv.exe (Kopie des Trojaners)

Um ein Herunterfahren des Rechners erzwingen zu können, aktiviert die Schadsoftware in der Benutzerkontensteuerung die Zugriffsrechte ‘SeShutdownPrivilege’ und ‘SeRemoteShutdownPrivilege’.

Windows XP

Dateisystem:
C:\Windows\explorer.exe
C:\Windows\System32\Dllcache\explorer.exe (hidden)

Der BRD-Trojaner infiziert bzw. ersetzt demnach unter Windows XP die “explorer.exe” im Verzeichnis C:\Windows sowie im Cacheordner der Windows File Protection* C:\Windows\System32\Dllcache

*Windows File Protection:
Die Windows File Protection scannt bei jedem Systemstart die geschützten Systemdateien und repariert oder stellt sie wieder her, wenn sie beschädigt, gelöscht oder durch eine andere Version ersetzt wurden. Beim Systemstart wird also dann ebenfalls die infizierte “explorer.exe” geladen.

Um unter Windows XP den Papierkorb umgehen zu können und Dateien permanent von der Festplatte zu löschen, trägt der Trojaner unter ‘HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket’ folgenden Registry-Wert ein: NukeOnDelete=01000000

Dies könnte bedeuten, dass die Täter keine Witze machen. Nur mit einem Datenwiederherstellungs-Programm wären die Daten zu retten.

Folgender Wert unter ‘HKEY_CURRENT_USER\software\classes’ ist interessant:
‘SymbolicLinkValue=5C00520045004700490053005400520059005C0055005300450052005C00530061006E00640062006F0078005F00410064006D0069006E005F00440
065006600610075006C00740042006F0078005C0075007300650072005C00630075007200720065006E0074005F0063006C0061007300730065007300’

Dies scheint eine Sicherheitsanfälligkeit von Windows XP bezüglich Denial-of-Service zu sein, über die der PC zum Absturz bzw. zum Neustart gezwungen werden kann (CVE-2010-0235).

Connections:
C:\Benutzer\”Benutzerkonto”\AppData\Roaming\bz1ziwhv.exe connects to “174.129.0.77” on port 80 (TCP – HTTP)
C:\Benutzer\”Benutzerkonto”\AppData\Roaming\bz1ziwhv.exe connects to “94.199.51.43” on port 80 (TCP – HTTP)
Queries DNS tools.ip2location.com
Queries DNS cndroaayghmf.com

174.129.0.77 –> Amazon.com
94.199.51.43 –> 23VNet (Ungarn)

Wireshark1 Wireshark2 Wireshark3

Infektionsweg:
Der BRD-Trojaner wird primär über Webseiten mit pornografischem Inhalt sowie über Facebook verbreitet. Die Infektion erfolgt dabei, ohne Interaktion des Nutzers, über eine ungepatchte Betriebssystem-, Browser- oder Anwendungsschwachstelle beim Zugriff auf den präparierten bzw. manipulierten Web-Server (Drive-By-Infektion).

Bereinigung des infizierten Systems (botfrei.de und bka-trojaner.de):
Anleitung für Windows XP
Anleitung für Windows Vista/7

Video:

Portable Executable

Download:
BRD-Trojaner.rar (MD5: 9d7491f1a63e58eb46b8a24e9560a89c)
PW: evild3ad.com

VirusTotal Ergebnis: 11/43 (25.6%)

This Post Has One Comment
  1. Und ich dachte, dass ich die verschiedenen Varianten dieses Trojaners langsam kenne … Aber nein, diese Abart der Ransomware war mir bis heute unbekannt.
    Ich habe bei mir im Blog unter http://www.redirect301.de/tag/bka-trojaner lediglich über den BKA-Trojaner und ein paar Abkömmlingen berichtet, aber ein Verstoß gegen die Gesetze der BRD ist mir bisher nicht begegnet. Was die Typen sich doch alles für einen Müll einfallen lassen ….

    Danke für deine Infos, die helfen sicherlich einigen weiter (hoffentlich bevor sie bezahlen).

Comments are closed.

Back To Top