Ich habe heute mal wieder eine neue Variante des allseits beliebten und bekannten BKA/GVU/Sonstwas-Trojaners bei einem Kunden kennengelernt.
Dem Kunden kann man dabei keinen Vorwurf machen, surft er doch mit aktuellen Updates, aktuellem Virenscanner, eigener Benutzer (mit nur Benutzerrechten) für’s Internet, keine Schmuddelseiten usw.
Das “gute” Stück hat sich schlicht als alternative Shell im Benutzerprofil eingetragen und ist relativ leicht zu entfernen. Das Relativ bezieht dabei auf das Wissen und Können des Technikers, der die “Sauerei” wegmachen darf.
Der entsprechende Eintrag in der Registry findet sich unter
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Dort den Eintrag “shell” löschen.
Der eigentliche Übeltäter findet sich im Dateisystem unter:
C:\Users\%username%\AppData\Roaming\skype.dat
Selbst die 44 Scanner die bei VirusTotal hinterlegt sind, kannten die Variante nicht.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Ich hatte diese GVU-Version auf meinem heimischen PC beim Surfen eingefangen. Keine Ahnung welche Sicherheitslücke das Ding ausnutzt, denn auch bei mir ist alles auf dem aktuellen Stand, als Virenscanner benutze ich MS Essentials. Habe den Eintrag mit Autoruns.exe aufgespürt und beseitigt.
Im gleichen Verzeichnis gab es noch die Datei Skype.ini, deren Funktion mir nicht klar ist, die aber möglicherweise auch etwas mit dem Virus zu tun hat (Allg. Windows Shell-DLL).