Infizierungen finden – mit Hilfe des Trojaners Bohu

Ein Trojaner namens Bohu, der sich zu Beginn dieses Jahres auszubreiten begann, hat die allgemeine Aufmerksamkeit auf sich gezogen: Er hat die Fähigkeit, Cloud-basierte Antiviren-Services zu blockieren, bei denen es sich um eine relativ neue Technologie handelt. Das Schadprogramm verbreitet sich mit Hilfe von Social-Engineering-Tricks und ist im Wesentlichen gegen chinesische Anwender gerichtet. Die Jungs von Microsoft Malware Protection Center haben dazu einen netten Blog mit näheren Einzelheiten veröffentlicht.

Unsere Produkte haben Bohu aufgrund seines Verhaltensprofils bereits detektiert und blockiert, noch bevor wir über die entsprechenden Signaturen verfügten. Wurde ein System allerdings schon vor der Installation eines Malware-Scanners infiziert, so könnte es Ärger geben…

Unter anderem verhindert Bohu auch den Zugriff auf den Kaspersky-Server, der für die Signatur-Updates verantwortlich ist, indem er den DNS-Resolver hookt, um so Auflösungsversuche für die entsprechenden Domain-Namen herauszufiltern. Folglich wird ein infiziertes System nicht mehr automatisch mit den Updates der Signatur-Datenbanken von Kaspersky Lab versorgt, und kann die Bedrohung daher auch nicht erkennen und beseitigen.

Allerdings kann der Domainname-Filter auch für die Suche nach einer Infizierung verwendet werden! Wir haben unter http://www.securelist.com/bohucheck eine kleine Webseite vorbereitet, die sich die Bohu-Blockade zunutze macht und verschiedene Mitteilungen anzeigt, je nachdem ob das System auf die blockierte Domain zugreifen kann oder nicht. Jeder Anwender kann diese Seite nun besuchen, um herauszufinden, ob sein System mit dem Trojaner infiziert ist. Wird die oben dargestellte Mitteilung angezeigt, so hat sich der Trojaner nicht eingenistet.

Doch zeigt die Seite eine Warnmitteilung an, so ist das System höchstwahrscheinlich befallen:

Wenn Sie diese Mitteilung sehen, sollten Sie Ihr System auf jeden Fall manuell scannen und desinfizieren. Zu diesem Zweck können Sie sich unser kostenlos verfügbares Rescue-System herunterladen, es auf CD oder USB-Stick kopieren und dann dort hinein booten. Da der Scanner auf dem Rescue-System nicht vom Domain-Filter des Trojaners beeinträchtigt ist, kann er die Signatur-Datenbank aktualisieren und die Malware entfernen. Weitere Informationen zum Gebrauch des Rescue-Systems finden Sie online unter diesem Link.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.