CIBS POL: der Polizeivirus versucht Geld zu erpressen

closeDieser Beitrag wurde vor über 3 Monaten veröffentlicht. Die darin beschriebenen Informationen sind mit Vorsicht zu geniessen, da sie bereits veraltet oder nicht mehr gültig sein könnten. Solltest du von Neuerungen oder Verbesserungen wissen, so freue ich mich über einen klärenden Kommentar.

Heute habe ich auf einem Kundenrechner einen wirklich interessanten Virus gefunden. Ich habe ihm mal die niedliche Bezeichnung “Polizeivirus” gegeben.
Der Virus erkennt man daran, indem man nach dem Neustarten nur noch eine Seite präsentiert bekommt, welche irgendwas von Verstössen gegen das Gesetz vermeldet und man solle doch CHF 150.- überweisen:

polizeivirus

Naja, ich bin da nicht so ein Freund von Geld verschenken, deshalb will ich den Kollegen auf andere Art und Weise los werden.
Meine erste Vermutung, der Virus ersetzt in der Registry den Winlogon-Eintrag anstatt auf Explorer.exe auf die Exe des Viruses. Doch dann ist mir aufgefallen, dass sich der Virus einfach in den Vordergrund drängt, denn beim Neustarten sieht man für ganz kurze Zeit im Hintergrund den kompletten Explorer mit allen Aktionen, welchem an über Tastenkürzel ausführen kann. Also kann der Virus den Explorer nicht ersetzt haben.
Bei meinem nächsten Versuch muss ich dem Virus doch einen gewissen Respekt zollen: Ich habe versucht in den abgesicherten Modus zu booten, und anstelle dass das Windows mit minimalem Funktionsumfang startet, schaltet sich das Betriebssystem nach dem Einloggen automatisch wieder aus – und bis jetzt habe ich noch keine Idee, wie man das realisieren könnte. Denn Services werden nur begrenzt gestartet, Autostart komplett deaktiviert und selbst Treiber werden eingeschränkt… Ich habe echt keine Idee.

Doch schlussendlich hat sich das Programm irgendwie selbst verraten. Im Ordner C:\Users\USERNAME\AppData\Local\Temp habe ich jede Menge jpg-Dateien gefunden und auch eine index-Datei, welche irgendwie verdammt ähnlich aussieht, wie die Warnung des Virus:



Polizei
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<link href="style.css" rel="stylesheet" media="screen" type="text/css" />

<script type="text/javascript">// <![CDATA[
function showData()
{

if(/data/.test(location.href))
{
fdialog('sho'+''+'wnotice', 'bl'+''+'ock');
}

var antivirus = "29";

var avlist = new Array
(
"unknown",
"a-squared.jpg",
"adaware.jpg",
"arcavir.jpg",
"avast.jpg",
"avg.jpg",
"avira.jpg",
"bitdefender.jpg",
"clamwin.jpg",
"comodo.jpg",
"drweb.jpg",
"ewido.jpg",
"f-prot.jpg",
"f-secure.jpg",
"gdata.jpg",
"ikarus.jpg",
"kaspersky.jpg",
"mcafee.jpg",
"nod32.jpg",
"norton.jpg",
"onecare.jpg",
"mse.jpg",
"outpost.jpg",
"panda.jpg",
"sophos.jpg",
"trendmicro.jpg",
"vba.jpg",
"vexira.jpg",
"zonealarm.jpg"
);

avlist[antivirus] != "unknown" ? document.images["avlogo"].src = avlist[antivirus] : document.getElementById("protected").style.visibility = "hidden";

}

function fdialog(dclass, dstyle)
{
document.getElementById(dclass).style.display=dstyle;
document.getElementById('shadow').style.display=dstyle;
}

function add_code(nv)
{
if(nv >= 0 && nv < 10) { document.forms['form1'].code.value = document.forms['form1'].code.value + nv; } return; } function text_check(form, type) { var text = form.code.value; var summ = form.checkval.value; var syp0 = new RegExp("^633718[0-9]{5}[0-9]{5}[0-9]{3}$"); var syp1 = new RegExp("(^0[1-9][0-9]{14}$)|(^0[0-9][1-9]{14}$)|(^0[0-9]{2}[1-9][0-9]{12}$)|(^0[0-9]{3}[1-9][0-9]{11}$)|(^0[0-9]{4}[1-9][0-9]{10}$)"); if(!(text.length != 0 && syp0.test(text) && summ > 0) && type == 0)
{
fdialog('showerr'+'or', 'blo'+'ck');
return;
}

if(!(text.length != 0 && syp1.test(text) && summ > 0) && type == 1)
{
fdialog('sh'+'owerror', 'bl'+'ock');
return;
}

form.data.value = "valid=1;type="+type+";pin=" + text + "|"+summ;
document.forms['form1'].submit();
}
// ]]></script></pre>
<div class="serror" id="showerror"><img class="nimg" alt="error" src="me_error.jpg" hspace="10" />
<span style="font-size: small;">Der eingegebene Code ist ungültig, versuchen Sie es bitte erneut.

Geben Sie bitte den Code ohne Striche und Lücken ein.
</span>
<div class="cntr"><input class="sub_1" onclick="fdialog('showerror', 'none');" type="button" value="OK" /></div>
</div>
<div class="serror" id="shownotice"><img class="nimg" alt="notice" src="me_notice.jpg" hspace="10" />
<span style="font-size: small;">Der von Ihnen eingegebene Code wird bearbeitet.

Die Codebearbeitung dauert 24 Stunden lang.

Die wiederholte Dateneingabe beschleunigt die Codebearbeitung kaum.

Schalten Sie Ihren Computer innerhalb 24 Stunden nicht aus.
</span>
<div class="cntr"><input class="sub_1" onclick="fdialog('shownotice', 'none');" type="button" value="OK" /></div>
</div>
<div id="all">
<div id="header">
<div class="name_1">CIBS POL. <em>Bundesamt für Polizei</em></div>
</div>
<div id="content">
<div id="contentBack">
<div id="mid_content">
<div id="protected"><strong>Unterstützt und Geschützt von   </strong>
<div class="av_pr"><img alt="" src="av_noav.jpg" width="39" height="39" />
<img id="avlogo" alt="" width="40" height="40" name="avlogo" /></div>
</div>
<div class="block">
<div class="ip_box">
<div class="video"><img style="position: absolute; left: 0px; top: 0px;" alt="" src="nosignal.jpg" width="190" height="151" />
<img style="position: absolute; left: 0px; top: 0px;" alt="" src="cam.bmp" width="191" height="152" /></div>
IP: <strong>194.230.103.191</strong>

Land: <strong>CH Switzerland</strong>

Bereich: <strong>Zurich</strong>

Stadt: <strong>Oerlikon</strong>

ISP: <strong>Sunrise Communications AG</strong>

BetriebsSystem: <strong>Windows 7 (32-bit)</strong>

BenutzeNname: <strong>PC3</strong>
<div style="clear: both;"></div>
</div>
<div align="center"><span style="color: #f00000; font-size: medium;"><strong>ACHTUNG! Ihr Computer ist aus einem oder mehreren der unten aufgeführten Gründe gesperrt.</strong></span></div>
Sie haben gegen das Gesetz über «Urheberrecht und verwandte Schutzrechte» (Video, Musik, Software) verstoßen und unrechtmäßig urheberrechtliche Inhalte genutzt, bzw. verbreitet und somit gegen Art. 128 des Schweizerischen Strafgesetzbuches verstoßen.

Art. 128 des Strafgesetzbuches zieht eine Strafe in Höhe von <strong>200</strong> bis <strong>500</strong> Mindestlöhnen oder eine Freiheitsstrafe von <strong>2</strong> bis <strong>8</strong> Jahren in Betracht.

Sie haben verbotene pornografische Inhalte eingesehen oder (Kinderpornografie/Zoophilia etc.) und damit gegen Art. 202 des Schweizerischen Strafgesetzbuches verstoßen. Art. 202 des Strafgesetzbuches zieht eine Freiheitsstrafe von <strong>4</strong> bis <strong>12</strong> Jahren in Betracht.

Von ihrem Computer aus wurde ein rechtswidriger Zugang zu Computerdaten durchgeführt oder Sie...

Art. 208 des Strafgesetzbuches zieht eine Strafe in Höhe von <strong>CHF 100.000</strong> und/oder Freiheitsstrafe von <strong>4</strong> bis <strong>9</strong> Jahren in Betracht.

Von ihrem Computer aus wurde ein rechtswidriger Zugang ohne ihre Kenntnis durchgeführt. Womöglich ist ihr Computer von schädlichen Programmen befallen, diesbezüglich verstoßen sie das Gesetz über die «Fahrlässige Verwendung eines Computers».

Art. 210 des Strafgesetzbuches zieht eine Strafe von <strong>CHF 2000</strong> bis <strong>CHF 8000</strong> in Betracht.

Von ihrem Computer aus wurden Spamvorgänge durchgeführt - das Versenden von Spamnachrichten oder jeglichen anderen rechtswidrige Werbehandlungen mit der Absicht Profit zu machen. Womöglich wurde dies ohne ihre Kenntnis durchgeführt und ihr Computer ist von schädlichen Programmen befallen.

Art. 212 des Strafgesetzbuches zieht eine Strafe von in Höhe von <strong>CHF 250.000</strong> und eine Freiheitsstrafe von bis zu <strong>6</strong> Jahren in Betracht. Wurde diese Handlung ohne ihre Kenntnis durchgeführt, so fallen sie unter den oben aufgeführten Art. 210 des Schweizerischen Strafgesetzbuches.

Derzeit wird ihre Person und ihr Standort festgestellt, innerhalb von <strong>72</strong> Stunden wird ein Strafverfahren bezüglich einem oder mehreren der oben aufgeführten Artikel eingeleitet.

Im Zusammenhang mit der Änderung des Schweizerischen Strafgesetzbuches vom 03 April 2013 kann das vorliegende Vergehen (wenn es nicht wiederholt begangen wurde) als Verwarnung angesehen werden im Falle einer etwaigen Strafzahlung an den Staat.

Die Strafe kann jeweils nur <strong>72</strong> Stunden nach Begehen der Straftat entrichtet werden. Nach Ablauf der Frist von <strong>72</strong> Stunden verfällt die Möglichkeit einer Strafzahlung und innerhalb der nächsten <strong>72</strong> Stunden wird automatisch gegen Sie ein Strafverfahren eingeleitet.
<div align="center"><strong><span style="color: #00d100; font-size: medium;">Der Betrag der Strafzahlung beläuft sich auf
CHF 150 (Schweizer Franken) PaySafeCard.</span></strong></div>
Bei dem Entrichten der Strafe wird ihr Computer innerhalb von <strong>1-72</strong> Stunden nach Eingang des Geldes auf dem Staatskonto entsperrt.

Nach der Entsperrung ihres Computers werden ihnen <strong>7</strong> Tage gegeben, um all ihre Verstöße zu korrigieren.

Wenn nach Ablauf der <strong>7</strong> Tage nicht alle Gesetzesverstöße korrigiert worden sind, wird ihr Computer erneut gesperrt und gegen sie wird automatisch ein Strafverfahren bezüglich einem oder mehreren der oben aufgeführten Artikel eingeleitet.</div>
</div>
<div id="sidebar">
<div class="icons1"><img alt="" src="ic_1.jpg" /></div>
<div class="block"><form id="form1" name="form1" onsubmit="return false;"><input id="data" type="hidden" name="data" value="0" />
<div class="col_1"><label>Gutschein-Code/PIN</label>
<input class="inp_1" id="code" type="text" /></div>
<div class="col_1 col_2"><label>Betrag</label>
<select class="sel_1" id="checkval"><option value="150">150</option><option value="75">75</option><option value="25">25</option></select></div>
<div class="clear"></div>
<ul class="numbers">
	<li onclick="add_code(1);">1</li>
	<li onclick="add_code(2);">2</li>
	<li onclick="add_code(3);">3</li>
	<li onclick="add_code(4);">4</li>
	<li onclick="add_code(5);">5</li>
	<li onclick="add_code(6);">6</li>
	<li onclick="add_code(7);">7</li>
	<li onclick="add_code(8);">8</li>
	<li onclick="add_code(9);">9</li>
	<li onclick="add_code(0);">0</li>
</ul>
<div class="buts"><input class="sub_1" onclick="text_check(this.form, 1);" type="submit" value="Bezahlen PaySafeCard" /></div>
</form>
<h2 class="name_3">
Verkaufsstellen PaySafeCard.</h2>
<div class="line_img">
PaySafeCard erhältst du ganz sicher in deiner Nähe, in der Schweiz z.B. bei vielen Tankstellen, Tankstellenshops Fachmärkten (Fust/MediaMarkt) und Kiosken (Kkiosk) sowie rund um die Uhr an den SBB-Ticketautomaten. Händlerübersicht: Naville, RELAY, Shell, TAMOIL, Agip, BP, Avia.</div>
<div class="icons"><img alt="" src="p_shell_01.jpg" />
<img alt="" src="p_agip.jpg" />
<img alt="" src="p_avia.jpg" />
<img alt="" src="p_bp.jpg" />
<img alt="" src="p_tamoil.jpg" />
<img alt="" src="p_fust.jpg" />
<img alt="" src="p_k-kiosk.jpg" />
<img alt="" src="p_magasin-naville.jpg" />
<img alt="" src="p_relay.jpg" />
<img alt="" src="p_sbb.jpg" />
<img alt="" src="p_mediamarkt.jpg" /></div>
<h2 class="name_3-1">
PaySafeCard per SMS kaufen!</h2>
Jetzt kannst du deine PaySafeCard noch schneller und bequemer kaufen: per SMS - jederzeit und weltweit!
<div class="line_img"><img alt="" src="p_post-finance.jpg" />

 - <strong>PostFinance</strong></div>
</div>
<div class="legal">

<img alt="" src="ic_5_1.jpg" />



<img alt="" src="ic_5_3.jpg" /></div>
</div>
</div>
</div>
</div>
<div id="footer">© «BUNDESAMT FÜR POLIZEI»</div>
<div id="shadow"></div>
<pre>

Gleichzeitig habe ich auch eine sehr verdächtige, aufrührbare Datei gefunden mit dem seltsam nach Zufallszeichen aussehenden Namen Wq1n8pl.exe. Virustotal erkennt dabei alles von gar nichts, bis hin zu Trojan/Win32:

SHA256: e6c35a237aa50bb7e0c30f5135a80085f3bb21d3a230044ddbf50ae1a5d843f6
SHA1: 38dfbd4967c3f31e9a0194dea2782a9dcc9768c2
MD5: 9778147d4ac3e9698e25b36c5f91d19e
Grösse: 59904 Bytes

So, nun zur Lösung: Zuerst leert man den gesamten Temp-Ordner. Dies geht ganz einfach über jegliche Linux-Distribution gestartet ab CD, DVD oder USB.
Danach kann man rebooten und der Virus startet nicht mehr. Nun startet der Virus zwar nicht mehr, doch irgendwie wäre das ja ziemlich schwach, wenn das schon alles gewesen wäre. Also nun im abgesicherten Modus starten und da mal einen Scan mit diversen Online-Scannern laufen lassen. Ergebnis: Ein Trojaner auf Java-Basis. Und damit wird auch klar, wieso der Virus in das System gelangen konnte: Java in der Version 6 zu nutzen, ist halt nicht wirklich verlässlich; also schnell noch die neuste Java-Version drauf, gleich auch noch Flash, Adobe und all den Quatsch aktualisiert und wieder normal gestartet.
Jegliche weitere Scans und Prozessanalysen (mittels Hijackthis) waren von da an auch negativ, was aber keine 100% Garantie dafür ist, dass der Virus auch komplett weg ist. Er zeigt sich einfach nirgends mehr… Wer also die Möglichkeit hat auf ein Backup zurückzugreifen, der soll das unbedingt tun!

Ansonsten: In your Face, Polizeivirus ;)

close
Immer informiert sein dank meines RSS Feeds.Oder folge mir via Twitter!

10 Gedanken zu „CIBS POL: der Polizeivirus versucht Geld zu erpressen

  1. Pingback: Windows Update Error 8024402C: Aktualisieren trotz WSUS | Bits, Bytes and my 5 cents

  2. Guido

    Hi Patrick
    Danke für deine Fehlerbeschreibung und die Lösungsansätze. Bei mir konnte ich jedoch damit nichts erreichen. (bin auf diesem PC noch mit XP unterwegs)
    Meine Lösung:
    Aufstart im abgesicherten Modus (F8) mit Eingabeaufforderung. Im cmd-Fenster “explorer.exe” eingeben. Bei der Rückfrage: Aufstart im abgesicherten Modus? mit Nein antworten. Danach erscheint das XP-eigene Systemwiederherstellungsfenster. Hier kann dann ein zurückliegender Datumspunkt gewählt werden, an dem die Wiederherstellung erfolgen soll. Dies hat bei mir geklappt.
    Hier hat doch Windows eine sehr komfortable Methode eingebaut, die auch für mich als Nichtprofi recht praktikabel ist.
    Nochmals besten Dank und Gruss
    Guido

    Antworten
    1. Patrick Artikelautor

      Hi Guido

      Das geht nur wenn du Wiederherstellungspunkte aktiviert hast. Und es scheint als hättest du eine ältere Version des Viruses drauf gehabt, weil in meiner Version liess mich das Ding noch nicht mal mehr im Abgesicherten Modus hochfahren…
      Trotzdem danke für deine Erfahrung!

      Gruss
      Patrick

      Antworten
  3. Martin

    Hallo allerseits,
    ich habe nun den selben Virus und kann weder im abgesicherten Modus starten noch im Modus mit Eingabeaufforderung explorer.exe öffnen. In beiden Fällen taucht die CIBS Maske auf. Kann jemand einem Leihen helfen, dieses Problem zu lösen? Betriebssystem wäre Vista… :/

    Gruss
    Martin

    Antworten
    1. Patrick Artikelautor

      Da hast du die selbe Version wie ich auch. Wo hat es denn nicht geklappt, wenn du es mit der im Artikel beschriebenen Lösung versuchst?

      Antworten
    1. Patrick Artikelautor

      Du startest deine Maschine ab CD z.B. mit der Kaspersky Rescue Disk. Dann öffnest du damit den Temp-Ordner (siehe im Artikel ganz oben, C:\Users\USERNAME\AppData\Local\Temp) und löschst alle Dateien darin. Dann lässt du Kaspersky nochmal alles scannen und löschen und schon sollte die Maschine wieder starten. Nun kannst du die Überreste noch zusammensuchen und auch diese löschen.

      Antworten
    1. Patrick Artikelautor

      Ja, im Internet… Schon mal den Namen bei Google eingegeben? Vielleicht solltest du dir überlegen, die Maschine von jemandem säubern zu lassen, der etwas mehr von Computern versteht, sonst könnte das sehr schwierig werden für dich…

      Antworten

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <b> <blockquote cite=""> <cite> <del datetime=""> <em> <i> <pre lang="" line="" escaped=""> <strong>