|
Botnet-DE
Bei den Ermittlungen zu verschiedenen Straftaten im Bereich der Internetkriminalität stellten die Beamten der Abteilung ´Nouvelles Technologies´ des ´Service de Police Judiciaire´ fest, dass derzeit in Luxemburg eine nicht unerhebliche Anzahl an Computern mit einem sogenannten Botnet-Trojaner infiziert ist. Weltweit sind mehrere tausend Rechner betroffen.
Sinn und Zweck dieser speziellen Schadsoftware ist die Vernetzung der befallenen Rechner (Bots) zum einem sogenannten Botnet. Es ermöglicht unberechtigten Personen die automatische Verteilung und Ausführung beliebiger Programme auf den infizierten Rechnern. Die Rechner werden ohne das Wissen ihrer Besitzer ferngesteuert.
Im aktuellen Fall wurde ein Schadprogramm verteilt, das dem Ausspähen streng vertraulicher Benutzerdaten dient, wie sie beim 'Online-Banking' oder bei der Nutzung von Zahlungsdiensten im Internet benötigt werden.
Betroffen sind nach den vorliegenden Erkenntnissen lediglich Rechner mit Windows-Betriebssystem. Eine mögliche Infizierung des eigenen Computers kann anhand einer relativ einfachen Recherche in der sogenannten Registrierungsdatenbank (Registry) festgestellt werden. Die Schritte für die empfohlene Überprüfung werden nachstehend beschrieben.
1) Start -> Run
2) 'regedit' eingeben und 'OK' drücken.
3) Der Registry-Editor wird angezeigt.
4) Über das Menü ´Edit´ die Suchfunktion ´Find´ aufrufen.
5) Dort 'twext.exe' eingeben.
6) Die Suche kann mehrere Minuten dauern. Bei infizierten Rechnern wird die rot gekennzeichnete Eintragung gefunden.
7) Keine manuellen Änderungen vornehmen! Programm schliessen.
Für den Fall, dass die Eintragung;
C:\WINDOWS\system32\twext.exe
gefunden wird (nicht zu verwechseln mit der unbedenklichen twext.dll), muss von einer
Infizierung des Rechners ausgegangen werden.
Zu beachten ist, dass ´twext.exe´ in der Regel nicht anhand einer manuellen Überprüfung
des Dateipfades ´C:\WINDOWS\system32\twext.exe´ gefunden werden kann.
Es muss, wie oben beschrieben, die Registry durchsucht werden.
Die beschriebene Untersuchung gilt nur für das bei den polizeilichen Ermittlungen entdeckte
Virus. Es kann nicht ausgeschlossen werden, dass weitere Varianten existieren,
die mit obiger Anleitung nicht gefunden werden.
Den Besitzern infizierter Rechner wird die Neuinstallation des Betriebssystems nach
einer zuvor erfolgten Sicherung der persönlichen Dateien empfohlen. Dies sollte durch
eine Person mit der notwendigen Sachkenntnis erfolgen. Firewall und Virenscanner
nicht vergessen!
Weitere Informationen zum Thema Computer- und Internetsicherheit findet man auf
www.cases.lu.
Botnet-FR
C’est au cours d’investigations dans le domaine de la cybercriminalité que les enquêteurs de la
section « Nouvelles Technologies » de la Police Judiciaire luxembourgeoise ont acquis la
certitude qu’un nombre non négligeable d’ordinateurs sur le territoire luxembourgeois sont
infectés d’un cheval de Troie du type « Botnet ». A l’échelle mondiale on estime à plusieurs
milliers le nombre de machines abritant ce logiciel malveillant.
Lorsqu’un tel programme s’installe sur un ordinateur, il devient à son insu membre d’un réseau
de machines contrôlées par de tierces personnes communément appelés « Botmasters ». Ces
derniers en prennent le contrôle total, peuvent à distance exécuter des commandes, exploiter
l’ensemble des données y compris les flux d’un réseau informatique.
Le cheval de Troie répandu dans le cas actuel sert essentiellement à espionner des données
hautement confidentielles de la gestion des comptes bancaires via Internet (Web Banking) ou
celles de moyens de paiement utilisés pour les achats en ligne.
En l’état actuel des choses, seuls les systèmes d’exploitation Windows sont concernés. Pour
vérifier si un ordinateur est infecté par le programme en question, il s’avère utile de contrôler le registre de Windows du PC. (Windows registry)
En voici le mode d’emploi illustré, étape par étape :
1) Start -> Run
2) Encoder ´regedit´ et taper sur OK.
3) Le registre Windows s’affiche
4) Activer via le menu, la fonction trouver
5) Encoder le mot ´twext.exe´.
6) La recherche peut prendre plusieurs minutes. Sur un ordinateur infecté, la valeur
encadrée en rouge va s’afficher.
7) Par la suite, ne pas faire de changements; fermer la fenêtre.
Sur un ordinateur infecté, la valeur en rouge
C:\WINDOWS\system32\twext.exe
(à ne pas confondre avec twext.dll) est trouvée.
Il est absolument indispensable de faire la recherche décrite via le registre Windows. Une
vérification sur le contenu du dossier « C:\Windows\system32\twext.exe » ne correspond pas à
une mesure utile dans le présent cas de figure.
Si l’analyse décrite s’avère positive, il est recommandé de sauvegarder les données
personnelles sur un espace séparé avant de procéder à une réinstallation complète du
système d’exploitation. Rappelons que tout ordinateur doit par la suite être protégé par
un AntiVirus, un logiciel pare feu et que le système Windows doit être régulièrement mis
à jour.
Nous rendons expressément attentifs sur le fait que la procédure décrite ci-dessus se limite à la seule version identifiée du cheval de Troie en question. Il n’est pas exclu que des formes mutées, actuellement inconnues, circulent sur le réseau Internet.
Pour tout complément d’informations, n’hésitez pas à consulter le site http://www.cases.lu
 |
Pour en savoir plus ... |
 |
|
