Nickles Blog 212 Themen, 8.711 Beiträge

Pony Schad-Software - Post vom Bundeskriminalamt

Michael Nickles / 9 Antworten / Flachansicht Nickles

Kurz vorm Wochenende kam Post von der Sorte rein, wie ich sie nicht gern kriege. Diesmal Post vom Bundeskriminalamt an die Nickles.de Internet Publishing GmbH.

So was riecht irgendwie immer nach Ärger oder unbezahltem zeitlichen Aufwand. Im Schreiben des Bundeskriminalamts Wiesbaden ging es um eine Benachrichtigung über kompromittierte  Benutzerkonten.

Aus dem Schreiben geht hervor, dass ein Ermittlungsverfahren läuft, bei dem unter anderem auch bekannt wurde, dass ein unbekannter Täter durch Einsatz einer Schad-Software namens "Pony", Zugangsdaten zu Benuterkonten ausgespäht hat. Betroffen war laut BKA auch ein Benutzerkonto von Nickles.de.

Das BKA geht davon aus, dass der Rechner des betroffenen Nickles-Mitglieds vom Pony-Trojaner infiziert ist und dieser seine Benutzerdaten ausspioniert hat. Das BKA hat Nickles.de (und andere Seitenbetreiber betroffener Benutzerkonten) über die Entdeckung informiert, damit wir den betroffenen Nutzer über eine mögliche Infektion seines Rechners (und die definitive Kompromittierung seiner Benutzerzugänge) hinweisen können.

Während ich den Vorgang hier untersucht habe, hat sich das betroffene Nickles.de-Mitglied bereits selbst hier im Forum gemeldet (http://www.nickles.de/forum/viren-spyware-datenschutz/2014/eine-schadsoftware-mit-namen-pony-539069210.html ), weshalb ich auf eine Anomyisierung des Nutzernamens (weil sinnlos) verzichtet habe und den Vorgang gleich hier im Blog aufkläre.

Wie mulex1 im Forum berichtet hat, kriegte er heute einen Anruf von einem Versandhändler, der ebenfalls ein Schreiben vom BKA erhalten hat, um ihm Bescheid zu geben. Anders als im Forenbeitrag beschrieben ist es wohl nicht so, dass über die Mail-Adresse von mulex1 Schad-Software verbreitet wird, sondern sich auf seinem Rechner eine Schad-Software (Pony) befindet, die seine Daten ausspioniert hat. Da dem BKA nur die  ermittelten Zugangsdaten von mulex1 in die Hände fielen, seine Adresse aber nicht bekannt ist, hat es sich nun an die Betreiber der jeweiligen Webangebote gewandt, damit diese mulex1 warnen können.

Ich berichte hier im Blog um den Vorgang aufzuklären, da vermutlich auch weitere Webseiten-Betreiber wegen Pony Post vom BKA erhalten, also noch unbekannt viele weitere Nutzer betroffen sind.

Seinem Schreiben hat das BKA auch einen Leitfaden zur Pony-Schad-Software beigefügt (siehe Bild, dritte Seite rechts). Der eher für Laien gedachte Leitfaden erklärt, dass der Trojaner Pony in Web-Formulare eingegebene Zugangsdaten ausspioniert und den Tätern übermittelt. Das BKA rät zu einer Reinigung des Computers mit Hilfe von Anti-Viren-Produkten oder einer Neuinstallation des Betriebssystems.

Auf die Schnelle habe ich mal recherchiert, dass es sich bei Pony vermutlich um einen Trojaner des "Pony Botet" handelt, das seit Ende 2013 bekannt ist. Details zu diesem Trojaner gibt es beispielsweise von Trustwave Spiderlabs. Ob und wie sich der Trojaner (und vermutliche Varianten davon) treffsicher identifizieren lässt, weiß ich aktuell nicht. Eventuell finden wir hier gemeinsam mit mulex1 noch passende Infos und Methoden.

bei Antwort benachrichtigen
Alibaba torsten40 „angenommen der betreffende User ist auch 200 Seiten ...“
Optionen

Vielleicht ist es eine Goodwill-Aktion nach dem Motto "Seht, wir schnüffeln nicht nur, wir beschützen Euch auch !", besseres Image und so. Kann ich mir bei unsrer verknöcherten Bürokratie aber auch nicht so recht vorstellen. Mitnichten eine ominöse Aktion ! In den USA bekäme ich jetzt die Panik, in den allgegenwärtigen Terror-Verdacht zu geraten und spurlos zu verschwinden oder Sightseeing durch finstre Zellen zu machen.

Alibaba

Win7 Ult 64, i5-3470, Gigabyte Z77X-UD3H, 16GB RAM, SSD Crucial 500 GB, MSI Geforce GTX 1050 2GT OC und 2xSATA3-HD + 1xeSATA-HD mit insges. 7,5 TB, NT Cooler Master Silent Pro Gold 10000W, Monitor Samsung Syncmaster 24"
bei Antwort benachrichtigen