Die aktuellen Versionen des BKA-Trojaners legen nicht nur das komplette System lahm, sondern hinterlassen auch unliebsame Dateien auf dem Computer, dessen Besitz unter Umständen sogar strafbar ist. Viele haben diese lästige Begegnung mit einem BKA-Trojaner schon gehabt. Es öffnet sich ein Fenster, das den gesamten Bildschirm ausfüllt und mit Logos des Bundeskriminalamts untermauert, wird einem vorgeworfen, Kinderpornos auf dem Rechner zu haben. Gegen eine Gebühr von 100€ die über Ukash zu bezahlen wären, könnte man das Gerichtsverfahren umgehen und den Computer wieder entsperren. Die neuen Versionen dieses Schädlings gehen aber noch einen Schritt weiter. Sie laden wirklich Bilder mit kinderpornografischem Inhalt herunter und speichern diese unbemerkt auf der Festplatte ab. Wenn der Trojaner dann mittels Virenscanner entfernt wird, bleiben diese Bilddateien aber noch auf dem Rechner bestehen. Der Besitz von Kinderpornos ist allerdings strafbar. Wie wird man diese Bilder also wieder los?
Das folgende Tutorial gibt eine Anleitung dazu, wie diese Bilddateien, die der Trojaner unter Umständen hinterlassen hat entfernen kann. Zunächst einmal gilt es, die Trojaner-Datei zu finden. Hierzu kann man entweder einen Virenscanner nutzen, der den Pfad der Datei herausfindet, oder ein geübter Blick in die Windows-Autostart-Liste kann den Trojaner lokalisieren.
Dann muss herausgefunden werden, wann die Trojaner-Datei auf den Rechner gelangt ist, denn die Bilddateien, die der Trojaner mitgebracht hat, werden dasselbe Erstellungsdatum haben wie der BKA-Trojaner. Selbst wenn die Malware bereits umbenannt wurde, um sie schädlich zu machen, funktioniert diese Strategie noch. Über den folgenden Befehl in der Kommandozeile können die Informationen abgerufen werden:
find /media/Windows
-newer /media/Windows/Windows/System32/bka-trojaner.exe
„/media/Windows“ beschreibt dabei das Verzeichnis, unter dem die Windows-Festplatte eingebunden ist und der zweite Pfad verweist auf den Ort der Datei. Letzteren kann man dann aus dem Browserfenster mit den Suchergebnissen heraus kopieren und in das Terminalfenster wieder einfügen. Wenn man nun die Zusätze „-iname *.jpg“ in das Eingabefeld schreibt, gibt die Suche nur die Dateien aus, die auf „.jpg“ enden, also eindeutig Bilddateien sind. Deshalb ist es auch ratsam, nach weiteren Endungen wie:“.jpeg, .tif, .png, .bmp und .gif“ zu suchen, um wirklich alle möglichen Bildformate abzudecken. Bisher waren die betroffenen Bilder immer durchnummeriert benannt, also .jpg, 2.jpg 3.jpg usw. jedoch kann sich das jederzeit ändern. Solche Bilddateien können meistens blind gelöscht werden. Sollten sich unbekannte Dateinamen zwischen den gefundenen Bildern befinden, muss man schon genauer hinsehen, sonst erwischt man unter Umständen Bilder vom letzten Urlaub, die man natürlich nicht entfernen möchte. An dieser Stelle ist dann Vorsicht geboten. Selbstverständlich dürfen Sie sich keinen Zugang zu Kinderpornographie verschaffen. Daher ist die Entscheidung, ob es sich um einen vom BKA-Trojaner auf den Computer heruntergeladenes Bild handelt, oder um den Urlaubsschnappschuss nicht immer einfach. Um die Dateien nicht zu öffnen, sollte man über die Vorschaufunktion entscheiden, ob einem diese Datei gehört, oder nicht.
Auch beim Löschen sollte man einige Regeln beachten. Verschiebt man die Dateien einfach in den Papierkorb, sind sie natürlich schnell wiederherzustellen. Daher sollte man eine Technik wählen, die die betreffenden Dateien gründlich vom System entfernt. Hundertprozentige Sicherheit gibt nur eine Festplattenformatierung und das neu aufsetzen des Betriebssystems. Wer allerdings nicht ganz so weit gehen möchte, kann folgenden Befehl in die Kommandozeile eingeben:
shred -u AppDataLocalTemp*.jpg
Dieser Befehl sorgt dafür, dass die betreffenden Bilder auf der Festplatte überschrieben werden und entsprechende Analyseprogramme diese nicht rekonstruieren können. Dazu muss allerdings die Windows-Partition im beschreibbaren Modus eingebunden sein. Man sollte grundsätzlich abwägen, ob es wirklich nötig ist das bestehende System zu retten, oder die wichtigsten Daten zu sichern und dann das System neu aufzusetzen. Letztere Variante ist immer die sicherere.