Was ist Malware?

Schützen Sie Ihren PC vor Schadsoftware!

Start / Trojanisches Pferd / Infostealer.Bucuper identifizieren und löschen

Infostealer.Bucuper identifizieren und löschen

von Enrico Lauterschlag

Infostealer.Bucuper gehört zur Familie der Trojaner und besitzt das Ziel, Informationen vom okkupierten Rechner zu stehlen und an den Angreifer zu senden.

Wie jede andere Malware auch, die für das Ziel entwickelt worden ist, Informationen von einem fremden Rechner zu stehlen, kann der Trojaner Infostealer.Bucuper den Usernamen, Passwort, Online-Daten oder jede andere Form von Daten sammeln, auf die er angesetzt worden ist.

Zu diesen anderen Daten gehören zum Beispiel Informationen über die verbaute Hardware, über die installierte Software oder die eingerichteten Sicherheitsvorkehrungen auf dem infizierten System.

Infostealer.Bucuper in der Übersicht

Typ: Trojaner
Betroffene Systeme: Windows 95 – Windows 7
Schaden: Mittel
Verbreitung: Niedrig
Entfernung: Einfach
Mögliche Quellen:

  • Hauptsächlich wird der Infostealer.Bucuper über Spam-E-Mails mit einem Dateianhang verbreitet.
  • Kompromittierte Webseiten, die auf den Trojaner verweisen.
  • Serialkey-Generatoren
  • Irreführende Online-Werbung

Wie verläuft die Infizierung?

Wenn das Wirtsprogramm ausgeführt wird, infiziert der Infostealer.Bucuper das System, indem im ersten Schritt auf der Windows-Partition ein Ordner mit dem Namen „MyPC Backup“ angelegt wird. In diesen Ordner, kopiert der Trojaner verschiedene Dateien hinein, die zur Datensammlung und zur Kontaktaufnahme mit dem Angreifer gedacht sind.

Im zweiten Schritt werden verschiedene Einträge in der Registry von Windows hinzugefügt, damit der Infostealer.Bucuper bei jedem Systemstart automatisch gestartet wird. Zu diesen Registry-Einträgen gehören auch diverse Subkeys, die angelegt werden. Welche Dateien auf Ihrem System installiert und welche Registry-Einträge vorgenommen werden, erfahren Sie in der Security Response von Symantec.

Hat sich der Trojaner in den Autostart des Rechners eingetragen, folgt ein Pop-Up, in dem Sie aufgefordert werden, sich für ein Backup-Programm zu registrieren. Registrieren Sie sich und melden sich an dem Service an, beginnt der Infostealer.Bucuper mit dem Sammeln von Daten. Diese schickt er über eine Remote-Verbindung an den Angreifer.

Zusätzlich blendet der Trojaner immer wieder Werbung ein, dass Sie sich doch für die Premium-Version des Backup-Service anmelden sollen.

Um die Remote-Verbindung zum Angreifer aufzubauen, manipuliert der Infostealer-Bucuper ebenfalls die Windows-Firewall und deaktiviert wichtige Prozesse, die von grundlegender Bedeutung für die Ausführung von Sicherheitssoftware sind. Dies hat natürlich nur den einen Grund, um die Anwesenheit der Schadsoftware zu verschleiern oder sogar ganz zu verheimlichen.

Infostealer.Bucuper erkennen

Da diese Malware versucht ihre Anwesenheit zu verschleiern, gibt es natürlich nicht viele Symptome, an denen man die Anwesenheit erkennen kann. Offensichtlich ist aber das Pop-Up mit dem Titel „MyPC Backup Setup Wizard“ über welches Sie aufgefordert werden, sich für den Backup-Service zu registrieren.

Ein anderes sehr offensichtliches Symptom ist, dass der Ordner %ProgramFiles%\MyPC Backup auf Ihrem System angelegt worden ist.

Weitere Symptome können sein:

  • Eine Internetverbindung wird automatisch aufgebaut, ohne das Sie aktiv im Internet arbeiten.
  • Die Windows-Firewall ist plötzlich deaktiviert.
  • Installierte Sicherheitsprogramme funktionieren nicht mehr, da wichtige Prozesse vom Infostealer.Bucuper beendet worden sind.

Besitzen Sie einen aktuellen Virenscanner, wie z.B. Norton Antivirus 2014, macht Sie das Programm auf die Anwesenheit des Trojaners aufmerksam.

Infostealer.Bucuper löschen

Führen Sie einen vollständigen Sicherheitsscan mit dem Virenscanner Ihrer Wahl durch. Erkennt der Virenscanner den Infostealer.Bucuper, ist die Chance groß, dass er diesen auch löschen kann. Ist dies nicht der Wahl, können Sie sich den kostenlosen Norton Power Eraser herunterladen. Dieser wurde extra zum Entfernen besonders hartnäckiger Malware entwickelt.

Konnte der Trojaner immer noch nicht von Ihrem System entfernt werden, bleibt nur die manuelle Entfernung:

  1. Entfernen Sie alle Dateien und Ordner, die der Infostealer.Bucuper auf Ihrem System angelegt hat.
  2. Löschen Sie alle Einträge in der Registry, die durch den Trojaner erstellt worden sind.
  3. Ebenfalls müssen Sie alle angelegten Subkeys löschen.
  4. Ändern Sie alle modifizierten Einträge in der Registry auf die Werte vor der Infektion.
  5. Führen Sie abschließend einen erneuten vollständigen Sicherheitsscan mit dem Virenscanner Ihrer Wahl durch.

Welche Ordner und Einträge vorgenommen worden sind, erfahren Sie über den angebotenen Link weiter oben (Security Response).

Wenn alles nichts hilft, bleibt nur noch die Möglichkeit, das komplette System zu formatieren und eine Neuinstallation von Windows durchzuführen.

Quellen und weiterführende Informationen:

  • https://malwarefixes.com/threats/infostealer-bucuper/
  • http://www.symantec.com/security_response/writeup.jsp?docid=2014-061213-0500-99

Lesen Sie auch:


4-Punkte-Plan für einen guten Virenschutz

1Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.

2Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor Phishing-Mails.

3Verwenden Sie ein aktuelles Antivirenprogramm und halten die Virendefinition stets aktuell.

4Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. Mehr Informationen zur Firewall

Ich will mehr Sicherheit