Cyber Crime Investigation Department - Trojaner?

[Thomas2903]

hallo!

Gestern abend war mein PC plötzlich gesperrt, sowas wie ein explorer blocker.

Es war ein Screen zu sehen, der vorgibt, ich soll gegen das Gesetzt verstoßen zu haben.

Das "Cyber Crime Investigation Department" führt einige Punkte auf, ich habe entweder gegen das Urheberrecht, Kinderpornographie, ect verstoßen und in den nächsten 72 Stunden wird Anzeige gegen mich erstattet. Daneben ist so ein Pay-Safe Card Eingabefeld, wo schon ein Betrag mit 100 Euro drinnen steht.

Mein Windows 7 ist jetzt kurz nach dem Start gesperrt und ich sehe nur noch diesen Screen.

Meine Frage: Gibt es dieses "Cyber Crime Investigation Department" überhaupt wirklich (in Österreich)?

Ich nehme natürlich an, daß es sich dabei um Malware handelt.

Hat von euch jemand sich das schon mal eingefangen?

Wie kann ich das Problem beseitigen?

[Eye-Q]

Zweites Ergebnis der google-Suche nach Cyber Crime Investigation Department...

[*Micha*]

Bekannt ist Problem schon einige Zeit:

BKA Warnhinweise

BKA Warnhinweise

[127.0.0.1]

mich würde mal interessieren, wo oder wie du dir das eingefangen hast (keine angst, wir sagen deiner frau nicht, dass du auf xxx-seiten warst... ;-) )

[Thomas2903]

Ich habe echt keine Ahnung. Auf xxx Seiten bin ich normal sehr selten unterwegs. Ja, da bin ich vllt ein Exote. Gestern abend, als ich Command & Conquer Alliances (das Browsergame) gestartet habe ist plötzlich mein PC gesperrt worden. Ich glaube nicht, daß das game direkt etwas damit zu tun hat, aber ich habe einen Kampfsimulator, ein Greasemonkey Skript für den Firefox. Vllt hat das was damit zu tun. Emails mache ich auch nie unbekannte auf...

Es kann aber auch zufall gewesen sein, daß das gerade jetzt passiert ist. Mittlerweile ist mein PC wieder funktionstüchtig. Nicht mal die LiveCD vom Kaspersky hat mal mehr das System gestartet...nur noch Neuinstallation.

[*Micha*]

Hallo Thomas:

ich hab auch noch ein bis'chen rumrecherchiert und erwartungemäß nichts zu einem:

"Cyber Crime Investigation Department"

als offizielle Österreichische Organisation gefunden. Zum einem deutet der zweite Namensteil "Investigation Department" nicht auf eine Organisation aus dem deutschsprachigen Raum und zum zweiten sind die Verfahrensweisen zu Straftatbeständen nicht so unseriös. Entweder findet eine Onlinedurchsuchung statt oder Dein System wird komplett abgeschaltet und Du erhälst Besuch. Das hätte einen Strafbefehlähnlichen Charakter, dass man sich gegen die Zahlung einer Summe "freikauft". Da Du ja jetzt das Problem beseitigt hast und Deiner Aussage entsprechend nichts zu verbergen hast, vergiß es einfach oder noch besser erstatte Strafanzeige. Zweiteres ist nach einer Neuinstallation aber eher wenig erfolgversprechend. In Deutschland nennt man sowas Computersabotage und -betrug.

Grüße

Micha

[Thomas2903]

naja Strafanzeige erstatten würde ich da nicht machen. Schließlich ist für mich ja kein finanzieller oder sonstiger Schaden entstanden. Das eblöde war erstens der große Schrecken den ich spät Abends hätte, und zweitens ist es eben nervig weil ich mein System neu aufsetzen mußte. Die ganzen Windows updates etc, alle Tools, Treiber, sontige Programme die ich so brauche... Das verbraucht halt viel Zeit und ist einfach nervig.

[Thomas2903]

hier ein foto (ja), kein screenshot, vom bildschirm.

daten-hoster.de - Download-Seite für IMG_0913.JPG

[Thanks-and-Goodbye]

Das Forum hat eine eigene Uploadfunktion. Nutze sie bitte, ich habe keine Lust, mir das Bild auf irgendeinem Sharehoster erst herunterladen zu müssen.

[*Micha*]

@Thomas:

ich hab zu dem link vier/fünf andere Ergebnisse bekommen. Zwei mal eine execute-Datei von d53.playmediasite.com um mir ein Video anzuschauen und ich hab momentan nicht die Zeit alles komplett neu zu installieren. Ist das ein Farmerspiel?

[*Micha*]

Jetzt hab ich endlich den Einmallink an mein Email-postfach gesendet bekommen:

"Pirate Storm Death of Glory", hübsches gemaltes Bild aber nicht mein Fall.

[Thomas2903]

sorry. die uploadfunktion kenne ich jetzt!

"Pirate Storm Death of Glory"?????? ich glaube das ist etwas schief gelaufen.

Hier nochmal das bild!

[ATTACH]4915[/ATTACH]

[*Micha*]

Bei mir verweist Dein Anhang-link nur an den Webmaster und der Bild-link von Daten-hoster.de hat mir jetzt das Vergnügen gebracht, mir den Trailer von Pirate Storm anschauen zu dürfen. Naja, ich hätte mich ja anmelden können und an der Seite der großen 5 kämpfen können. Aber Spaß beiseite, die setup.exe hab ich mir mal gedownloadet und hab dabei den durchsuchen Button angeklickt und eine Datei auf meinem Destop erwischt aber dann gleich wieder das Fester geschlossen. Ich hoffe nun mal nicht, dass die mir die pdf-File "gezockt" haben. Ich hab doch ohne die Bedingungen auf herunterladen geklickt. Das ist nicht meine pdf, die darf ich doch nicht ins Netz stellen.

Aber egal, Dein Problem ist eh Schnee von Gestern und ich mach jetzt Feierabend.

[neXXuz]

Also soweit ich weiss, kusiert dieser Virus doch auf diversen Kino-Streaming Seiten (jetzt mal ohne Namen zu nennen... ;-)

Meine Schwester hat sich den dort auch eingefangen... Habe den bisher immer durch den Full Scan mit AntiVir Rescue Bootable runterbekommen.

[metux]

Wie kann ich das Problem beseitigen?

Kurz und knapp: kein Windows mehr benutzen.

Da lauern grundlegende Architekturprobleme, vorallem beim ActiveX, aufgrund derer sich an vielen Stellen Code

von außen einschleusen läßt. *** arbeitet zwar seit etlichen Jahren stark daran, die Lecks punktuell durch zusätzliche

Checks abzudichten, aber das ist ein Katz&Maus-Spiel. Wirklich lösen läßt sich das nur, wenn man ActiveX komplett

rauswirft und mit einer ganz neuen, sauber durchdachten Architektur neu Anfang (IOW: ca. 75% neu schreiben).

[metux]

Entweder findet eine Onlinedurchsuchung statt oder Dein System wird komplett abgeschaltet und Du erhälst Besuch.

Onlinedurchsuchung ist in Ör legal ?

[*Micha*]

@metux:

Ich bin kein Jurist und auch kein Österreicher aber lt. wikipedia ist eine Online-Durchsuchung mit einem richterlichen Beschluß bei einer Straferwartung von über 10 Jahren legal.

Wikipedia: Online-Durchsuchung

@Online-Durchsuchung Deutschland:

Ist es immer dann legal, wenn der Staatsanwalt von dem Ermittlungsrichter einen Durchsuchungsbeschluß erhält. Allein die Tatsache, dass mein System "offen", wie eine geöffnete Wohnungstür dasteht rechtfertig noch lange kein Eindringen. Leider hat das zur Folge, dass Datendiebe das in strafrechtlich relevanter Weise nutzen um sich unbefugt Informationen illegal zu verschaffen (Datendiebstahl) oder wie in diesem Fall einen Betrugsversuch unternehmen. Die Strafverfolgungsbehörden haben jedoch ihrerseits den grundgesetzlich verankerten besonderen Schutz der Unverletzbarkeit der Wohnung zu beachten, sodass es evt. an rechtssicheren Beweisen gegen die unbefugten Eindringlinge fehlt. So kann natürlich nicht mit dem Versand solcher Schadsoftware, die Auswirkung auf fremde Systeme gerechtfertigt werden. Daher ist in solchen Fällen immer zu einer Anzeigeerstattung zu raten um das Problem zu erkunden und zu ahnden.

@Cyber Crime Investigation Department:

Ein zu Kobik-Schweiz führender link (In Zusammenhang mit der Frage von thomas), führte irrig zu der Annahme, dass es sich bei dem "Cyber Crime Investigation Department" um eine Schweizer Organisation handelt, die in Österreich aktiv ist (Das wurde jedoch bei Kobik verneint). Ferner ist das hier ein Deutsches Forum. Damit liegt deutsches Recht zugrunde und eine wie auch immer geartete Attacke mit solcher Schadsoftware ist somit illegal, auch wenn es sich hierbei um eine ausländische Organisation handelt, die damit droht einen User "anzuschwärzen". Bei dieser Gelegenheit hielt ich den Verweis zu einem gleichartigen Problem mit offizieller Stellungnahme in Sachen Verhaltensweisen für angebracht.

[metux]

@metux:

Ich bin kein Jurist und auch kein Österreicher aber lt. wikipedia ist eine Online-Durchsuchung mit einem richterlichen Beschluß bei einer Straferwartung von über 10 Jahren legal.

Interessant.

Wenn die dort technisch etwa das gleiche verstehen wie hierzulande, dann hätte das die Konsequenz, daß die dort keinen Rechtsstaat mehr haben.

@Online-Durchsuchung Deutschland:

Ist es immer dann legal, wenn der Staatsanwalt von dem Ermittlungsrichter einen Durchsuchungsbeschluß erhält.

Ich müßte nochmal nachlesen, was das BVerfG genau dazu gesagt hat. Schäuble jedenfalls hat damals klar gesagt, daß man es die ganze Zeit ohne Rechtsgrundlage gemacht hat.

Ungeachtet der Gesetzeslage (was man ja mal ganz klar vom Recht unterscheiden muß), gibt es hier - mal ganz abgesehen davon, daß der Richtervorbehalt in der Praxis eh nur Makulatur ist - das gravierende Problem der sicheren Beweiskette. Es läßt sich eben in der Praxis nicht sicherstellen, daß die bei einer Online-Durchsuchung erhobenen Beweismittel nicht gefälscht sind. Und wir wissen ja alle, wie hochgradig kriminell unsere Operation Gehlen ist.

Die Strafverfolgungsbehörden haben jedoch ihrerseits den grundgesetzlich verankerten besonderen Schutz der Unverletzbarkeit der Wohnung zu beachten, sodass es evt. an rechtssicheren Beweisen gegen die unbefugten Eindringlinge fehlt. So kann natürlich nicht mit dem Versand solcher Schadsoftware, die Auswirkung auf fremde Systeme gerechtfertigt werden. Daher ist in solchen Fällen immer zu einer Anzeigeerstattung zu raten um das Problem zu erkunden und zu ahnden.

Im Grunde genommen müßte man, bei jeglichem Eindringen (bzw. Verdacht darauf), bereits zum eigenen Schutz vor evtl. juristischer Verfolgung, sofort Strafanzeige erstatten. Man kann ja leider nie wissen, was mit dem befallenen System sonst noch getrieben wurde. Andererseits könnte einem der Angreifer das Leben an der Stelle auch sehr schwer machen, indem er einfach strafbares Material wie zB. KiPo hinterläßt.

Damit liegt deutsches Recht zugrunde und eine wie auch immer geartete Attacke mit solcher Schadsoftware ist somit illegal, auch wenn es sich hierbei um eine ausländische Organisation handelt, die damit droht einen User "anzuschwärzen".

In der Theorie korrekt. Allerdings kann die Praxis leider auch anders aussehen, denn schließlich gelten hier ja schon mind. 27 verschiedene Rechtsordnungen. Und wir hatten ja auch schon Urteile, denen besonders radikale, mit unserem GG nicht vereinbare religiöse Weltanschauungen zugrunde lagen.

[*Micha*]

Wenn die dort technisch etwa das gleiche verstehen wie hierzulande, dann hätte das die Konsequenz, daß die dort keinen Rechtsstaat mehr haben.

Diese Schlußfolgerung verstehe ich nicht. Fakt ist doch eher, dass Österreich, wie auch die Schweiz, die gleichen Wurzeln hat und sich die Systeme eher wenig auseinander entwickelt haben.

Ich müßte nochmal nachlesen, was das BVerfG genau dazu gesagt hat. Schäuble jedenfalls hat damals klar gesagt, daß man es die ganze Zeit ohne Rechtsgrundlage gemacht hat.

Gerichtsurteile sind immer als Einzelfallentscheidungen (ggf. auch in einer Sammelklage) zu genau dem eingeklagten Punkt zu werten. In einer anderen Klage bleibt es immer wieder dem urteilendem Gericht überlassen in wieweit sie solche Urteile übernehmen oder den eigenen Fall als etwas anderers gelagert verstehen. Maßgeblich ist ja nicht, was das Verfassungsgericht sagt, sonder was die StPO hergibt.

Wenn man sich auf die Aussagen dritter bezieht, muss man auch kundtun in welchen Zusammenhang die Aussage getätigt wurde, schon ein Medienbericht wirkt da oft verfälschend. Besonders Politiker wollen mit ihren Texten oft eine Wirkung erzielen, eine Diskussion ankurbeln oder Wähler gewinnen, sodass es hier oft nur hilft z.B. die gesamte Debatte bzw. Medienschlacht zu verfolgen und Hr. Schäuble ist auch gar kein Vertreter der Judikative.

@sicheren Beweiskette:

Gerade in der IT-Branche kann man mehr sicher beweisen als den meisten bewusst ist. So kann an Hand der Dateianhänge ausgelesen werden, wie oft ein Dokument geöffnet, gedruckt, geändert etc. wurde. Das Problem liegt eher darin, dass bei Eierdiebstahl der Aufwand nicht gerechtfertigt ist und andererseit die Möglichkeiten der Forensik natürlich nicht offengelegt werden.

Im Grunde genommen müßte man, bei jeglichem Eindringen (bzw. Verdacht darauf), bereits zum eigenen Schutz vor evtl. juristischer Verfolgung, sofort Strafanzeige erstatten.

Ja, natürlich aber dann kommen so Fragen wie:

Wie kommen sie denn darauf? o.

Könnte es nicht auch ein Bedienungsfehler sein?

Haben sie das in der Vergangenheit in den AGB verschiederner Anbieter nicht zugelassen?

[metux]

Diese Schlußfolgerung verstehe ich nicht.

Nun, eine erfolgte Online-Durchsuchung bedingt stets eine Kompromittierung des angegriffenen Systems. Damit ist die Integrität/Echtheit der Beweismittel bereits grundsätzlich infrage zu stellen.

Maßgeblich ist ja nicht, was das Verfassungsgericht sagt, sonder was die StPO hergibt.

Das Verfassungsgericht ist sehr maßgeblich. Es sagt nämlich im Zweifel, welche Normen überhaupt rechtmäßig sind.

(nicht jedes Gesetz verwirklicht auch tatsächlich das Recht).

@sicheren Beweiskette:

Gerade in der IT-Branche kann man mehr sicher beweisen als den meisten bewusst ist.

Man kann Beweise aber auch noch viel einfacher herstellen, als den meisten bewußt ist, und zwar so daß sie nicht von einem echten Beweis unterscheidbar sind.

So kann an Hand der Dateianhänge ausgelesen werden, wie oft ein Dokument geöffnet, gedruckt, geändert etc. wurde.

Aha, wie genau soll das gehen ? Wo kommt konkret die Information her ?

[*Micha*]

Nun, eine erfolgte Online-Durchsuchung bedingt stets eine Kompromittierung des angegriffenen Systems. Damit ist die Integrität/Echtheit der Beweismittel bereits grundsätzlich infrage zu stellen.

Durch die Durchsuchung allein bzw. durch die Sicherstellung von beweiserheblichen Dateien ist meiner Ansicht nach die Echtheit kaum infrage zu stellen, da das ja i.d.R. von entsprechenden unparteiischen Fachkräften durchgeführt wird, die keinen persönlichen Nutzen von einer Verfälschung haben. Das ist vergleichbar mit einer gewöhnlichen Beweismittelsicherung, bei der auch so gut wie nie Beweise "untergeschoben" werden, wieso sollten denn ein Ermittler z.B. die Tatwaffe mitbringen und dann als aufgefunden erklären?

Das Verfassungsgericht ist sehr maßgeblich. Es sagt nämlich im Zweifel, welche Normen überhaupt rechtmäßig sind.

In sofern schon aber wen interressiert das, doch nur die beiden Prozeßgegner. Schon der IT-Gutachter nimmt die Gesetzeslage wie sie ist und in einem gewöhnlichen Strafprozeß hat das entsprechende Strafgericht in jedem Fall eine Autonomie in Sachen Beweiswürdigung und dafür den entsprechen IT-Gutachter. Eine Verfassungsklage kommt nur in den seltensten Fällen vor (Die ist ja auch sehr teuer und kann nur von wenigen zugelassenen Anwälten durchgeführt werden) und generell läßt sich sagen, die Verfassung ist wie sie ist und wird es wahrscheinlich auch bleiben. Es gilt also die StPO und da muss und wird der zuständige Untersuchungsrichter im Vorfeld schon prüfen ob ein genügender Grund für eine Durchsuchung vorliegt.

Was das BVerfG in Sachen Gesetzentwürfe sagt, ist doch eher für den Gesetzgeber und den Bundespräsidenten ausschlaggebend und nicht für den gewöhnlichen Bürger.

Man kann Beweise aber auch noch viel einfacher herstellen, als den meisten bewußt ist, und zwar so daß sie nicht von einem echten Beweis unterscheidbar sind.

Das ist per Definition falsch, da ein Beweis eine nicht zu widerlegende Tatsache darstellt.

Aha, wie genau soll das gehen ? Wo kommt konkret die Information her ?

Aus den, den Dateien angefügten Informationen. Guck doch mal unter Datei-Eigenschaften von z.B. einem Microsoft-Word-Dokument!

Da lässt sich pauschal sagen, die Spezialisten vom Nachrichtendienst lassen es sich bestimmt nicht nehmen ein paar Bytes für ihre Übersichtlichkeit anzufügen und lassen das auch nur ein paar Militärs und Forensiker wissen, damit kann eine Fälschung schon als ausgeschlossen gelten aber wie schon gesagt bei Eierdiebstahl wird nicht darüber geredet.

[metux]

Durch die Durchsuchung allein bzw. durch die Sicherstellung von beweiserheblichen Dateien ist meiner Ansicht nach die Echtheit kaum infrage zu stellen,

Bereits der Akt des Angriffs impliziert eine Manipulation des Beweismittels. Bildlich gesprochen: das Siegel ist gebrochen.

Man kann prinzipiell nicht mehr sicherstellen, daß hier das angegriffene System nicht manipuliert wird, denn eine solche

Manipulation ist anschließend nicht mehr nachweisbar. So lassen sich ganz bequem Beweise herstellen.

da das ja i.d.R. von entsprechenden unparteiischen Fachkräften durchgeführt wird, die keinen persönlichen Nutzen von einer Verfälschung haben.

Äußerst naiv.

Das ist vergleichbar mit einer gewöhnlichen Beweismittelsicherung, bei der auch so gut wie nie Beweise "untergeschoben" werden, wieso sollten denn ein Ermittler z.B. die Tatwaffe mitbringen und dann als aufgefunden erklären?

Oh, da gibts viele Szenarien. Beispielsweise um falsche Spuren zu legen, oder gar eine noch größere Operation zu vertuschen.

Da fiele mir zB. sofort das Massacker von Winnenden ein.

In sofern schon aber wen interressiert das, doch nur die beiden Prozeßgegner.

Das reicht schon, wenn hier Existenzen auf dem Spiel stehen.

Schon der IT-Gutachter nimmt die Gesetzeslage wie sie ist und in einem gewöhnlichen Strafprozeß hat das entsprechende Strafgericht in jedem Fall eine Autonomie in Sachen Beweiswürdigung und dafür den entsprechen IT-Gutachter.

AFAIK werden solche Überwachungsmaßnahmen von Executivorganen (BKA, VS, etc) durchgeführt (mit oder ohne richerlichen Beschluß).

Damit macht man bereits den Bock zum Gärtner.

Eine Verfassungsklage kommt nur in den seltensten Fällen vor (Die ist ja auch sehr teuer und kann nur von wenigen zugelassenen Anwälten durchgeführt werden) und generell läßt sich sagen, die Verfassung ist wie sie ist und wird es wahrscheinlich auch bleiben.

Nur kurz, um etwaige Mißverständnisse auszuräumen: Zweck einer Verfassungsklare ist es, die Verfassungsmäßigkeit einer Rechtsnorm zu überprüfen, nicht die Verfassung selbst ;-o

Übrigends: in DE haben wir regelmäßig Verfassungsklagen. Die aktuell prominenteste ist wohl jene gegen das ESM-Ermächtigungsgesetz.

Es gilt also die StPO und da muss und wird der zuständige Untersuchungsrichter im Vorfeld schon prüfen ob ein genügender Grund für eine Durchsuchung vorliegt.

Leider sieht bei uns die Praxis anders aus: die Untersuchungsrichter sind derart überlastet und unter Druck, daß ein großer Teil der Überwachungsmaßnahmen ohne echte Prüfung abgesegnet wird.

Abgesehen davon führt die Executive diese Maßnahmen auch ohne richterlichen Beschluß durch. Das hat ja unser Bundesfinanzminister, damals noch Innenminister, schon ganz offen auf Pressekonferenzen Kund getan.

Was das BVerfG in Sachen Gesetzentwürfe sagt, ist doch eher für den Gesetzgeber und den Bundespräsidenten ausschlaggebend und nicht für den gewöhnlichen Bürger.

Oh, das sollte aber gerade den gewöhnlichen Bürger sehr stark interessieren. Schließlich ist das ein gewichtiger Indikator dafür, ob man es nicht ggf. mit verfassungsfeindlichen Politikern zu tun hat.

Aus den, den Dateien angefügten Informationen. Guck doch mal unter Datei-Eigenschaften von z.B. einem Microsoft-Word-Dokument!

Ich habe leider keine Microsoft-Produkte im Einsatz, kann also grad nicht explizit nachprüfen, ob diese von sich aus allein irgendwas

in den Dokumenten loggen. Allerdings bin ich mir sicher, daß Tools wie catdoc keinerlei Änderungen im Original durchführen,

ebensowenig wie mein Texteditor, auch LO tut das nicht. Ohnehin würde das beim nächsten `git diff` sofort auffallen.

Summa summarum: ja, es gibt durchaus einzelne Office-Produkte, die derartiges mitloggen und stillschweigend

Dokumente verändern. Aber es gibt bereits mehr als genügend ganz andere Gründe, diese überhaupt nicht

zu verwenden.

Da lässt sich pauschal sagen, die Spezialisten vom Nachrichtendienst lassen es sich bestimmt nicht nehmen ein paar Bytes für ihre Übersichtlichkeit anzufügen und lassen das auch nur ein paar Militärs und Forensiker wissen

Was genau willst Du damit sagen ?

[the_real_duffy]

Lieber Thomas,

hast du nun dein Problem beseitigen können? Mit Live CD-Antivirus oder durch Resetting vom ganzen Hardware? Ich und anderen Kollegen haben das gleiche Problem! Danke für diene Antwort!

Lieber neXXuz,

meinst du dass du das Problem mit Full Scan mit AntiVir Rescue Bootable beseitigen könntest (vollständig)? Ist das (verzeih mir, wenn ich so uneducated bin) der Name der Firma die das Antivirus produziert? Wo kann ich sowas finden? Vielen Dank!