818226

Schädling gibt vor vom BKA zu sein

31.03.2011 | 12:31 Uhr |

Ein Trojanisches Pferd gibt von der Bundespolizei und/oder dem Bundeskriminalamt zu stammen und illegales Material auf dem Rechner gefunden zu haben. Der PC wird gesperrt und nur gegen Lösegeld wieder frei gegeben.

Erpresserische Malware, so genannte „Ransomware”, die Dateien verschlüsselt oder den Rechner blockiert, gibt es schon eine ganze Weile. Es sei nur an „GPcode” erinnert, der auch gerade wieder aufgetaucht ist. Im Zuge der Betrügereien mit vorgeblichen Spendenaufrufen für die Opfer des Erdbebens in Japan wird auch ein Schädling per Drive-by Infektion verbreitet, der vorgibt, er sei von der deutschen Polizei.

Der Schädling zeigt eine großformatige Meldung auf dem Bildschirm an, in der behauptet wird, auf dem Rechner seien pornografische Inhalte sowie Elemente von Gewalt und Kinderpornografie festgestellt worden. Es seien aus Mails mit terroristischem Hintergrund verschickt worden. Der Rechner werde gesperrt, um „Ihre illegalen Aktivitäten zu unterbinden”.

Um die Sperre aufzuheben, sei der Benutzer „verflichtet eine Strafe von 100 Euro zu zahlen”. Sollte nicht binnen 24 Stunden gezahlt werden, würde die „Festplatte unwiderruflich formatiert(gelöscht)”. Um die „Strafe” zu entrichten, sollen die Erpressungsopfer eine Ukash-Karte kaufen und den zugehörigen Code in ein Formular eingeben. Alternativ könne der Code auch an eine angegebene Mail-Adresse bei Yahoo geschickt werden.

Weder die sofortige Bezahlung einer Strafe per Ukash noch die Mail-Adresse bei Yahoo lassen den Schluss zu, diese Meldung könnte tatsächlich von einer deutschen Polizeibehörde stammen. Auch Fehlerdichte und Formulierungskünste weisen auf die üblichen Verdächtigen hin – auch wenn man von Online-Kriminellen schon wesentliches schlimmeres Deutsch gesehen hat.

Um den immerhin in der Tat blockierten Rechner wieder von dem Schädling zu befreien, rät Andreas Marx vom Magdeburger Antivirustestlabor AV-Test zur Nutzung eines alternativen Boot-Mediums, etwa einer Antivirus-CD. Wird der PC von einer solchen CD gestartet, kann der enthaltene Virenscanner den Schädling entfernen, auch wenn Windows nicht mehr benutzbar ist.

Der Schädling wird mittlerweile von den meisten Antivirusprogrammen erkannt, von den bekannteren hapert es noch bei Symantec und Avast (Quelle: AV-Test):

Antivirus

Malware-Name

AntiVir

TR/PSW.Papras.A.1

Avast

-/-

AVG

Downloader.ADY (potentially harmful program)

BitDefender

Gen:Variant.Kazy.17250

CA-AV

Win32/OneStep.A!Adware

ClamAV

-/-

Command

-/-

Dr.Web

Trojan.Advload.62

Eset Nod32

Win32/Kryptik.MAC trojan (variant)

F-Prot

-/-

F-Secure

Gen:Variant.Kazy.17250

Fortinet

W32/Krap.AON!tr

G Data

Gen:Variant.Kazy.17250

Ikarus

Trojan-PWS.Win32.Papras

K7 Computing

Riskware (0015e4f01)

Kaspersky

Trojan-PSW.Win32.Papras.bll

McAfee

Generic FakeAlert.am (trojan)

Microsoft

TrojanDownloader:Win32/Harnig.S

Norman

-/-

PC Tools

-/-

Panda

Adware/BroserSeek (spyware)

QuickHeal

-/-

Rising

-/-

Sophos

Mal/FakeAV-EA

Sunbelt

Trojan-Downloader.Win32.Harnig

Symantec

-/-

Trend Micro

TROJ_HARNIG.GE

VBA32

TrojanDownloader.Agent.qms

VirusBuster

-/-

Webroot

Mal/FakeAV-EA

0 Kommentare zu diesem Artikel
818226