84654

Geiselnahme des Rechners

14.05.2009 | 15:43 Uhr |

Methoden wie Geiselnahme und Erpressung scheinen endgültig im Arsenal von Malware und Scareware angekommen zu sein. Neuere Versionen vorgeblicher Sicherheitsprogramme versuchen mit harten Bandagen Anwender zum Erwerb einer Vollversion zu nötigen.

Die ersten bekannt gewordenen Fälle einer Erpressung von Anwendern gehen auf den Schädling "Gpcode" zurück, der Dokumente verschlüsselt. Inzwischen haben auch die Programmierer von so genannter Scareware Erpressermethoden in ihr Arsenal aufgenommen. Wer auf vorgebliche Sicherheitsprogramme wie "System Security 2009" herein fällt und sie installiert, ist fortan nicht mehr Herr seines Rechners - bis er zahlt.

Bereits im März haben wir über Varianten der Scareware "Antivirus2009" berichtet, die Dateien des Benutzers verschlüsselt, um 50 US-Dollar für ein Tool zu verlangen, das die Dateien wieder heraus rückt. Im April tauchte dann der Schädling " Trojan.Ransomlock " auf, der den Desktop blockiert und Lösegeld verlangt. Nun berichten Avelino Rico und Geok Meng Ong im McAfee Avert Blog über die Scareware "System Security 2009", von McAfee als "FakeAlert-CO" bezeichnet, die ebenfalls Erpressermethoden einsetzt.

Das als Sicherheits-Software getarnte Programm meldet nicht nur, wie viele Scareware-Programme, vorgebliche Schädlingsfunde. Es beendet auch entweder alle von Benutzer gestarteten Programme oder fordert ihn zu einem Neustart des Rechners auf. In jedem Fall folgt zunächst eine vorgetäuschte Systemüberprüfung, die eine Menge vorgeblich entdeckter Schädlinge ergibt.

Doch die Scareware verhindert zugleich auch, dass der Benutzer irgend ein anderes Programm starten kann. Auch Taskmanager, Eingabeaufforderung oder andere Systemprogramme werden blockiert. Die Erpresser-Software meldet, die Programme seien angeblich infiziert. Der Anwender wird aufgefordert die falsche Sicherheits-Software zu aktivieren - das heißt, er soll einen Freischaltcode für die Vollversion kaufen, um die vorgeblichen Gefahren zu beseitigen.

Das falsche Sicherheitsprogramm einfach wieder zu deinstallieren ist in dem Moment keine Option, denn es gibt auf den Rechner weder einen Uninstaller noch lässt sich das Software-Applet der Systemsteuerung aufrufen. Einen Ausweg haben die Erpresser jedoch noch nicht versperrt: Windows kann im Abgesicherten Modus gestartet werden, in dem die Scareware "System Security 2009" nicht geladen wird.

Im Abgesicherten Modus können Programme ungehindert ausgeführt werden und die Scareware kann unschädlich gemacht werden. Das erledigt entweder das installierte (echte) Antivirusprogramm oder eines der speziellen Removal-Tools, die es bei Antivirus- und Anti-Spyware-Herstellern meist kostenlos gibt. Microsofts kostenloser Windows Defender, in Vista bereits enthalten und auch für Windows XP erhältlich, sollte dazu ebenfalls in der Lage sein.

Vom Erwerb der so genannten Vollversion von "System Security 2009" als Ausweg muss hingegen dringend abgeraten werden. Sie finanzieren damit nicht nur die Online-Kriminalität, Sie geben auch Ihre Kreditkartendaten in die Hände der Kriminellen. Diese Daten können für die Täter wertvoller sein als die 50 Dollar, die Sie für eine Zwei-Jahres-Lizenz der betrügerischen Software bezahlen sollen.

0 Kommentare zu diesem Artikel
84654