157002

Sprechendes Pferd: redselige Malware löscht Programmdateien

04.07.2007 | 16:03 Uhr |

Ein Trojanisches Pferd nutzt die Sprachausgabe von Windows, um den Benutzer darauf hinzuweisen, dass sein Rechner infiziert ist, während es Programmdateien und persönliche Dateien des Benutzers auf der Festplatte löscht.

Wenn Sie eine blechernde Stimme aus ihren PC-Lautsprechern hören, die Ihnen in fehlerhaftem Englisch verkündet, Ihr Rechner sei infiziert, haben Sie wahrscheinlich das Trojanische Pferd "Troj/BotVoice.A" auf dem Computer. Der spanische Antivirus-Hersteller Panda Software berichtet über diesen kürzlich entdeckten Schädling, der sich der Sprachausgabe von Windows ("Text-to-Speech") bedient.

Während BotVoice.A sämtliche Dateien im Benutzerprofil und im Programmverzeichnis sowie den jeweiligen Unterverzeichnissen löscht, wiederholt er ständig seine Nachricht an den Benutzer: "You has been infected I repeat You has been infected and your system files has been deletes. Sorry Have a Nice Day and bye bye". Die Beschreibung im Virenlexikon von Panda hält auch eine MP3-Datei mit einer Aufzeichnung der Sprachausgabe bereit.

Der Schädling breitet sich nicht selbsttätig aus, kann jedoch über alle üblichen Wege wie P2P-Netze, Mail-Anhänge oder Downloads verbreitet werden. Er löscht nicht nur die Dateien in den genannten Verzeichnissen, er deaktiviert auch den Taskmanager und den Registry-Editor. Ferner manipuliert BotVoice.A die Registry so, dass Programmdateien mit den Endungen .com, .exe. .pif, .vbs, .js und .bat nicht mehr ausgeführt werden können. Auch das Öffnen von HTML-, MP3- und JPEG-Dateien wird unterbunden.

Um ein Programm, etwa einen Malware-Cleaner oder ein Registry-Tool, ausführen zu können, muss dessen Programmdatei also mit einer der nicht von BotVoice.A blockierten Endungen, etwa .scr oder .cmd, versehen werden. Bei McAfee wird BotVoice.A unter dem Namen " Del-520 " geführt.

0 Kommentare zu diesem Artikel
157002