109524

Trojanisches Pferd nimmt Dokumente als Geiseln

25.05.2005 | 13:34 Uhr |

Ein Schädling verschlüsselt Dateien und sein Herr und Meister fordert Geld für die Herausgabe des Schlüssels.

Mehrere Antivirus-Hersteller berichten von der Entdeckung eines Trojanischen Pferds, das Dateien auf einem befallenen PC verschlüsselt und sich dann selbst löscht. Es hinterlässt eine Botschaft, in der eine Mail-Adresse enthalten ist. Hier soll das Opfer nach dem Schlüssel zu seinen Dateien fragen. In einem bekannt gewordenen Fall soll der Täter 200 US-Dollar dafür verlangt haben.

Das schädliche Programm wird von McAfee als schlicht als " PGPcoder " bezeichnet, Symantec nennt es " Trojan.Pgpcoder " und bei Trend Micro heißt es " TROJ_PGPCODER.A ". Es gelangt etwa über eine Web-Seite in den PC, die mit einem für Sicherheitslücken anfälligen Browser besucht wird. Es kann jedoch auch über P2P-Netze oder Datenträger wie Diskette, CD-ROM oder DVD transportiert werden.

Wird das Programm gestartet, trägt es sich in die Windows-Registry ein, damit es beim Starten von Windows ausgeführt wird. Es durchsucht alle Partitionen der lokalen Festplatten sowie verbundene Netzwerkfreigaben nach etlichen Dateitypen, darunter DOC, HTML, JPG, RTF und XLS. PGPCoder verschlüsselt je eine Kopie der gefundenen Dateien und überschreibt das Original dann mit der chiffrierten Version. Dann löscht sich der Schädling selbst. In jedem Verzeichnis, das verschlüsselte Dateien enthält, wird eine Botschaft in einer Datei namens "ATTENTION!!!.txt" hinterlassen, zum Beispiel:

Some files are coded.
To buy decoder mail: [********]@yahoo.com
with subject: PGPcoder 000000000032

oder:

Some of your files have been encoded using CRZ.
For decoding contact: [********]@yahoo.com or [********]@mail.ru

Yury Mashevsky vom Antivirus-Hersteller Kaspersky Labs berichtet, das verwendetete Verschlüsselungsverfahren sei relativ leicht zu knacken und die Entschlüsselungsroutine sei in den Virenscannern von Kaspersky bereits enthalten. Kaspersky nennt den Schädling "Win32.Gpcode".

Geiselnahme von Dateien durch Verschlüsselung und Erpressung eines Lösegelds für den Schlüssel - ist das der nächste Trend bei den Malware-Programmierern? Wahrscheinlich nicht, obwohl Kaspersky Labs über mehrere Fälle und unterschiedliche Versionen des Trojanischen Pferds berichtet. Das Problem für einen Erpresser ist damit durchzukommen, denn Geldtransfers lassen sich viel besser verfolgen als Mail-Adressen. Er dürfte vermutlich keine Zeit haben das Geld auszugeben, bevor die Polizei vor seiner Tür steht.

0 Kommentare zu diesem Artikel
109524