Viel warme Luft

Neuer Erpresservirus blufft

Montag den 18.08.2008 um 16:35 Uhr

von Frank Ziemann

Kaspersky Lab Anti-Virus 2009 DE Win
Kaspersky Lab Anti-Virus 2009 DE Win
1 Angebote ab 6,41€ Preisentwicklung zum Produkt
Die kürzlich aufgetauchte neue Version des Erpresservirus Gpcode benutzt keineswegs eine AES-Verschlüsselung sondern lediglich einen stümperhaft implementierten 3DES-Algorithmus.

In der letzten Woche hatten Forscher des russischen Antivirusherstellers Kaspersky Lab über die Entdeckung einer neuen Variante des Erpresservirus "Gpcode" berichtet . Dessen Programmierer gibt an, sein Machwerk benutze den mit heutigen Mitteln nicht zu knackenden AES-256-Algorithmus zum Verschlüsseln der Dateien auf dem Rechner eines Opfers. Die Analyse von Kaspersky Lab hat jedoch etwas anderes offenbart.

Demnach ist von AES keine Spur zu finden - weder im Schädling selbst noch in den von ihm verschlüsselten Dateien. Vielmehr benutzt "Trojan-Ransom.Win32.Gpcode.am", wie Kaspersky den Schädling nennt, ein vorgefertigtes Delphi-Modul, um das so genannte 3DES-Verfahren zu verwenden.

Außerdem benutzt der Programmierer kein asymmetrisches Public-Key-Verfahren sondern hat alle zur Entschlüsselung notwendigen Informationen in den Code des Schädlings eingebaut. Somit lassen sich die verschlüsselten Dateien von einem Antivirusprogramm, etwa dem von Kaspersky, wieder hervor zaubern.

Vitaly Kamluk warnt im Blog von Kaspersky Lab davor auf die Erpressungsversuche des Virusprogrammierers einzugehen. Er warnt ferner, der Schädling werde von einer anderen Malware namens "P2P-Worm.Win32.Socks.fe" auf den Rechner geladen. Betroffene sollten sich also nicht wundern, wenn bei einem Scan der Festplatte noch weitere Schädlinge entdeckt würden.

Kaspersky Produkte im kostenlosen Download:
- Kaspersky Anti-Virus 2009
- Kapsersky Internet Security 2009

Montag den 18.08.2008 um 16:35 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
35216