Neuer Erpressungs-Trojaner dreht seine Runden

Christoph · 17.07.2013, 17:48

Zitat:

Im Netz kursieren neue Varianten des GVU-Trojaners. Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden. Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett.
Freilich handelt es sich dabei um keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Die Kopfzeile ist mit einem Foto von Angela Merkel und einem Polizisten dekoriert, die beide streng blicken. An den Rändern prangt ein gekacheltes Interpol-Logo.

Auf einem befallenen Rechner stand zusätzlich "Unterstützt und Geschützt von", gefolgt vom Norton-Symbol. Das war besonders bitter, weil auf dem fraglichen Rechner tatsächlich Norton AntiVirus installiert war. Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Heute sind es immerhin schon 15; Symantec gehörte um 16 Uhr noch nicht dazu.

Der Trojaner verhindert einen Systemstart im abgesicherten Modus, indem er den Rechner direkt wieder herunterfährt. Er trägt sich in der Registrierungsdatenbank als Shell ein und lässt sich nicht durch Werkzeuge wie dem Kaspersky Windows Unlocker oder HitmanPro.Kickstart entfernen. Das einzige, was noch geht, ist der "Affengriff" Strg+Alt+Entf. Hiermit kann man sich gegebenenfalls abmelden, um ein anderes, hoffentlich unbefallenes Benutzerkonto zu aktivieren.

Heise Security gelang es, den Trojaner beim Start über den Task-Manager zu beenden und per Autoruns den Shell-Eintrag zu löschen (unter Winlogon\Shell) sowie den Trojaner selbst Der Name des Trojaners lautete "cache.dat", er lag im Ordner für Anwendungsdaten (%appdata%). Danach war erstmal Ruhe.

Opfer sollten nach der Beseitigung des Schädlings unbedingt alle Systemwiederherstellungspunkte löschen, um sich den Trojaner später nicht auf diesem Weg wieder einzufangen, den Temp-Ordner mit der Datenträgerbereinigung leeren und einen Komplettscan ihres Systems anstoßen, um mögliche Reste der Malware zu entfernen. Den sollte man sicherheitshalber in einigen Tagen mit neuen Signaturen der AV-Hersteller wiederholen. Auf Nummer sicher geht, wer sein System neu einrichtet. (ghi)

Quelle: http://www.heise.de/newsticker/meldu...n-1919498.html

vtom · 19.07.2013, 21:43

alter Hut.
Das Zeugs kommt immer mit der gleichen Masche, nistet sich im Benutzerprofil ein.
Abhilfe ist recht einfach wenn vorgesorgt ist:

- Anmelden mit anderem Benuter (dem Richtigen Admin)
- AppData mal durchgucken, speziell den Temp Ordner, dort sitzt der Teifel meist als "anständige" Datei getarnt, also löschen
- dann am besten essentials von MS installieren, der entfernt die entsprechenden Regkeys sauber.

Amen

19.07.2013, 21:43	#2
vtom Veteran Registriert seit: 12.02.2004 Beiträge: 285	alter Hut. Das Zeugs kommt immer mit der gleichen Masche, nistet sich im Benutzerprofil ein. Abhilfe ist recht einfach wenn vorgesorgt ist: - Anmelden mit anderem Benuter (dem Richtigen Admin) - AppData mal durchgucken, speziell den Temp Ordner, dort sitzt der Teifel meist als "anständige" Datei getarnt, also löschen - dann am besten essentials von MS installieren, der entfernt die entsprechenden Regkeys sauber. Amen

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)