Sicherheitscheck von Doctor Web – die Malware-Bedrohungen im April

[Christoph]

Zitat:

Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

Falsche BKA-Warnung erpresst PC-Nutzer

Seit Mitte April erscheint auf vielen PCs eine neue Ransomware, ein Programm mit dem Fremde Nutzerdaten verschlüsseln und dafür Lösegeld fordern können. Die Schadsoftware gibt als Absender das Bundeskriminalamt an. Einmal ausgeführt, blockiert sie den Bildschirm, in gebrochenem Deutsch wird der Benutzer darüber informiert, dass auf seinem Computer kinderpornografische Inhalte und andere illegale Downloads gefunden wurden - auch das BKA informiert hierzu mit einer offiziellen Erklärung über den Schädling .

Nur durch eine Überweisung von 100 Euro innerhalb von 24 Stunden über den Bezahl-Service ukash kann der Besitzer seinen Rechner angeblich wieder entsperren. Zahlt er nicht, droht das Programm damit die gesamte Festplatte unwiderruflich zu löschen. Zahlreiche Rechtschreibfehler, die synonyme Verwendung der Begriffe "Bundeskriminalamt" (BKA) und "Bundespolizei" sowie das dreiste Lösegeld werden den Großteil der Nutzer wohl davon abhalten, der Forderung nachzukommen.

Der Malware-Autor arbeitet mit so genannten polymorphen Packern, die einigen Antiviren-Programmen Schwierigkeiten bereiten. Die Packer reduzieren die Größe der Datei und verändern gleichzeitig ihre Struktur, so sind die fertigen Pakete polymorph, das heißt jede gepackte Datei sieht anders aus. Produkte von Doctor Web identifizieren die Malware als Trojan.Winlock.3260 und entfernen sie.

Die Nutzer infizieren ihre Rechner meist durch unwissentlich getätigte Downloads, sogenannte "Drive-by-Downloads", die Sicherheitslücken in Betriebssystem, Browser oder Plug-Ins ausnutzen. Regelmäßige Updates und Patches schützen in diesem Fall nur teilweise. Wenn der Virenscanner versagt, wird als "Erste Hilfe" ein Neustart im abgesicherten Modus empfohlen, um anschließend mit der Desinfektion zu starten.

Unechte Viren-Scan-Software versteckt Dateien

Nachdem bereits im März das gefälschte Performance-Tool "Windows Diagnostic" die deutschen Internetnutzer abkassierte, wurden im April zwei ähnliche Hilfsprogramme bekannt. "Windows Restore" alias Trojan.Fakealert.20587 und "Windows Recovery" alias Trojan.MulDrop2.9322 zeigen eine fast identische Benutzeroberfläche wie Windows Diagnostic. Betroffene Avira-Nutzer kennen die Schädlinge unter dem Namen TR/Kazy.mekml.1.


Auch die neuen Programme lassen scheinbar Ordner verschwinden, mit Hilfe des Menüpunktes "Extras, Optionen, Ansicht" im Windows Explorer und einem Klick auf "versteckte Dateien und Ordner anzeigen" werden diese jedoch wieder sichtbar.

Beide Tools empfehlen den Erwerb eines "Advanced Module", um die vorgetäuschten Defekte der Festplatte wieder zu beheben. Um die Kaufbereitschaft des Nutzers noch zu steigern, wird er mit Warnmeldungen buchstäblich bombardiert. Besonders tückisch: Windows Restore oder Windows Recovery treten häufig in Kombination mit Rootkits auf, die weitere Schadsoftware nachladen. Nach der Löschung der falschen Virenscanner empfiehlt Doctor Web daher einen ausführlichen Scan der kompletten Festplatte um alle Schädlinge zu entfernen.

Explosion von Phishing-Attacken bei Bezahlsystemen

Die Zahl der betrügerischen E-Mails mit dem Ziel, vertrauliche Informationen wie PIN- oder TAN-Nummern, Zugangsdaten und andere vertrauliche Daten abzufangen, ist im April wieder deutlich angestiegen. Besonders stark betroffen sind Nutzer der beliebten Packstationen von DHL, aber auch des Bezahldienstes PayPal sowie einiger Banken. Die Kunden erhalten E-Mails, die unter willkürlichen Vorwänden wie einer übermäßigen oder mangelhaften Nutzung des Accounts und Systemumstellungen dazu auffordern, ihre Kundendaten zu verifizieren.

Die E-Mails enthalten jedoch, statt eines Verweises auf die echte Unternehmensseite, Links zu gefälschten Websites, die täuschend echt aussehen und ein Formular zeigen, in das die Kunden ihre Daten eingeben sollen. Im Zweifelsfall ist das Fehlen einer verschlüsselten Verbindung, gekennzeichnet durch ein "https" in der Adresszeile des Browsers, ein klares Indiz für eine Fälschung. Wie immer tragen ein gesundes Misstrauen und erhöhte Aufmerksamkeit auf Seiten der Anwender wesentlich zum Schutz vor derartigen Attacken bei, aber auch Spam-Filter, wie zum Beispiel das in Dr. Web Security Space enthaltene Antispam-Modul.

Quelle und Bilder: http://www.magnus.de/news/sicherheit...l-1132634.html