Korrupte Banker und clevere Doppelgänger

Sicherheitscheck von Doctor Web - die Malware-Bedrohungen im Dezember

Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

Sicherheitscheck von Doctor Web - die Malware-Bedrohungen im Dezember

© WEKA Media Publishing GmbH

Malware-Bedrohungen

Kostenpflichtige "Updates" als neue BetrugsmascheDer Monat Dezember stand ganz im Zeichen so genannter Ransomware - erpresserischer Schädlinge also, die den PC mittels eines Lockscreens "einfrieren" und anschließend ein Lösegeld erpressen wollen.

Zu dem bekannten BKA-Trojaner sowie dem im letzten Doctor Web-Monatsrückblick beschriebenen so genannten "GEMA-Trojaner" gesellte sich noch eine weitere, ganz ähnliche Malware. Auch sie verwendet einen so genannten "Lockscreen" zur Sperrung des PCs.Statt sich als Instrument einer Behörde auszugeben, wie dies bei seinen Vorgängern der Fall war, appelliert dieser neue, von Doctor Web als Trojan.MulDrop3.21933 identifizierte Schädling an das Schuld- und Sicherheitsbewusstsein der PC-Nutzer. Unter dem Vorwand, der Computer sei "durch den Besuch von Seiten mit infizierten und pornographischen Inhalten [...] an eine kritische Grenze [sic] angekommen", wird er zum Download eines kostenpflichtigen Sicherheits-Updates aufgefordert, um Datenverlust zu verhindern.    Klickt der Besitzer des infizierten PCs nun auf einen Button mit der Aufschrift "Bezahlen und runterladen", so gelangt er zu einem weiteren Lockscreen, auf welchem diverse Bezahlmöglichkeiten für die geforderten 50 Euro zur Verfügung stehen. Aufgrund der angeblich so starken "Virenverseuchung" sind allerdings nur die Optionen "paysafecard" und "ukash" samt einem zur Eingabe des entsprechenden Codes vorgesehenen Feld verfügbar.

Die eingegebene Zahlenkombination wird an mehrere Server der Internetkriminellen gesendet und dort auf ihre Gültigkeit geprüft. Ist diese nicht gegeben, so bleibt der Bildschirm gesperrt; Tastenkombinationen wie ALT+TAB, ALT+F4, ALT+ESC und CTRL+ESC werden vom Lockscreen-Fenster "aufgefangen" und unwirksam gemacht.Ein korrekter Bezahlcode hebt die Sperre am Bildschirm auf; der Trojaner löscht den mit ihm assoziierten Registry-Key und entsperrt die zuvor erwähnten Tastenkombinationen. Wesentlich klüger und vor allem preiswerter ist natürlich die Entfernung mittels eines guten Anti-Viren-Programms. Komplett kostenlos ist beispielsweise das Tool CureIt! , das zudem keiner Installation bedarf.Trojan.MulDrop3.21933 tarnt sich übrigens als firefox.exe und verbirgt sich in der Ordnerstruktur Documents and Settings\admin\Application Data\Mozilla\Firefox. Um das Original von der Fälschung unterscheiden zu können ist es hilfreich zu wissen, dass der echte Firefox-Browser meist unter Program Files\Mozilla Firefox\firefox.exe zu finden ist.Achtung Doppelgänger!Nicht nur dem Namen nach gleicht der ebenfalls im Dezember aufgetauchte, allerdings etwas seltener anzutreffende Trojan.MulDrop3.17446 dem zuvor beschriebenen Trojan.MulDrop3.21933.

Der Text des Lockscreens ist vollkommen identisch, und auch die technischen Details stimmen überein. Unterschiede liegen lediglich in der Kontaktierung anderer Server nach der Bezahlcode-Eingabe, der verwendeten Programmiersprache (Visual Basic statt C++) sowie leichten Abweichungen im Design.

Statt sich als Firefox-Browser auszugeben, kopiert sich Trojan.MulDrop3.17446  als dllhsts.exe nach Documents and Settings\admin\Application Data\Microsoft\.Es ist sehr wahrscheinlich, dass nach dem Vorbild des sich schnell verbreitenden und offenbar wirkungsvollen Trojan.Muldrop3.21933 weitere Doppelgänger entstehen werden. Einen technisch detaillierten Artikel in englischer Sprache, welcher sich mit beiden hier beschriebenen Lockscreen-Varianten beschäftigt, ist hier zu finden.

"Mein Name ist Zeus - ich hätte gern Ihr Geld!"Eher als "Randerscheinung", dennoch aber als drohende Gefahr konnten im Dezember Schädlinge betrachtet werden, welche es auf die Geldbörse von Onlinebanking-Kunden abgesehen hatten.So wurden einige PCs von einer neuen ZeuS/ZBot-Variante befallen, welche nach Eingabe der Log-In-Daten ein weißes Browserfenster mit dem Text "Bitte warten Sie, bis Ihrer [sic] Computer identifiziert wird" ausgibt. Besonders Kunden von Sparkassen und der Commerzbank beschrieben dieses Problem in einschlägigen Foren recht häufig.

Bei dieser (zudem noch grammatikalisch falschen) Warnmeldung sollten die Alarmglocken schrillen, da sie deutlich auf die Präsenz eines Schädlings namens Trojan.PWS.Panda.1505 hinweist. Ein entsprechender Virustotal-Scan mit den Aliasen weiterer Hersteller findet sich hier .

image.jpg

© Doctor Web

Die beiden Lockscreens der Ransomware Trojan.Muldrop3.21933.
image.jpg

© Doctor Web

Trojan.Muldrop3.21933 verblüffend ähnlich sieht der Schädling Trojan.MulDrop3.17446.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…