Neuer Erpressungs-Trojaner dreht seine Runden
Neue Varianten des GVU-Trojaners blockieren den Rechner komplett und verhindern auch einen Systemstart im abgesicherten Modus. Die PC-Sperre dekoriert sich mit Angela Merkel.
- Gerald Himmelein
Im Netz kursieren neue Varianten des GVU-Trojaners. Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden. Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett.
Freilich handelt es sich dabei um keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Die Kopfzeile ist mit einem Foto von Angela Merkel und einem Polizisten dekoriert, die beide streng blicken. An den Rändern prangt ein gekacheltes Interpol-Logo.
Auf einem befallenen Rechner mit Windows 7 (64-Bit) stand zusätzlich "Unterstützt und Geschützt von", gefolgt vom Norton-Symbol. Das war besonders bitter, weil auf dem fraglichen Rechner tatsächlich Norton AntiVirus installiert war. Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Heute sind es immerhin schon 15; Symantec gehörte um 16 Uhr noch nicht dazu.
Der Trojaner verhindert einen Systemstart im abgesicherten Modus, indem er den Rechner direkt wieder herunterfährt. Er trägt sich in der Registrierungsdatenbank als Shell ein und lässt sich nicht durch Werkzeuge wie dem Kaspersky Windows Unlocker oder HitmanPro.Kickstart entfernen. Das einzige, was noch geht, ist der "Affengriff" Strg+Alt+Entf. Hiermit kann man sich gegebenenfalls abmelden, um ein anderes, hoffentlich unbefallenes Benutzerkonto zu aktivieren.
Heise Security gelang es, den Trojaner beim Start über den Task-Manager zu beenden und per Autoruns den Shell-Eintrag zu löschen (unter Winlogon\Shell) sowie den Trojaner selbst Der Name des Trojaners lautete "cache.dat", er lag im Ordner für Anwendungsdaten (%appdata%). Danach war erstmal Ruhe.
Opfer sollten nach der Beseitigung des Schädlings unbedingt alle Systemwiederherstellungspunkte löschen, um sich den Trojaner später nicht auf diesem Weg wieder einzufangen, den Temp-Ordner mit der Datenträgerbereinigung leeren und einen Komplettscan ihres Systems anstoßen, um mögliche Reste der Malware zu entfernen. Den sollte man sicherheitshalber in einigen Tagen mit neuen Signaturen der AV-Hersteller wiederholen. Auf Nummer sicher geht, wer sein System neu einrichtet. (ghi)
