GVU-Trojaner bittet Raubkopierer zur Kasse

Derzeit ist eine Variante des BKA-Trojaners im Umlauf, die den infizierten Rechner angeblich im Auftrag der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) sperrt. Der Trojaner behauptet, dass über den Rechner Raubkopien heruntergeladen worden seien und fordert das Opfer zur Zahlung von 50 Euro auf, wodurch das System angeblich wieder freigegeben wird.

Die Zahlung soll in Form von Paysafe-Guthabenskarten erfolgen, die man etwa an der Tankstelle erwerben und nur schwer zurückverfolgen kann. Laut der GVU wird der Trojaner über Porno-Werbung verbreitet und hält sein Versprechen, den Rechner nach Eingabe der Paysafecard-Nummer zu entsperren, nicht. Stattdessen soll man die infizierte Festplatte ausbauen und mit einem funktionsfähigen System auf Viren untersuchen.

Ob das jedoch zum Erfolg führt, ist fraglich – bei etlichen Varianten des Trojaners ist es mit dem Löschen der infizierten Dateien nicht getan. Da sich der Schädling zudem als Shell-Ersatz einträgt, um den Zugriff auf den Rechner blockieren zu können, sind für die vollständige Desinfektion Änderungen an der Registry nötig.

Hierzu startet man das infizierte System mit F8 im "abgesicherten Modus mit Kommandozeile" und ändert mit dem Registrierungseditor regedit den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell auf explorer.exe. Außerdem kann es noch benutzerspezifische Shell-Einträge unter HKEY_CURRENT_USER geben, die man unter Umständen ebenfalls korrigieren muss.

Der als BKA-Trojaner bekannt gewordene Schädling ist in zahlreichen Versionen im Umlauf, die auch unter anderem mit den Logos von Bundespolizei und GEMA aufwarten. Auf der Webseite BKA-Trojaner.de kann man sich einen Überblick über zahlreiche Varianten des Schädlings und verschaffen. Dort findet man auch individuell passende Desinfektionsanleitungen.
(rei)