zurück zum Artikel

Malware blockiert Bootvorgang

Ronald Eikenberg

Trend Micro hat einen Lösegeld-Trojaner entdeckt , der sich im Master-Boot-Record (MBR) der Festplatte einnistet, um den Boot-Vorgang zu blockieren.

Der SchÀdling meldet sich schon bevor das Betriebssystem bootet.

(Bild: Trend Micro)

Die Antivirenexperten von Trend Micro haben einen Lösegeld-Trojaner entdeckt [1], der den Boot-Vorgang blockiert. Anders als der in Deutschland weit verbreitete BKA-Trojaner [2] nistet er sich dazu im Master Boot Record (MBR) ein. Anschließend fĂŒhrt der SchĂ€dling einen Neustart durch und fordert den Nutzer auf, ein Lösegeld in Höhe von 920 Hrywnja (ukrainische WĂ€hrung, umgerechnet rund 90 Euro) ĂŒber den Zahlungsdienstleister QIWI an die Erpresser zu zahlen.

Kommt das Opfer der Forderung nach, schicken ihm die Erpresser einen Code, der den Rechner wieder freigibt. Das Geld kann man sich allerdings auch sparen, indem man die Desinfektionsanleitung [3] der Experten befolgt. Im Wesentlichen lĂ€uft es darauf hinaus, die Wiederherstellungskonsole von der Windows-Installations-DVD zu starten und den ursprĂŒnglichen MBR mit dem Befehl fixmbr wiederherzustellen.

Laut Trend Micro wird der SchĂ€dling durch speziell prĂ€parierte Webseiten verbreitet oder durch andere Malware auf das System geschleust. Bereits Anfang 2010 wurde ein SchĂ€dling entdeckt [4], der den MBR ĂŒberschrieben und das Booten des Betriebssystemens dadurch verhindert hat. Dieser hat allerdings kein Lösegeld eingefordert.

Hierzulande sind dutzende Versionen des BKA-Trojaners verbreitetet, die sich allerdings zumeist nicht am MBR zu schaffen machen, sondern sich ĂŒber Autostart oder spezielle Registry-EintrĂ€ge ins System einklinken. Solche SchĂ€dlinge kann man etwa mit der Antiviren-DVD Desinfec't entfernen, die der aktuellen c't-Ausgabe 9/2012 [5] beiliegt. (rei [6])

URL dieses Artikels:
https://www.heise.de/-1525103

Links in diesem Artikel:
[1] http://blog.trendmicro.com/ransomware-takes-mbr-hostage/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trend+Micro+Malware+Blog%29
[2] https://www.heise.de/news/Schadsoftware-nach-Landessitte-1398669.html
[3] http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_RANSOM.AQB
[4] https://www.heise.de/news/Scareware-wird-zu-Ransomware-Teil-2-913560.html
[5] http://www.heise-shop.de/heise-zeitschriften-verlag/ct-9-2012_pid_18805037.html?hsc=IK_Zeitschriften_Modul_2012
[6] mailto:rei@heise.de

Copyright © 2012 Heise Medien