Gefälschter Bluescreen: "Troubleshooter"-Malware zockt Windows-Nutzer ab

Ein aktuell kursierender Schädling zeigt falsche Fehlermeldungen an, um seine Opfer zum Kauf einer Sicherheitssoftware zu bewegen. Glücklicherweise lässt sich die Malware aber austricksen.

In Pocket speichern vorlesen Druckansicht 99 Kommentare lesen
Blue Screen

(Bild: dpa, Andrea Warnecke/Archiv)

Lesezeit: 2 Min.

Derzeit ist eine Windows-Malware im Umlauf, die auf infizierten Rechnern einen Bluescreen simuliert und den Bildschirm sperrt. Sie beendet sich erst, wenn Opfer Geld für eine nicht existente Sicherheitssoftware überweisen. Außerdem fertigt sie einen Screenshot des Desktops – genauer: des Fensters im Vordergrund – an, um ihn an eine feste IP-Adresse zu verschicken. Das geht aus einem Blogeintrag eines Sicherheitsforschers von Malwarebytes hervor, der den von ihm entdeckten Schädling auf den Namen Troubleshooter getauft hat.

Troubleshooter soll sich als Installationsprogramm für nicht näher bezeichnete gecrackte Software tarnen, um auf Rechner zu gelangen. Nach Download und Ausführung lädt er mehrere Dateien nach, die unter anderem der Darstellung von Bluescreen und Warnhinweisen dienen. Sie enthalten auch die schon erwähnte Screenshot-Funktion, deren Nutzen bislang unklar ist. Eine der Dateien registriert sich als Windows-Dienst, um diverse Tastenkombinationen zu deaktivieren und so das Aufheben der Bildschirmsperre durch den Nutzer zu verhindern.

Im Anschluss an den Bluescreen erscheint ein Warnhinweis, der sich aufgrund der zuvor deaktivierten Hotkeys nicht schließen lässt. Er weist auf diverse angebliche Systemprobleme hin, um den Nutzer zum Kauf der fiktiven Sicherheitssoftware "Windows Defender Essentials" für 25 Dollar zu überreden. Für Malware eher ungewöhnlich ist die Zahlungsweise per PayPal.

Ein Nutzer, der sich tatsächlich zur Zahlung entschließt, würde im Anschluss auf eine Webseite weitergeleitet werden, die den Textstring "thankuhitechnovation" enthält. Die Malware erkennt ihn mittels internem Abgleich, beendet sich selbst und lässt den Nutzer in dem Glauben, dass er das Problem tatsächlich durch den vermeintlichen Software-Kauf gelöst habe.

Der Besuch dieser Webseite sorgt dafĂĽr, dass Troubleshooter die Waffen streckt.

(Bild: Screenshot)

Auf diesem Ablauf fußt ein vom Sicherheitsforscher erdachter Workaround, der ganz ohne Zahlung auskommt. Er nutzt ein von den Troubleshooter-Machern wohl unbeabsichtigt eingebautes "Feature": Die Eingabe der Tastenkombination Strg-O in die Zahlungsaufforderung der Malware öffnet nämlich ein Fenster, das dem Nutzer die manuelle Eingabe einer URL ermöglicht. So kann er die Webseite mit dem Textstring eigenständig ansteuern, den Betrügern die erfolgte Zahlung vorgaukeln und Troubleshooter dazu bringen, sich vollständig zu beenden.

Die von der Malware angelegten Dateien mĂĽssen Betroffene anschlieĂźend noch entfernen. Sie finden im Malwarebytes-Blog eine detaillierte Beschreibung des Workarounds samt Entfernungsanleitung. (ovw)