Thema: Scareware ...

[SiLæncer]

Aus den Malware-Analyselaboren von Panda Software kommen neue böse Nachrichten: so genannte Ransomware verschlüsselt Daten und fordert vom Besitzer Lösegeld. Diese speziellen Schadprogramme haben im zweiten Quartal dieses Jahres einen radikalen Anstieg von 30 Prozent erlebt, heißt es aus den PandaLabs.

Der Begriff Ransomware setzt sich aus den Worten Ransom (Lösegeld) und Malware zusammen und bezeichnet Programme, die von Kriminellen entwickelt werden, um auf einem fremden System einzudringen und private Daten zu verschlüsseln. Der eigentliche Nutzer der Daten wird so daran gehindert, auf seine eigenen Dokumente zugreifen zu können. Ein Versuch, die betroffenen Dateien zu öffnen, zeigt eine Benachrichtigung über die "Entführung" und fordert zur Zahlung eines Lösegelds auf, damit die Daten entschlüsselt werden.

"Geld her, sonst Daten tot"

Manche dieser Schadprogramme zeigen sich dabei besonders raffiniert, wie die Sicherheits-Experten berichten. So hielt Ransom.A, das am 28. April erstmals auftauchte, nicht nur die abgelegten Daten unter Beschlag. Der Nutzer erhielt außerdem die Drohung, dass alle 30 Minuten eine zufällig gewählte Datei unwiderruflich gelöscht werde. Das erhöhte den Druck, die geforderten 10,99 US-Dollar schnell zu überweisen.

Die Zahlung erfolgte über einen anonymisierten Geldtransfer der Western Union. Sobald das Geld beim Erpresser einging, erhielten die Betroffenen einen Code, der den Trojaner deaktivierte und die Daten wieder verfügbar machte. Die Höhe des Lösegelds ist in diesem Fall jedoch verhältnismäßig gering. In anderen Fällen sollten Opfer bis zu 300 US-Dollar für die Datenfreigabe löhnen.

Kaufzwang mal anders

Ein weiterer Ransomware-Vertreter, der im Mai erstmals auftauchte, ist Archiveus.A. Dieses Schadprogramm verschlüsselte den Inhalt des Windows-Ordners "My Documents" und löschte daraufhin die Original-Daten. Doch sollte in diesem Fall kein Lösegeld gezahlt werden. Stattdessen erhielt der betroffene Nutzer zunächst eine Reihe einschlägiger Nachrichten, wie: "Du wirst nie das Passwort erraten können" oder "Die Polizei kann Dir nicht weiterhelfen". Darauf hin hieß es: "Wir wollen nicht Dein Geld. Wir wollen mit Dir Geschäfte machen". Der Nutzer sollte anhand präziser Anweisungen über einen Onlineshop diverse Produkte kaufen, um seine Daten zurück zu erhalten.

Um sich vor Ransomware schützen zu können, gibt Panda Software direkt ein paar Tipps mit auf den Weg: So solle eine permanent aktualisierte Antiviren-Lösung installiert werden. Beim Herunterladen von Dateien aus Peer-to-Peer-Netzwerken oder Öffnen von Mails unbekannter Absender sei besondere Vorsicht geboten. Zu guter Letzt hilft es auch, von wichtigen Dateien Kopien anzufertigen und regelmäßig System-Scans durchzuführen.

Quelle : www.onlinekosten.de

[Jürgen]

In meinem Ordner "Eigene Dateien"  nebst Unterordnern liegt ganz bewusst seit langer Zeit nur wertloser Daten-Müll.
Also viel Spass damit 

[_Immer_Intl_]

Da gibts nur eins: NIEMALS  mit Rechnern auf denen wichtige Daten liegen online gehen.............

*that will kill scavengers*   

[SiLæncer]

Betrügerische Antivirusprogramme melden nicht nur Schädlinge, die es gar nicht gibt. Einige verschlüsseln sogar Dateien den Benutzers, für deren Herausgabe Betroffene dann eine Art Lösegeld zahlen sollen.

Online-Kriminelle machen mit betrügerischen Sicherheitsprogrammen hohe Gewinne. So genannte "Scareware" wird als Neben- oder sogar Haupteffekt von Malware eingeschleust. Sie melden auf dem PC vorgeblich entdeckt Schädlinge, die es gar nicht gibt. Benutzer sollen eine teure Vollversion erwerben, um die vermeintlichen Schädlinge wieder los zu werden. In einigen Fällen werden sogar Dokumente aus dem Ordner "Eigene Dateien" primitiv verschlüsselt, um ein Lösegeld zu erpressen.

Wie Brian Krebs von der Washington Post berichtet, melden neuere Varianten der Scareware-Familie "Antivirus2009" nicht nur fiktive Viren, sondern auch defekte Dateien im Ordner "Eigene Dateien". Die Meldungen führen zu einer Website, auf der das Programm "FileFix Pro" erhältlich ist. Es soll 50 US-Dollar kosten und die Dateien reparieren können. Tatsächlich sind die betroffenen Dateien primitiv verschlüsselt und können mit einem geeigneten Programm wieder hergestellt werden - FileFix Pro macht nichts anderes.

Die gute Nachricht ist, dass es auch bereits kostenlose Abhilfe für die Opfer dieser Scareware gibt. Das Sicherheitsunternehmen FireEye hat die Funktionsweise von FileFix Pro analysiert und ein Programm geschrieben, das die Dateien entschlüsseln soll. Derzeit ist es als Perl-Script erhältlich und kann über eine Web-Schnittstelle genutzt werden. Dabei müssen die betroffenen Dateien auf den Server von FireEye hoch geladen werden, die Seite ist SSL-verschlüsselt.



Wer hingegen Perl installiert hat (bei den meisten Unix- und Linux-Installationen ist Perl vorhanden), kann sich selbst daran versuchen. Das Perl-Script ist als Open Source erhältlich. Alex Lanstein, Forschungsleiter bei FireEye, hat im Blog des Unternehmens bereits angekündigt, man werde in Kürze auch ein Programm bereit stellen, das sich Jedermann herunter laden könne, um seine Dateien wieder her zu stellen.

Die Masche Dateien zu verschlüsseln, um ein Lösegeld für ein Entschlüsselungsprogramm zu erpressen, ist vor allem durch den so genannten Erpresservirus "Gpcode" bekannt geworden. Dessen Programmierer hat die verwendete Verschlüsselungsstärke schrittweise weiter erhöht. Einige Antivirushersteller bezeichnen solche Schädlinge als "Ransomware" (ransom: englisch für Lösegeld).

Quelle : www.pcwelt.de

[SiLæncer]

Vundo, ein Hersteller nachgemachter Antivirenprogramme (Scareware), sattelt einem Bericht des Malware-Spezialisten FireEye auf eine neue Masche um. Statt Anwender mit Falschmeldungen über vermeintliche Infektionen des PCs zu erschrecken und somit zum Kauf eines weitgehend funktionslosen Scanners zu motivieren, verschlüsseln neue Betrugsprogramme (Ransomware) Anwender-Dateien (.pdf, .doc, jpg und andere) auf dem PC und melden dann kaputte Dateien.

Anschließend fordern sie über Systemmeldungen den Anwender dazu auf, die Vollversion des Reparatur-Tools FileFix Pro 2009 für 50 Euro zu erstehen. Anders als bei Scareware, die in der Regel nur ein Problem vorgaukelt, bleiben dem Anwender wenig Alternativen, denn die Dateien sind wirklich verschlüsselt – wenn auch nur mit einem simplen Algorithmus. Wie die Ransomware auf den Rechner gelangt, schreibt FireEye nicht, vermutlich benötigt sie aber ein wenig Mithilfe des Anwenders.

FireEye hat den Algorithmus untersucht: Offenbar besteht der Schlüssel nur aus vier Zeichen und ist am Ende der verschlüsselten Datei gespeichert. FireEye stellt ein Entschlüsselungstool in Perl zur Verfügung. Der Fall erinnert an den Verschlüsselungstrojaner GPCode, der Mitte des letzten Jahres auftauchte und Dateien mit RSA und einem 4096-Bit langem Schlüssel verschlüsselte.

Die Autoren forderten Opfer zur Zahlung von 300 US-Dollar auf, um die Datei wiederherzustellen. Allerdings ließen sich die Daten kostenschonend auch ohne Schlüssel wieder rekonstruieren, da GPcode die verschlüsselte Version eines Dokuments in eine neue Datei schrieb und anschließend das Original löschte. Da Windows aber nur die Referenz im Dateisystem löscht, ließen sich die Dateien erfolgreich rekonstruieren.

Siehe dazu auch:

    * Scharlatane und Hochstapler - Zweifelhafte Antiviren-Produkte, Artikel auf heise Security
    * Neues Kaspersky-Tool für GPcode-Trojaner-Betroffene, Meldung auf heise Security
    * Verschlüsselungstrojaner GPcode ein Schnippchen schlagen, Meldung auf heise Security
    * Kaspersky bittet um Mithilfe zum Knacken eines RSA-Schlüssels, Meldung auf heise Security
    * Trojaner verschlüsselt Daten mit RSA-4096 - oder doch nicht?, Meldung auf heise Security

Quelle : http://www.heise.de/newsticker/Scareware-wird-zu-Ransomware--/meldung/135327

[SiLæncer]

Betrügerische Sicherheitsprogramme imitieren oft existierende, legitime Produkte. Derzeit wird Scareware aus der FakeAV-Familie unter dem Deckmantel von Microsofts Tool zum Entfernen bösartiger Software verbreitet.

Die Scareware-Familie Win32/FakeAV wird zum Teil unter Fantasienamen verbreitet, zum Teil imitieren die Programmierer auch bestehende Sicherheitsprodukte. Zurzeit werden auf einigen Websites Varianten von FakeAV verbreitet, die sich als Microsofts "Tool zum Entfernen bösartiger Software" ausgeben. Sie zeigen nicht nur vorgetäuschte Virenfunde an sondern machen auch noch Werbung für ein dubioses Office-Update.

Der Software-Hersteller CA (Computer Associates), Hersteller von CA Antivirus, warnt in seinem Security Advisor Research Blog vor diesen FakeAV-Varianten. Wird das Programm gestartet, das etwa über Web-Seiten mit vorgetäuschten Online-Scans verbreitet wird, zeigt es im System-Tray ein grünes Schild und eine erste Warnmeldung an.

Nach einem vorgeblichen Scan der Festplatte präsentiert es im Gewand von Microsofts Anti-Malware-Tool die vermeintlichen Schädlingsfunde. Die Schaltfläche "Finish" (Beenden) öffnet ein Werbefenster für einen Online-Shop, der vorgeblich bekannte Antivirusprodukte von Symantec/Norton und McAfee anbietet. Wer hingegen auf "Cancel" (Abbrechen) klickt, erhält eine neue Warnmeldung im System-Tray, die ihn zum Kauf von Antivirusprodukten auffordert.

Diese FakeAV-Variante zeigt auch eine Warnmeldung an, wenn bestimmte P2P-Programme gestartet werden. Dazu gehören Bearshare, Forstwire, Limewire, Shareaza und andere. Diese Meldung enthält einen Schreibfehler ("application can damadge your computer") und verkündet, das Programm werde gelöscht.

Weitere Schreibfehler finden sich in einer Imitation des Windows Sicherheitscenters und dessen Meldung im System-Tray. Hier heißt es " Antivisrus software not found". Nach dieser Meldung öffnet sich eine Nachahmung des Sicherheitscenters. Diese zeigt an, dass "Virus Protection" deaktiviert sei - die Schaltfläche "Recommendations" (Empfehlungen) führt zu einer inzwischen nicht mehr erreichbaren Website, die wiederum vorgebliche Antivirusprodukte zum Kauf anbot.

Doch damit nicht genug. Das Scareware-Programm zeigt beim Öffnen von Microsoft Word auch eine Meldung an, die ein angebliches Update für Microsoft Office anpreist. Ein Klick auf "OK" öffnet eine andere Seite auf der gleichen Website, auf der man das vermeintliche Update erwerben soll.
Solange diese Scareware nur englische Meldungen auf der Palette hat, ist es für deutschsprachige Benutzer relativ einfach, die Fälschungen zu entlarven. Microsofts echtes "Tool zum Entfernen bösartiger Software" zeigt natürlich seine Meldungen in deutscher Sprache an - und dies in aller Regel ohne Tippfehler.

Quelle : www.pcwelt.de

[SiLæncer]

FakeAV.B ist keine Scareware mehr, sondern echte Malware, die Dateien des Benutzers verschlüsselt. Eine sogenannte "kostenpflichtige Vollversion" bietet eine Entschlüsselung an.

TrendMicro warnt vor einer neuen Variante der falschen Antiviren-Software FakeAV. Bei der ursprünglichen Version handelte es sich um eine sogenannte Scareware, die beim Besuch von Websites des "Herstellers" eine Software herunterlädt, die dem Benutzer vorgaukelt, sein Rechner sei mit Malware verseucht. Anschließend wird man aufgefordert, die "Vollversion" zu kaufen, um die Schädlinge zu entfernen.

Während man bei der alten Variante die Meldungen einfach ignorieren kann, richtet die neue Ausprägung "FakeAV.B" echten Schaden auf dem Rechner des Benutzers an. Zunächst installiert sich unbemerkt ein Programm, das vor jeder Ausführung einer EXE-Datei die Meldung ausgibt, die Datei sei infiziert und könne nicht ausgeführt werden. Abhilfe schaffe die Antiviren-Software "System Security". Der dazugehörige Link führt jedoch direkt zur FakeAV.B-Website.

In einem zweiten Schritt gaukelt FakeAV.B einen Scan der Festplatte vor. Dabei verschlüsselt die Malware zahlreiche Dateien, so dass sie nicht mehr verwendet werden können. Nur durch den "Kauf" der "Vollversion" lassen sich die Daten wieder entschlüsseln.

Quelle : http://www.zdnet.de

[SiLæncer]

Betrüger nutzen eine gefälschte Version des Open Source Virenscanners ClamAV, um damit ihre eigene Scareware unters Volk zu bringen.
Beim monatlichen Patch Day aktualisiert Microsoft regelmäßig auch sein "Windows-Tool zum Entfernen bösartiger Software". Seit dem 11. August stellt der Hersteller die Version 2.13 bereit, die nun auch betrügerische Schutzprogramme aus der Familie "Win32/FakeRean" erkennen und entfernen soll. Diese so genannte Scareware zeigt vorgebliche Malware-Funde an und benutzt dazu eine spezielle Version von ClamWin mit präparierten Signaturen.

Hamish O'Dea berichtet im Blog des Microsoft Malware Protection Center über diese Schädlingsfamilie. Sie unterscheidet sich oberflächlich erstmal nicht von anderen Scareware-Programmen. Sie wird derzeit unter Namen wie "Home Antivirus 2010" oder "PC Antispyware 2010" angeboten. Die Arbeitsweise des Programms ist jedoch durchaus bemerkenswert, da die Programmierer unnötig erscheinenden Aufwand betreiben, um absichtlich falsche Warnmeldungen über vorgeblich auf dem Rechner gefundene Malware zu produzieren.

Während die meisten Scareware-Programme einfach sinnfreie Festplattenzugriffe produzieren, um einen Viren-Scan vorzutäuschen, bringt FakeRean dazu den Open Source Virenscanner ClamWin mit. Dessen Virensignaturen sind allerdings so manipuliert, dass sie nur den Datenmüll erkennen, den die Scareware zu diesem Zweck auf der Festplatte anlegt.

Mit anderen Worten: PC Antispyware 2010 legt zunächst eine Reihe von harmlosen Dateien an, die weder ausführbar sind noch verwertbare Daten enthalten. Sie sind jedoch so aufgebaut, dass der mit passenden Signaturen ausgerüstete Virenscanner darin vermeintliche Schädlinge entdeckt.

Diese falschen Befunde benutzt das Programm, um dem Benutzer vorzugaukeln, sein Rechner sei infiziert. Er wird dann genötigt eine Vollversion des Programms zu kaufen, die auch nicht mehr echte Schädlinge erkennen kann. Dafür gibt der Betrogene jedoch bis zu 50 US-Dollar aus und noch dazu seine Kreditkartendaten in die Hände von Online-Kriminellen.

Quelle : www.tecchannel.de

[SiLæncer]

 Zwielichte Hersteller versuchen Anwender mit Anti-Virensoftware zu ködern, die nichts bewirkt oder sogar noch Viren selbst mitbringt. Aktuell ködern sie Nutzer mit Suchergebnisse zu Microsoft Security Essentials und dem Tsunami auf Samoa.

Das Tsunami-Unglück in Samoa und die Veröffentlichung von Microsofts kostenlosem Sicherheitstool, den Security Essentials, haben auf den ersten Blick wenig gemeinsam. Doch beide Ereignisse werden derzeit massive von Anbieter von Rogue Anti-Viren-Programmen ausgenutzt, melden Sicherheitsanbieter wie F-Secure oder Websense. Über manipulierte Webseiten wollen sie Nutzer abfangen, die über Suchmaschinen wie Google nach Informationen zu diesen Themen suchen. Klickt ein Nutzer auf eine entsprechende Website, erhält er eine Warnung, dass sein PC infiziert sei und er ein spezielles Programm zur Entfernung benötige.

Bei Rogue-Antivirus-Programmen, auch Scareware genannt, handelt es sich um Tools, die vorgeben, eine Anti-Malware-Lösung zu sein. Im besten Fall sind diese Programme jedoch völlig nutzlos, meist enthalten die Tools selbst einen oder mehrere Viren. Angeboten werden die Tools etwa über Werbebanner, die angebliche Sicherheitslücken auf dem Rechner gefunden haben. Die Tools stehen oft kostenlos für einen Testlauf zur Verfügung. Die gefundenen „Probleme“ können dann aber nur mit der Vollversion entfernt werden, die Preise liegen etwa gleichauf mit echten Anti-Malware-Programmen.

Die Rogue-Anti-Malware-Tools basieren mittlerweile auf fertigen Toolkits, die sich relativ einfach anpassen und verändern lassen. Im Gespräch mit mehreren Anti-Viren-Herstellern, etwa Symantec und Kaspersky, zeigte sich, warum diese Tools mittlerweile so populär seien. Anbieter solcher Tools können relativ schnell und ungefährlich Geld einnehmen, denn grundsätzlich sind diese Tools nicht illegal – einige sind tatsächlich ungefährlich und verwirren die Nutzer lediglich. Zusätzlich gibt es mittlerweile komplette Affiliate-Programme, über die mehrere Verkäufer an den Tools mitverdienen können. Dass diese Programme allerdings oftmals halbseiden sind, zeigt beispielsweise, dass auch der Wurm Conficker in verschiedenen Versionen entsprechende Tools zu installieren versucht.

Quelle : www.tecchannel.de

[SiLæncer]

Nach einem Bericht (PDF) der Anti-Phishing Working Group (APWG) ist die Anzahl der Vorfälle stark gestiegen, in denen mit Hilfe sogenannter Rogue Anti-Malware (auch Scareware genannt) Phishing-Attacken landen sollen. Allein im ersten Halbjahr 2009 verzeichnete die APWG mehr als 485.000 Vorfälle. Tendenz stark steigend: Im Januar waren es noch gut 22.000, im Juni schon über 152.000. Rund vier Fünftel der Phishing-Attacken richten sich nach dem APWG-Bericht gegen Webseiten, die Zahlungs- und Finanzdienste anbieten

Scareware täuscht Anwendern eine Infektion des PC vor, etwa in Werbebannern auf Webseiten wie jüngst auf der Website der New York Times. Die Werbebanner führen zu Webseiten, die zweifelhafte Antispyware- und Antivirenprodukte anpreisen. Die Software weist in der Regel jedoch keine Funktion auf, sondern meldet nach der Installation lediglich eine erfolgreiche Desinfektion des PC – unabhängig davon, ob er nun wirklich befallen ist oder nicht. Wie man Scareware erkennt, sich davor schützt und sie beseitigt, erklärt der Artikel Scharlatane und Hochstapler auf heise Security.

Quelle : www.heise.de

[SiLæncer]

Online-Betrüger verbreiten falsche Sicherheits-Software auch über soziale Netzwerke wie Skype. Die Kriminellen benutzen den Skype-Chat dazu, um den Chat-Partner zu überzeugen, dass auf dem Rechner eine schädliches Malware-Programm installiert sei und nur eine bestimmte Software hilft.

Wer im Skype-Chat unvermutet eine Nachricht von einem Benutzer wie "Online Notification" erhält, der nicht in den eigenen Kontakten gespeichert ist, sollte vorsichtig sein. Online-Kriminelle versuchen auf diese Weise betrügerische Antivirusprogramme, auch als "Scareware" bezeichnet, unters Volk zu bringen. Sie senden eine Warnmeldung über vorgeblich auf dem Rechner des Empfängers gefundene Malware, die einen Web-Link enthält.

Im Skype-Chat erscheint der Benutzername als "Online Notification", dahinter stecken Namen wie "online.notification.america9" und ähnliche Variationen. Der Text der Nachricht beginnt mit "URGENT SYSTEM SCAN NOTIFICATION ! PLEASE READ CAREFULLY !!", gefolgt von einer Web-Adresse. Diese führt zu einer Website, die eine gefälschte Warnseite anzeigt und eine modifizierte Kopie des Sicherheitscenters von Windows XP darstellt.

Die von Trend Micro gemeldete Website ist inzwischen nicht mehr erreichbar, zweifellos gibt es jedoch weitere dieser Art. Die Verbreitung von Scareware ist derzeit offenbar die Haupteinnahmequelle von Online-Kriminellen. Die betrügerischen Schutzprogramme, deren Namen teils denen legitimer Software stark ähneln, melden vorgebliche Schädlingsbefunde und nötigen den Benutzer zum Kauf einer ebenso teuren wie nutzlosen Vollversion.

Quelle : www.tecchannel.de

[SiLæncer]

Online-Kriminelle, die mittels betrügerischer Schutzprogramme horrende Summen einheimsen, imitieren ungeniert das Erscheinungsbild legitimer Antivirusprogramme. Jüngstes Beispiel ist die McAfee-Imitation MaCatte.

Die grafische Oberfläche bekannter Antivirus-Software ist für viele Anwender ein vertrauter Anblick. So ist es eigentlich nicht verwunderlich, wenn Betrüger ihren als "Scareware" bezeichneten, bestenfalls nutzlosen Programmen ein Erscheinungsbild verpassen, das stark an die bekannten Marken aus der Antivirusbranche erinnert. Auch das Sicherheitscenter von Windows wird gerne mal nachgeahmt, aktuell wird eine McAfee-Imitation namens "MaCatte" verbreitet.

Nicht nur die Programmoberfläche, auch die Website, über die das betrügerische Imitat verbreitet wird, ähnelt der von McAfee zum Verwechseln, berichtet Girish Pillai im McAfee Avert Blog. MaCatte zeigt nicht nur vorgeblich gefundene Schädlinge mit ständig nervenden Pop-ups an, es manipuliert auch die im Browser eingestellte Startseite so, dass stets die MaCatte-Website geladen wird. Außerdem blockiert die Scareware installierte, legitime Antivirusprogramme. Es gibt erst Ruhe, wenn man für den Wucherpreis von 99 US-Dollar die ansonsten ebenso nutzlose Vollversion des Betrugsprogramms gekauft hat.

Die Frage drängt sich auf, warum sich die Betrüger überhaupt die Mühe machen sich neue Produktnamen auszudenken, die so ähnlich klingen wie die der Originale. Doch es hat auch bereits Fälle gegeben, in denen etwa ein Imitat von PC Tools Spyware Doctor unter dem gleichen Namen und nahezu identischem Erscheinungsbild verbreitet wurde. Ähnliches ist dem weniger bekannten dänischen Virusfighter passiert.
Immer wenn Sie im Web auch eine Seite stoßen, die unaufgefordert einen (scheinbaren) Virenscan Ihres Rechners durchführt, sollten Sie davon ausgehen, dass Sie auf einer Seite von Betrügern gelandet sind. Diese wollen nur Ihr Geld und Ihre Kreditkartendaten, liefern jedoch keinerlei Gegenwert.

Quelle : www.pcwelt.de

[SiLæncer]

Betrügerische Antivirusprogramme werden immer aggressiver. Ein Vertreter dieser Schädlingsgattung leitet neben der Anzeige falscher Virenmeldungen auch Aufrufe von Microsoft-Seiten auf Web-Server der Online-Kriminellen um.

Besonders bei der Suche nach Neuigkeiten über Prominente in Suchmaschinen werden Internet-Nutzer oft auf speziell präparierte Web-Seiten umgeleitet, die so genannte "Scareware" verbreiten. Vorgetäuschte Warnmeldungen vor einem vorgeblich verseuchten Rechner sollen betrügerische Antivirusprogramme unters Volk bringen. So etwa "Antivirus System PRO", das zudem den Versuch abfängt Web-Seiten von Microsoft aufzurufen.

Wie Mike Wood im Blog des Antivirusherstellers Sophos berichtet, werden betrügerische Antivirusprogramme ("Fake-AV") immer aggressiver. Geraten Internet-Nutzer auf eine Web-Seite, die solche Scareware verbreitet, werden sie mit verwirrenden Ja/Nein-Dialogen zum Download der Schadprogramme genötigt. Ist der Schädling einmal installiert, nervt er mit falschen Virenbefunden, damit das Opfer die teure Vollversion des Programms kauft.

Zudem installiert "Antivirus System PRO" ein lokalen Proxy-Dienst auf dem TCP-Port 5555 und leitet alle Aufrufe von Microsoft-Seiten auf einen Web-Server der Online-Kriminellen um. Im Browser erscheint die Web-Adresse von Microsoft, denn der Proxy hängt zwischen Browser und Web, sodass er die volle Kontrolle über die angezeigten Web-Seiten hat. Der Schädling könnte auch beliebige andere Web-Seiten auf diese Weise umleiten, etwa die von Online-Diensten, Antivirusherstellern oder Banken. Das unterstreicht einmal mehr, dass man auf einem kompromittierten Rechner nichts mehr als vertrauenswürdig ansehen kann.

Quelle : www.tecchannel.de

[SiLæncer]

Erpresserische Windows-Trojaner sind grundsätzlich nicht neu. Computer Associates hat nun aber eine Variante beobachtet, die den Internetzugang auf einem Windows-PC blockiert, bis der Anwender einen Aktivierungscode eingegeben hat. Diesen erhält er, nachdem er eine SMS mit einer bestimmten Zahl an eine kostenpflichtige Premiumnummer schickt, die mit hohen Gebühren verrechnet wird. Angaben zur Summe macht CA jedoch nicht.

Der Win32/RansomSMS.AH getaufte Schädling gelangt offenbar als vorgebliches Downloadtool "uFast Download Manager" auf den Rechner und beschuldigt dann den Anwender nach dem Start auf russisch, die Lizenzbedigungen verletzt zu haben. CA stellt aber ein Tool zum Download zur Verfügung, mit dem sich betroffene Anwender den erforderlichen Code selbst generieren können sollen.

Vorherige Versionen sogenannter Ransomware (Erpressungsschädlinge) sperrten in der Vergangenheit unter anderem schon Anwender aus ihrem Windows-System aus oder verschlüsselten Dateien mit einem vermeintlich unknackbaren Algorithmus.

Quelle : www.heise.de

[SiLæncer]

Statt mit infizierten Dateien versucht aktuelle Scareware den Anwender mit angeblich kaputten Dateien zu erschrecken. Die Vorarbeit leistet ein Trojaner namens W32/DatCrypt, der unter anderem Office-, Bild und MP3-Dateien verschlüsselt. Beim Versuch, diese zu öffnen, moniert Windows die Dateien als korrupt.

Anders als bisherige Verschlüsselungstrojaner wie GPCoder, die zum Entschlüsseln eine bestimmte Summe beim Opfer einfordern (Ransomware), gehen die hinter dieser Attacke steckenden Betrüger aber weniger plump vor: Sie bieten dem Opfer den Download des Programm Data Doctor 2010 an, das die Dateien reparieren soll. Allerdings meldet der heruntergeladene Data Doctor, er könne in der Testversion nur eine einzige Datei reparieren; um alle zu reparieren, bedürfe es der Vollversion für rund 90 Euro.

Glücklicherweise hält der Antivirenhersteller Sunbelt ein kostenloses Tool zum Download  bereit, mit dem sich die Daten auch ohne Data Doctor reparieren lassen. Das Tool entschlüsselt die mit einem simplen Algorithmus verschlüsselten Dateien einfach wieder. Einen ähnlichen Fall meldete schon Anfang 2009 der Malware-Spezialiste FireEye. Damals hieß das vorgebliche Reparatur-Tool FileFix Pro 2009 und sollte 50 Euro kosten.

Unterdessen warnt Eset vor dem Wurm Zimuse, der auf infizierten Systemen den Master Boot Record überschreibt. Bitdefender warnt ebenfalls vor Zimuse, behauptet jedoch, er "zerstöre Festplatten mit schädlichem Code". Dies tut er allerdings nach einhelliger Meinung nicht sofort nach der Infektion des PCs, sondern je nach Variante nach 40 oder 20 Tagen. Anschließend lässt sich das System nicht mehr booten. In der Regel genügt es aber, mit einer Reparatur-CD den MBR neu zu schreiben, damit eine normale Windows-Installation wieder startet.

Zimuse verbreitet sich über infizierte USB-Sticks und als frei herunterladbares Tool für IQ-Tests im Internet. Eset glaubt, dass sich der Schädling ursprünglich gezielt gegen die Mitglieder eines slowenischen Motorradclubs richtete. Anfänglich seien auch die meisten Meldungen seiner Verbreitung aus Slowenien gekommen. Mittlerweile sollen aber die meisten Berichte aus den USA stammen – erst dann gefolgt von Slowenien, Thailand, Spanien, Italien und Tschechien. Eset hält zwar ein Tool zum Entfernen des Schädling bereit, allerdings dürfte dies nur so lange nützlich sein, wie der Zeitraum bis zum Überschreiben des MBRs nicht verstrichen ist.

Quelle : www.heise.de